rssh, или Как разрешить SCP, но запретить SSH

1 год 8 месяцев ago
Вполне адекватная ситуация: у вас есть удалённая Linux-машина с доступом по SSH, и вам срочно нужно дать кому-то из знакомых возможность загрузить на эту машину файл. Разумеется, нам абсолютно лениво разворачивать ради этого FTP-сервер. Да и зачем, когда есть SCP?

Вот только незадача: нам не хочется, чтобы этот знакомый имел возможность что-то делать на этой машине. Ну мало ли что. Поэтому для начала мы заводим отдельного пользователя, ставим для него домашней директорией место, куда надо залить файл, ограничиваем доступ этого пользователя к окружающим директориям. Но всё-таки этот пользователь пока имеет доступ к Shell, а нам — опытным паранойикам — это вообще не нравится.

Выход вроде как всплывает: надо заменить пользователю shell по умолчанию (/bin/sh) на что-нибудь другое. Вот только что? Читать дальше →
WebConn

Технологии песочниц. Check Point SandBlast. Часть 2

1 год 8 месяцев ago

Продолжаем тему сетевых песочниц. В предыдущем модуле я уже привел небольшую “печальную” статистику целенаправленных атак. Резюмируя ранее сказанное, можно сделать несколько основных выводов:

  • 99% зловредов были замечены всего один раз. По этой причине сигнатруная защита просто бессильна.
  • Почта является излюбленным иснтрументом хакера. Как правило зловреды доставляются в виде файлов, либо ссылок на файлы.
  • Вопреки обыйденному мнению, заразными могут быть не только файлы типа exe, flash и java файлы. Т.е. запретив этот тип файлов, вы все еще не защищены. Зловред может быть спрятан в разрешенные документы такие как: doc, excel, pdf, powerpoint, архивы и так далее.

Читать дальше →
cooper051

Создание приватной сети, или чайнаинтернету — нет, нет, нет

1 год 8 месяцев ago

С годами мы обрастаем компьютерами и девайсами, которые ещё иногда называют хостами. Например, один виртуальный хост висит в стране чистого интернета, есть хосты на работе, дома, на даче, и т. д. Хотелось бы иметь средство для управления всеми ими, чтобы можно было из любого места зайти в любое другое, в режиме командной строки, разумеется. Например, с дачи нам хотелось бы зайти на рабочий компьютер, а с работы — на хост чистого интернета и т. д. Но на нашем пути встают препятствия: хосты находятся за NATом, на работе нет прав администратора, а в чистый интернет нас и подавно не хотят пускать.
Что же делать?
dcherukhin

Openfire + Miranda NG. Удаленная помощь в один клик и еще пара фич

1 год 8 месяцев ago


Эта статья — ремейк нескольких старых заметок о том, как, используя миранду, упростить регулярные задачи по саппорту пользователей. В статье вы не встретите 1001ый хау ту по установке Openfire на linux со сквозной аутентификацией, зато будет описано что делает:

?replace(?dbsetting(%subject%,?cinfo(%subject%,protocol),MirVer),Miranda NG Jabber 0.95.5.17337 x86 [,,],)
И как, используя эту фигню, получить удаленный доступ к пользовательскому рабочему столу, например, средствами того же VNC или radmin, просто кликнув по нужному значку прямо в окне беседы с пользователем.
Читать дальше →
yosemity

[Перевод] SystemD отстой, да здравствует SystemD

1 год 8 месяцев ago
Кажется, что systemd — некое яблоко раздора в Linux-сообществе. Как будто не существует нейтральной точки зрения на systemd. Кардинально противоположные мнения предполагают, что вы должны или любить его, или желать уничтожения. Я хочу предложить некую середину. Для начала, обсудим кошмарные свойства systemd.

Плохое и кошмарное
systemd-escape
Тот факт, что существует systemd-escape, сам по себе явно указывает на нечто ужасно неправильное. Если вы никогда не видели или не использовали эту команду в деле, считайте, что вам повезло.
Читать дальше →
m1rko

[Из песочницы] Восстановление remote сервера после удаления части ОС

1 год 8 месяцев ago
В последнее время на Хабре было пару интересных статей (например, раз, два и в ряде корп. блогов коллег), после прочтения которых возникла мысль, а не поделиться ли с сообществом опытом по выходу из интересных ситуаций, с которыми сталкивался работая в аутсорсе.

Сегодня про восстановление доступа к виртуальной машине с linux после удаления части операционной системы.

Если содержание будет интересно аудитории, то попробую написать ряд подобных статей.

Читать дальше →
mikhailnk

[Перевод - recovery mode ] «Избегайте Xpoint M.2, как чумы»: критический анализ Intel Optane Memory

1 год 8 месяцев ago

Не так давно компания Intel выпустила на рынок SSD-накопители Xpoint M.2, продукт, который мог бы стать отличным, если бы технология не была испорчена недостаточным сроком службы.


Intel официально называет эти устройства Optane Memory, они идут в двух PCIe3 2x M.2 форм-факторах 16 и 32 ГБ, оба они рассчитаны на запись 100 Гбайт в день, что примерно равно 3DWPD для 32 ГБ модели и 6DWPD для 16 ГБ. Модель 16 ГБ будет стоить $44, 32 ГБ будет стоить $77, причем обе цены намного ниже ожидаемого.




Intel утверждает, что использование этих дисков заставит ваш компьютер просто летать – и при этом в пресс-релизе устройства нет даже простого рейтинга скорости. Все их сравнения были сделаны с HDD, для которых неизвестна скорость чтения и записи и условия нагрузочного тестирования.


И даже те странные, возможно, сфабрикованные данные, которые прессе все-таки были выданы, стали известны лишь несколько дней спустя, что абсолютно неприемлемо и неэтично. В силу того, что все эти тесты были сделаны в сравнении с HDD, Intel бесспорно пытается ввести в заблуждение прессу и технические сайты, и это не случайно.

Читать дальше →
Valeriy_Squadra

Как настроить в корпоративной сети расширенную защиту следующего поколения

1 год 8 месяцев ago


В последнее время мы все чаще говорим о решениях безопасности «следующего поколения», способные обеспечивать расширенную защиту корпоративных сетей от неизвестных угроз, APT, шифровальщиков, направленных атак и прочих угроз нулевого дня. Насколько сложно настраивается такая защита и почему она так необходима? Рассмотрим на примере Adaptive Defense 360. Читать дальше →
PandaSecurityRus

Huawei USG 6300. Базовая настройка файервола из коробки

1 год 8 месяцев ago
Идея написать эту статью возникла после того, как я попытался найти хоть какую-то информацию по настройке файерволов от Huawei в интернете. В русскоязычном сегменте я не нашел ничего, в англоязычном, в основном, устаревшие данные по предыдущим моделям и отсылки к документации (которая, к слову, есть на сайте производителя в открытом доступе и достаточно подробная).  

При наличии опыта работы с файерволами других производителей документации должно быть достаточно, чтобы запустить и работать с Huawei USG, но по опыту я знаю, что к мануалам обращаются, когда все варианты уже испробованы. Поэтому одна из целей этой статьи – сэкономить время при первичной пусконаладке этого относительно нового оборудования. Конечно, в одной статье не удастся охватить весь функционал, тем не менее, основные начальные кейсы по настройке тут будут рассмотрены. Инженеры могут использовать статью как шпаргалку по инсталляции сетевого оборудования, так как те базовые настройки, которые будут тут описаны, как правило, придется делать во всех инсталляциях.


Источник
Читать дальше →
Alexand3010

Зачем нужен containerd и почему его отделили от Docker

1 год 8 месяцев ago
В середине марта стало известно, что компания Docker предложила свой проект containerd независимому фонду Cloud Native Computing Foundation (кстати, произошло это одновременно с rkt от CoreOS). Событие последовало за обещанием компании, данным в декабре прошлого года, когда containerd был официально отделён от Docker Engine. Что же это за компонент и зачем его отделили?



Как устроен containerd
containerd — это бывшая часть Docker, а ныне самостоятельное решение, реализующее исполняемую среду для запуска контейнеров. При его создании, как утверждают разработчики, они стремились к простоте, надёжности и портируемости. Читать дальше →
shurup

Пользователи убедили GitLab не уходить из облака

1 год 8 месяцев ago

Источник изображения


В конце 2016 компания Gitlab сообщила, что собирается уходить из облака (мы делали перевод этой статьи на Medium). Также был представлен весьма подробный план по покупке аппаратного обеспечения. Пользователи с интересом следили за развитием событий, активно комментировали опубликованные статьи и в итоге убедили GitLab отказаться от этой идеи.


У этой истории есть дополнительная интрига. Компания GitLab, которая сама по сути является поставщиком облачных услуг (правда, предоставляя пользователям приложение, а не вычислительные ресурсы), вдруг решила, что ей как потребителю подобная схема работы больше не подходит, но все же в итоге передумала.

Читать дальше →
olemskoi

О настройке Open vSwitch непростым языком

1 год 8 месяцев ago
От переводчика
SDN — программно определяемые сети — прочно вошли в нашу жизнь, однако материалов о низкоуровневой их работе на русском языке не так уж много. Предлагаю вашему вниманию перевод обучающей статьи, в которой показан пример создания автономного виртуального коммутатора с поддержкой VLAN. Такой коммутатор в своем базовом функционале может работать и без контроллера сети. Предполагается. что читатель знаком с основами и терминологией построения сетей в целом, а также имеет общее представление о программно-определяемых сетях.

Используемые термины:

OpenFlow — протокол управления передачей данных в сети. Описывает процесс взаимодействия контроллера и коммутатора, а также формат загружаемых в коммутатор правил.
Open vSwitch — программная реализация коммутатора, совместимого с протоколом OpenFlow. Используется для управления трафиком в системах виртуализации, например, OpenStack и oVirt (экспериментально).
802.1Q (VLAN) — механизм разграничения трафика как в пределах одного коммутатора, так и в локальной сети. Основан на внедрении в пакет данных тега (номера) VLAN
802.1p (QoS) — механизм управления приоритезацией трафика. Часть стандарта 802.1Q
Порт агрегации (trunk port) — порт коммутатора, соединенный с вышестоящим коммутатором. Порт агрегации разрешает отправку пакетов с любым номером VLAN
Порт доступа (access port) — порт коммутатора, разрешающий работу с пакетами только определенных VLAN.

Читать дальше →
lovecraft

Настройка репликации во FreeIPA 4.4 с domain level 1

1 год 8 месяцев ago
image

У нас в компании для организации и управления доступами для Linux-серверов
используется такой сервис как FreeIPA. FreeIPA — это вполне полноценная замена AD для Linux-систем от RHEL. В новой версии появились уровни доменов и был переработан процесс настройки репликации. Так как инструкций вменяемого вида в рунете найти не удалось, я решил написать собственную. Читать дальше →
Vrenskiy

[recovery mode] Размещение 3CX на Google Compute Engine

1 год 8 месяцев ago

Сегодня мы подробно расскажем, как интегратору – партнеру 3CX подготовить облачную инфраструктуру Google для размещения сущностей (экземпляров) 3CX. Размещение сервера 3CX на облаке Google избавляет интегратора (или конечного пользователя) от необходимости вкладываться в серверное “железо” и тратить ресурсы на его обслуживание. Google – один из крупнейших и весьма надежных облачных провайдеров, а сервис Google Compute Engine отлично подходит для размещения АТС для небольших (да и больших) компаний.


Для размещения 3CX на Google Compute Engine следует выполнить несколько несложных шагов:


  • Создать учетную запись Google (если ее нет) и новый Проект Google Platform
  • Создать временную виртуальную машину (VM), которая будет служить шаблоном для будущих виртуальных машин 3CX
  • Создать вэкземпляр ВМ 3CX для заказчика
  • Установить ПО 3CX на экземпляр ВМ и передать его заказчику
Читать дальше →
snezhko

Тюнинг SQL Server 2012 под SharePoint 2013/2016. Часть 1

1 год 8 месяцев ago
Здравствуйте. Меня зовут Любовь Волкова, я системный архитектор департамента разработки бизнес-решений. Время от времени я пишу прикладные посты о серверных продуктах Microsoft (например про мониторинг серверов SharePoint и про обслуживание баз данных, связанных с базами контента, службами и компонентами этой платформы.

Этот пост является первым из двух, в которых я расскажу о важной с точки зрения администрирования порталов SharePoint теме – по тюнингу серверов SQL, нацеленного на достижение высокой производительности. Крайне важно обеспечить тщательное планирование, корректную инсталляцию и последующую настройку SQL-сервера, который будет использоваться для хранения данных, размещенных на корпоративном портале.

В этом посте вы сможете прочитать о планировании инсталляции SQL-сервера. Чуть позже будет опубликована вторая часть, посвященная установке SQL-сервера и последующему конфигурированию.

Читать дальше →
Softliner

Разные подходы к балансировке трафика

1 год 8 месяцев ago
Технологии MPLS сегодня стали де-факто стандартом построения сетей операторов связи. Некоторые участники начальных разработок утверждают, что работа была направлена на получение протокола с фиксированной длинной заголовка чтобы упростить процесс принятия решений маршрутизации, однако революционных изменений в этом смысле не произошло, а после после появления аппаратных реализаций коммутационных чипов проблема производительности отошла на второй план. Зато по мере того как стандарт обрастал мышцами, становилось понятно, что применение нескольких меток, названных впоследствии стеком, позволяет взглянуть на MPLS как на технологию с унифицированными методами предоставления и обеспечения сервисов. Так, метки в стеке условно поделили на сервисные и транспортные. Для больших сетей этого оказалось недостаточно и вскоре появилась собственная иерархия транспортных меток. Транзитные маршрутизаторы в общем не обязаны понимать какой именно сервис они передают, их задача в самом общем смысле ограничивается работой с верхней меткой своей иерархии, а что там находится внутри стека совершенно не их забота. Такой подход позволяет транзитным маршруитзаторам передавать трафик сотен тысяч и даже миллионов потоков разных сервисов.

Казалось бы, чего еще желать… правило «разделяй и властвуй» работает безотказно, но вот эффективно разделять как раз не очень то получалось, в том смысле, что трафик хочется балансировать как можно равномернее в рамках ограниченного количества каналов связи силами неторопливых, с точки зрения изменений, аппаратных решений. В статье вы найдете некоторые аспекты разных методов решения этой задачи.
Читать дальше →
a_andreev

AP Failover и AP Fallback в реализации Cisco Unified Wireless

1 год 8 месяцев ago

Когда точка доступа уже подключилась к контроллеру (AP Join), есть два механизма, которые влияют на выбор контроллера:


  • Если точка доступа теряет связь с существующим контроллером, то запускается механизм AP Failover.
  • Если точке доступа, не теряя связь с контроллером, требуется перейти на другой контроллер, для этого существует механизм AP Fallback

AP Failover

image


AP Failover использует следующую информацию в порядке приоритета (cначала наибольший приоритет).


  1. Per AP Primary, Secondary и Tertiary controller
  2. Global Backup Primary/Secondary WLC
    • Эти параметры начинают работать только когда активирован FastHeartbeat Timeout.
    • Данная информация не сразу активируется на точке, а через какое то время. Она должна появиться в так называемом Backup WLС arrey.
  3. WLC Mobility Group Membership
Читать дальше →
openalex

Из каких девайсов сегодня состоит рынок «интернета вещей» в России

1 год 8 месяцев ago
Вокруг много разговоров про рынок «интернета вещей» в России. Но общее представление, из чего же он состоит, составить крайне сложно. Наш эксперт Максим Пухальский попытался систематизировать эту информацию и отметить основные тенденции. Для начала, можно сказать, что рынок только-только зарождается. Но растет рекордными темпами. Тренд развития задает Китай — своими новыми и недорогими девайсами. Итак, передаем слово Максиму.
image
Всем привет. Начну с того, что рынок «интернета вещей» делится на B2B и на B2C. B2B-рынок давно изучен. Он весь «дешевый» и работает на больших заказах. Это GSM-трекеры, банкоматы, «платоматы» в кафе и ресторанах, терминалы пополнения счета, различные датчики (производственные, сельскохозяйственные и т.д.). На этом рынке МТС занимает более 40% (по данным ACM Consulting).

Читать дальше →
info_habr
Выбранный
8 часов 23 минуты ago
habrahabr.ru/hub/sys_admin/
Подписаться на лента habrahabr.ru/hub/sys_admin/