ServerAdmin.ru | Linux | DevOps
Канал в MAXИдентификатор канала: 68554601070803
🌍 Открытый канал
Технологии и IT
Авторский
Подписчики
1'622
За 24 часа
+12
новых подписчиков
За неделю
+85
прирост за 7 дней
За месяц
+436
общий прирост
Вовлечённость аудитории, %
42
ER (Engagement Rate), %
Оценка (по отзывам):
0.0
0 отзыва
История канала
Динамика подписчиков
Интенсивность публикаций
0
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Пн
Вт
Ср
Чт
Пт
Сб
Вс
Меньше
Больше
Метрики публикаций
Публикации
0
за день
7
за неделю
28
за месяц
Репосты
0
за день
0
за неделю
0
за месяц
Просмотры на пост
643
за день
1048
за неделю
2429
за месяц
Данные за последний месяц
Кто рекламировал
1 / 1
Нет данных о рекламе
Кого рекламировал
1 / 1
Нет данных о рекламе
Эффективность последних рекламных размещений
1 / 1
Загрузка данных...
| Размещенный пост | Текст публиакции | Рекламирующий канал | Просмотры | Просмотры 24 ч | Прирост подписчиков |
|---|
Загрузка данных...
| Размещенный пост | Текст публикации | Рекламируемый канал | Просмотры | Просмотры 24 ч | Прирост подписчиков |
|---|
Динамика просмотров публикаций по часам
1 / 1
| Дата и время публикации | Текст публикации | Рекламируемый канал | Динамика просмотров | Всего просмотров |
|---|---|---|---|---|
| 2026-03-31 09:11:00 | Каждый раз, когда пишу заметки на тему DDOS, в комментариях появляются одни и те же заблуждения. Я не сказать, что прям такой большой специалист по этой теме, но у меня в управлении уже очень давно разные сайты, и ситуаций с ними тоже было много разных. На эту тему было много заметок на канале. Где-то я что-то мог сделать и решить проблемы, где-то ничего не мог сделать и сайт лежал под нагрузкой, а иногда меня просто провайдеры отключали, приходилось подключать внешнюю защиту. Пройдусь по этим заблуждениям. 1️⃣ Надо установить и настроить Fail2Ban. Это прям база, про которую всегда пишут. Fail2Ban - популярный инструмент, который решает некоторые задачи, но от DDOS он не поможет. Я его сразу же отключаю, если начинается атака. Именно Fail2Ban первым делом и положит ваш сервер с сайтом, как только лог веб сервера начнёт измеряться гигабайтами. А это может случиться очень быстро. Пока с этим не столкнёшься, не поймёшь. Кажется, что это простой и эффективный инструмент, для которого куча инструкций. Да, им удобно банить редких ботов, которые долбятся в админку, в несуществующие урлы, превышают лимиты веб сервера и т.д. Но как только идёт DDOS, он больше вредит, чем помогает. 2️⃣ Настроить limit_conn и limit_req в Nginx. С их помощью можно ограничить число подключений с конкретного IP или запросов на конкретный урл. Настроить в целом можно. Я, собственно, их всегда и настраиваю. Они работают в связке с Fail2Ban. Но от DDOS это тоже не поможет, а усугубит ситуацию. Боты займут все лимиты и реальные пользователи вообще ничего не увидят. Это будет равноценно тому, что вы просто отключите свой сайт. Получается, что вы не решите проблему, а усугубите, упростив задачу атакующему. 3️⃣ Заблокировать ботов на веб сервере. Это может быть блокировка по гео признаку, по юзер агенту, кукисам или ещё какому-то признаку. Иногда паразитный трафик такой интенсивный, что тот же Nginx на 100% загружает сервер, даже отдавая только статическую страницу с заглушкой. Он уже не может эффективно работать. Если есть возможность, отсекать запросы надо заранее. Мой опыт успешного отражения некоторых небольших атак говорит о том, что если ты что-то можешь сделать, то лучше это делать сразу на файрволе, не допуская трафик до веб сервера. Я применяю связку iptables + ipset. Хорошо их знаю и умею пользоваться. Только так хоть как-то можно что-то сделать, если тебе не забили входящий канал и тебя не отключил провайдер. На моей практике отражались какие-то автоматизированные и с моей стороны выглядящие как бессмысленные атаки. Если я видел, что атакует какой-то человек, применяя разные методы, то рано или поздно от добивался своего и тебе оставалось только подключать внешнюю защиту, менять IP, направлять трафик через DNS на адреса защиты. DDOS зачастую продаётся как услуга, тебе не обязательно в этом разбираться, если хочешь кому-то навредить. Достаточно заплатить, и в зависимости от твоего бюджета, будут выбирать методы и продолжительность воздействия. Если бабки не проблема, то просто сразу же заказываешь атаку, которая забивает входящий канал и сайт падает. А дальше у владельца только один вариант - подключать платную защиту. В целом, немного разбираться в отражении простых атак стоит. Я сталкивался много раз с ними. Знаю знакомых, которые не понимали, что им делать, даже когда их один человек долбил запросами в какое-то уязвимое место на сайте. Они прям думали, что их атакуют и надо срочно покупать защиту, хотя хватило бы и простого Fail2Ban или одного правила в файрволе. Основная проблема в получении практического опыта. Потренироваться не на чем. Сымитировать нормальную атаку довольно сложно. Например, во вчерашней атаке я по итогу забанил 135 000 IP адресов. Так как я не первый раз с этим сталкиваюсь, просто открыл свои прошлые публикации и набор сохранённых команд и скриптов, которые использовал ранее. #ddos #совет Каждый раз, когд… | — |
|
643 |
| 2026-03-30 19:30:01 | Я уже упоминал ранее, что Proxmox Virtual Environment (Proxmox VE), как говорится, пошёл в народ. А за ним и в бизнес. Начала появляться куча программ, в том числе коммерческих, вокруг этого продукта. Не так давно Veeam добавил поддержку PVE в своих продуктах. Думаю, что через несколько лет PVE и в крупные компании начнёт проникать. Это и сейчас уже происходит. Расскажу про ещё один продукт для управления одиночными хостами PVE и кластерами - ProxCenter. Он идеей похож на PegaProx, про который я недавно писал. Сразу скажу, что не вижу большого смысла сейчас использовать это в проде, ни первый, ни второй. Продукты новые, не настоялись ещё. Пишу в основном о них для справки. Любопытно самому посмотреть и потом сравнить через пару лет, вот что они превратились. ProxCenter метит в коммерческую нишу. У него уже сейчас две версии - Community и Enterprise. У первой, соответственно, код открыт. Её я и попробовал. По своим возможностям она напоминает связку Pulse + Datacenter Manager. То есть это красивый веб интерфейс управления с мониторингом в режиме реального времени. Полезная функциональность только в платной версии: автоматическая балансировка нагрузки, межкластерная репликация, RBAC + LDAP/AD/SSO, rolling updates (❗️) для нод кластера, интеграция с ИИ, подключение гипервизоров VMWare, XCP-ng, Nutanix, Hyper-V и миграция с них в PVE, и некоторые другие плюшки. Устанавливается всё это в Docker. Есть готовый скрипт от разработчиков: # curl -fsSL https://proxcenter.io/install/community | bash Он делает некоторые проверки, устанавливает Docker, скачивает compose.yml и запускает. В скрипте есть ссылка на compose, который в репозитории лежит, можете вручную запустить, если что. В бесплатной версии не увидел ничего полезного, что побудило бы использовать эту веб панель. Разве что отдельную аутентификацию в саму панель для доступа к инфраструктуре. Она не привязана к внутренней аутентификации добавляемых хостов. Интерфейс на любителя. Вроде аккуратно сделано, но лично я не люблю градиенты на индикаторах. Хотя с ними визуально быстрее воспринимается информация. Больше пользы можно получить при использовании с большими кластерами, где много виртуальных машин и контейнеров. В ProxCenter есть визуализация всей инфраструктуры и общий управляемый список всеми ресурсами. Визуализация мне понравилась. #proxmox Я уже упоминал р… | — |
|
694 |
| 2026-03-30 09:11:00 | Сейчас борьба с DDOS - в основном удел специальных сервисов, у которых есть свои каналы и пулы IP адресов. Без этого эффективной защиты не построить. Если у вас не подключена специализированная защита, то вас просто отключит провайдер в случае серьёзной атаки. Но далеко не всегда атаки реально серьёзные, с которыми невозможно справиться самостоятельно. С подобной ситуацией столкнулся в очередной раз. И вроде как успешно справился. Расскажу обо всём по порядку. У меня есть в управлении веб сервер с очень старым проектом. Он уже не приносит прибыль, но бросить его жалко. У него очень много страниц в индексе, люди всё ещё заходят. Покупать для него защиту смысла не имеет. В какой-то момент на сервер полился спам запросов на форумный поиск. Не сказать, что очень много, но сервер загрузили полностью. Отклик по 10-15 секунд, часто 500-е ошибки. Все запросы с разных IP, почти не повторялись. Трафик лился примерно 10-20 мегабит, небольшой, но и виртуалка под сервер не очень мощная, ей этой нагрузки хватало, тем более в поиск. Я зашёл на сервер и бегло посмотрел, что там за IP адреса. Они были из экзотических стран, типа Сейшелы, Маврикий, Малайзия и т.д. Проект под аудиторию из РФ, решил временно ограничить страны, откуда идёт спам. Можно было бы разрешить только РФ и страны СНГ, а остальное запретить, но эти списки ненадёжны. А тем более сейчас, когда куча людей сидит по ВПН. Сразу скажу, что в любом случае это решение временное, на время атаки. Позже я такие ограничения убираю. Есть сервис со списками IP адресов по странам. Я обычно его использую, так как списки легко забрать через wget. На сервере стоит iptables и ipset для больших списков адресов. Набросал простенький скрипт для загрузки IP стран и добавления их в iptables: #!/bin/bash country=mu ipset -N ${country}_ip nethash wget -O tmplist https://www.ipdeny.com/ipblocks/data/countries/${country}.zone list=$(cat tmplist) for ipnet in $list do ipset -A ${country}_ip $ipnet done iptables -I INPUT 1 -m set --match-set ${country}_ip src -j DROP Скрипт рабочий, я его сходу написал и использовал. Ничего не отлаживал, проверок не делал, не оптимизировал. Любой ИИ вам всё это сделает, если нужно будет. У меня такой задачи не стояло. Это помогло. Спам запросов прекратился. Через несколько дней возобновился. Список IP адресов очень разнообразный - США, Европа. Блокировать по странам не стал. Посмотрел внимательно на запросы. У них почему-то у всех был одинаковый user agent с фразой: Macintosh; Intel Mac OS X 10_15_7. Пример лога веб сервера привёл на картинке. Решил банить IP по этому признаку. Сначала прошёл по всему логу и собрал всех с этим юзер агентом, кто сделал более одного запроса: # egrep "Intel Mac OS X 10_15_7" /var/log/nginx/access.log | awk '{print $1}' | sort -n | uniq -c | sort -n | awk '{if ($1 > 1 ) print $2}' > 10_15_7.txt А потом загнал их в список ipset скриптом: #!/bin/bash { echo "create 10_15_7 iphash hashsize 32696 maxelem 262144" while read -r ip; do echo "add 10_15_7 $ip" done < 10_15_7.txt } > ipset-restore ipset restore < ipset-restore И забанил: # iptables -I INPUT 1 -m set --match-set 10_15_7 src -j DROP Это частично помогло, но, постоянно лезли новые IP. Собрал ещё один скрипт, который берёт только последние 3000 строк лога. Перед запуском создал список и правило для него: # ipset -N banip iphash hashsize 16348 maxelem 131072 # iptables -I INPUT 1 -m set --match-set banip src -j DROP Скрипт: #!/bin/sh tail -n 3000 /var/log/nginx/access.log | egrep "Intel Mac OS X 10_15_7" | awk '{print $1}' | sort -n | uniq -c | sort -n | awk '{if ($1 > 0 ) print $2}' > ban.txt list=$(cat ban.txt) for ipnet in $list do ipset -A banip $ipnet -exist done Поставил его в cron на запуск раз в минуту. Примерно через час все адреса оказались в бане и нагрузка упала. Не знаю, что это было, кто и зачем ддосил этот веб сервер. Какая-то бессмыслица, но ситуация реальная. Написал заметку по горячим следам. #iptables #ipset #ddos Сейчас борьба с … |
|
|
809 |
| 2026-03-27 18:30:01 | Вспомнилось очень старое и неприметное видео с небольшим количеством просмотров и комментариев: ▶️ Imagine DevOps Ностальгическая пародия на песню Джона Леннона - Imagine. Забавно послушать сисадмина из 2011 года, как он себе представляет будущее разработки и эксплуатации: Представь, нет разработчиков, Попробуй, это легко, Никакого сопровождения и контроля изменений, И серверы все в облаках. Представь, что все желающие, Непрерывно деплоят… Представь, нет больше тестировщиков, Это несложно совсем, NoSQL станет веб масштабируемым, И разработчики всегда на связи. Представь, что все руководители проектов Используют методологию Agile. Ты скажешь, я мечтатель, Но я такой не один, Надеюсь, ты придёшь в DevOps, И мир наш станет един. Представь, нет больше водопада задач, Сможешь ли ты так жить? Не нужно документаций, Канбан нас всех объединит. Представь, враги былые Делят один git… Ты скажешь, я мечтатель, Но я такой не один, Надеюсь, ты придёшь в DevOps, И мир наш станет един. Прикольная песенка, которую трудно перевести. Не смог ни переводчик, ни ИИ. Сам правил, как смог, чтобы смысл сохранить, да и то не особо получилось. Мне кажется, эта песенка раскрывается в наши дни с внедрением ИИ. Теперь уже действительно иногда можно без разработчиков и тестировщиков обойтись. Уже полно примеров видел, в том числе среди знакомых, когда ИИ пишет программы непрограммистам. И они получаются вполне работоспособными. Но нужны платные подписки. Кстати, если кому-то интересна эта тема, то рекомендую послушать конкретный пример такой разработки из большой беседы, которую лично я послушал всю во время пеших прогулок. Мне было интересно. Привожу ссылку сразу на пример, где человек рассказывает, как у него настроены ИИ агенты, как он ставит им задачу и что вообще у него происходит. #музыка Вспомнилось очен… |
|
|
1233 |
| 2026-03-27 09:50:01 | Как учесть все требования приказа 117 ФСТЭК РФ? Рассказываем в канале КСБ-СОФТ. Подписывайтесь! Про 117 приказ ФСТЭК РФ провели и записали отдельный вебинар. Смотрите 📹 «КСБ-СОФТ» — системный интегратор в области кибербезопасности и импортозамещения инфотехнологий. Специалисты реализовали свыше 6000 проектов и делятся экспертизой. Присоединяйтесь: https://tglink.io/18a304c5809835?erid=2W5zFJrhvWD ⬅️ #реклама О рекламодателе Как учесть все т… | — |
|
627 |
| 2026-03-27 09:11:01 | Давно уже надумал заменить свой основной рабочий ноутбук. Ещё год назад делал по этому поводу публикацию. Там какое-то рекордное обсуждение вышло на 1000+ комментариев. Меня убедили купить Макбук. Желание это никуда не ушло, но так за весь год и не появилась возможность его приобрести. Последние полгода почти безвылазно работаю из дома, так что нужда в ноуте как-будто и пропала. Сейчас у меня старенький Thinkpad T480. Работает в родной док-станции с внешним моником, клавой и мышкой. Для работы в целом хватает, но уже как-то некомфортно с ним. Понаоткрываешь браузеров и программ, начинает подтупливать. Хоть и памяти 32 ГБ, но как-будто процессор не вытягивает. Плюс, частоту монитора выше 120 Гц не поддерживает, а у меня монитор 160 Гц. Дома нет вообще ни одного системника с современной видеокартой. Одни ноутбуки и старый комп с GeForce GTX 560Ti. Новее ничего нет, если не считать неттоп FIREBAT F1 с Radeon 780M. Кстати, отличный аппарат за свои в то время деньги. Пытался потом купить ещё таких же, но увы, они все без памяти стали продаваться. А планка памяти выходит больше половины стоимости неттопа. Недавно рубль начал падать, плюс обещают дополнительные сборы на импортную технику ввести. Решил, что ждать снижения цен уже не имеет смысла и заказал себе новый бюджетный системник. Я в них не особо разбираюсь, вообще не слежу за этой темой. Последний раз покупал системный блок 15 лет назад. На работе тоже этими делами не занимаюсь. Увидел на ютуб канале одного продавца компьютеров бюджетную сборку прошлого поколения на DDR4 за 90 000 и просто повторил её: ▪️Процессор AMD Ryzen 5 5600 ▪️Материнская плата MSI B550M PRO-VDH ▪️Оперативная память G.Skill Aegis 32 ГБ ▪️Видеокарта Palit GeForce RTX 5060 Infinity 2 OC 8 ГБ ▪️Кулер DEEPCOOL AG300 DIGITAL ▪️Накопитель 1000 ГБ M.2 NVMe MSI SPATIUM M470 PRO Кому интересно увидеть цены, ниже скриншот из магазина. Всё, кроме диска, уже подорожало. Мне не хотелось собирать из комплектующих самому, обычно не рекомендую это и другим, но у меня есть хороший корпус с шумопоглощающими стенками и новый блок питания в запасе. Так что сэкономил и не стал их покупать. Интересен был перенос системы с ноутбука на системник. Я использую Veeam Agent for Windows для бэкапа всей системы. Программа в том числе делает свой загрузочный ISO образ, чтобы можно было с него загрузиться, подцепить бэкап и восстановить систему, если она умрёт полностью. Я забэкапил ноутбук, взял образ системы и рассчитывал его восстановить на новом системнике. Но не тут то было. На новом компе этот образ не стартовал. Вылетала стандартная ошибка WinPE, на базе которой он собран, с синим экраном. Я сначала не понял этот момент. Думаю, что за образ и бэкап, если я не могу с него загрузиться и сделать восстановление. Потом немного покумекал и сам догадался, в чём тут дело. Veeam создаёт загрузочный образ под конкретное железо, на котором запущено создание. Мне пришлось на новый компьютер установить чистую винду, потом Veeam Agent, и уже на этом компьютере сделать загрузочный диск. Успешно с него загрузился, подключил сетевую папку с бэкапом системы ноутбука и успешно восстановил. Система загрузился, накатил драйвера от компьютера, и всё завелось. Так что метод с Veeam Agent вполне рабочий и для переноса на другое железо, но нужно учитывать этот нюанс. А в целом программа отличная, рекомендую. Бесплатной версии для бэкапов одиночных компьютеров без централизованного управления хватает вполне. Не раз выручало. Я людям, которые ничего в этом не понимают, настраивал автоматический бэкап на внешний диск при его подключении. Потом они успешно восстанавливали свои данные. Работает надёжно. ❓А вы верите, что стоимость железа ещё отыграет назад? Стоит ждать или брать, как есть? Мне кажется, сейчас мир так лихорадит, что будет только хуже, а какие-то вещи могут вообще из продажи пропасть. #железо Давно уже надума… |
|
|
1238 |
Загрузка данных...
| Время | Контент | Подписчиков | Кто ссылался | Просмотры | Просмотры 24 ч |
|---|