Самый страшный враг любой информационной системы - пользователь. Это такое "сообразительное" существо, что адекватной защиты от него просто не существует. Сегодня еще раз в этом убедились.

Началась история вчера. Управляющий одной из торговых точек сообщил. что у него не сходятся продажи по программе и Z-отчету ККТ за два дня. В первую очередь проверили чеки по ОФД, все в порядке.

Перешли к отчетам о розничной продаже. И тут выяснилось, что отчет за 2-е число поврежден, плюс часть чеков за 2-е число попало в отчет за 3-е.

Переформировали отчеты, цифры совпали. Стали разбираться как так могло произойти. Ничего толкового в голову не приходило, решили посмотреть по камерам.

То что мы увидели привело нас в, мягко говоря, изумление.

Система закрытия смены построена так, что после выхода из ККТ Z-отчета в программе формируется отчет о розничных продажах и принудительно выполняется синхронизация с центральным узлом (уже наша доработка), что естественно занимает какое-то время. Закрыть программу и выключить компьютер в это время нельзя.

Но разве пользователя, идущего к своей цели (побыстрее свалить домой) что-нибудь способно остановить? Правильно, нет. Поэтому на этой точке освоили "лайфхак". Буквально выхватив из ККТ Z-отчет, второй рукой нажать на кнопочку бесперебойника. И все, можно идти домой...

Хотя каждый из продавцов под роспись ознакомлен с регламентом, где буквально и по пунктам рассказано как что включать и выключать. Как с этим бороться? А вот и не знаю. Ну оштрафовать можно, только это все уже реагирование на после, когда событие уже свершилось.

Особенности использования, экспорт, импорт и бекап сертификатов Mikrotik

https://interface31.ru/tech_it/2021/07/osobennosti-ekspluatacii-ca-na-routerah-mikrotik-rezervnoe-kopirovanie-eksport-i-import-sertifikatov.html

Вышел Proxmox VE 7.0, революционных изменений нет, но обновлены многие ключевые компоненты, добавлены новые инструменты в веб-панель, добавлена поддержка btrfs.

https://www.proxmox.com/en/downloads

Обзор инсайдерской версии Windows 11, что нового по сравнению с утекшим билдом? Новая область уведомлений на панели задач и новый проводник. Где-то стало лучше, а где-то все поломали (это о новом Пуске)

https://interface31.ru/tech_it/2021/07/insayderskaya-versiya-windows-11---teper-uzhe-vpolne-oficial-no.html

Пятничное. Одна дискета и поездка зимой за 80 км.

Добрый вечер, коллеги, всех с пятницей. 🍺🍺🍺

Дело было в начале 2000-х, я тогда работал в среднего размера местной компьютерной фирме в отделе обслуживания юрлиц. А в техотдел привезли из области сервер с NT4, железо там поменять, проапгрейдить. Заодно поставить вместо NT4 новую Windows 2000.

А у Win2k была тогда такая фишка, что если не загрузить отдельно smartdrive, то он будет копировать файлы до китайской пасхи, ну загружали, разумеется с дискеты.

В общем мой коллега Женя все установил, поставил чистый Windows 2000 Server, а так как в серверах был слаб позвал настроить меня. Все сделали, выключили запаковали в коробку, отдали клиенту.

Уже поздно вечером звонок, звонит Женя, мол сервер не включается, клиент рвет и мечет, директор сказал ему ехать на место и решать проблему. А так как в серверах он не бум-бум, то обещает магарыч, лишь бы я с ним поехал. Ну коллег надо выручать, собрался, поехали.

Половину пути преодолели по трассе, а потом пошли дороги районного значения, снег, метель, отсутствие освещения. Ехали 80 км часа два. Кстати на обратном пути чуть не снесли двух местных мужиков, которые в кромешной тьме, без каких либо светоотражающих средств толкали по полосе старенькие Жигули с выключенными световыми приборами. Благо на таких дорогах движения нет, ушли по встречке.

Ну в общем приехали, подходим к серверу и видим в дисководе дискету... 🙈🙈🙈

Легким движением руки извлекаем ее, жмем Reset и сервер взлетает... Все в шоке. Благо клиент попался понимающий, мол а чего вы по телефону не сказали, мы бы сами вытащили. Ну так кто знал... Зато напоили нас чаем с плюшками и мы поехали назад, вернулись уже глубокой ночью.

Вот как оно и бывает. Забыл вытащить дискету - получил долгое путешествие.

💰 Выделенные сервера за 1 доллар в месяц

Время от времени нам всем требуются недорогие выделенные сервера под различные нужды. Можно воспользоваться бесплатными предложениями от Google или Oracle, а можно приобрести что-то совсем дешевое.

Но нужно понимать, что ожидать чудес в этой ценовой категории не стоит, хотя иногда попадаются весьма интересные предложения. Например я уже не первый год использую в качестве персонального VPN-сервера VPS за 6 долларов в год (0,5 доллара в месяц!!!) и он вполне стабильно работает.

Из представленных ниже предложений наиболее интересно LEB Special 1GB KVM VPS от RackNerd и их представители достаточно активны в комментариях.

https://lowendbox.com/blog/1-vps-1-usd-vps-per-month/

DROP или REJECT???

Сегодня в очередной раз столкнулись с "непонятной" для одного нашего коллеги ситуацией. В которой вся непонятность заключалась в том, что он использовал DROP вместо REJECT.

DROP вообще пользуется популярностью, фигурируя во всех примерах и инструкциях, поэтому многие, по привычке, используют его.

В чем разница? DROP просто отбрасывает пакет, а REJECT при этом сообщает отправителю что порт недоступен.

Для внешних соединений практически всегда лучше использовать DROP, чтобы возможный злоумышленник не получил дополнительной информации о вашем узле. Есть там работающая служба или нет он может только догадываться.

REJECT же предпочтительнее для внутренних соединений. Во-первых, увеличится скорость работы, так как соединению не нужно будет ждать таймаута, сообщение о недоступности цели будет получено сразу. Во-вторых, это значительно упрощает отладку, так как есть четкое понимание, что узел функционирует нормально и отбрасывает вас именно брандмауэр. В противном случае можно потратить много сил и средств разбираясь в ситуации, особенно если сработало какое-то неявное правило с динамическим условием (и особенно если вы его вычитали где-то в интернете и слабо представляете как именно оно работает).

Поэтому для внутренних соединений всегда REJECT, для внешних - DROP.

Все знают команду tail в Linux которая позволяет в реальном времени просматривать изменения в файлах, скажем в файле логов.

Но мало кто знает, что в PowerShell есть ее аналог:

Get-Content <путь к файлу> -Wait

Подробнее читайте в нашей статье: https://interface31.ru/tech_it/2019/10/adminu-na-zametku---26-kak-prosmatrivat-log-fayl-v-rezhime-real-nogo-vremeni-v-windows-i-linux.html

Команды bash

Многие, особенно начинающие Linux-администраторы, путают команды bash с командами системы. Если мы хотим сменить рабочий каталог, то пишем cd, хотим посмотреть его содержимое - ls. Но при этом мало кто задумывается, что команда ls предоставляется одноименной утилитой, а cd - это команда bash. Т.е. у ls есть бинарный файл, а у cd - нет.

Обычно это не доставляет проблем, до тех пор, пока мы не захотим выполнить такую команду как бинарный файл. Например, если мы попытаемся в юните systemd написать что-то вроде:

ExecStart=cd /home/myname 

То такая конструкция работать не будет. Хотя, будучи запущенной интерактивно или через скрипт она будет нормально отрабатывать, даже в crontab можно было так написать. И этот факт вызывает у многих недоумение и непонимание того, что происходит. Но все просто, достаточно выполнить whereis cd и мы увидим, что бинарника у команды нет, потому что это команда bash и правильно нужно писать:

ExecStart=/bin/bash - c "cd /home/myname"

Т.е. сначала запускаем оболочку, а потом уже выполняем в ней команды.

А что будет если?

Когда я учился (по образованию инженер-связист), то один наш преподаватель очень любил проверять знания в весьма необычной форме. Он доставал принципиальную схему узла, который мы должны были изучить и говорил буквально следующее: «вот взял я кусачки и перекусил этот провод, что будет с устройством?»

При таком подходе просто выучить конспект было недостаточно, нужно было понимать работу схемы.

С тех пор прошло много лет, но очень часто я продолжаю задавать себе подобные вопросы, только теперь касаются они IT-инфраструктуры. Это очень здорово помогает понимать ее работу и находить критические точки отказа, иногда в самых неожиданных местах. Очень часто вместе поискать ответы я предлагаю и представителям заказчика.

Потому что, когда людям далеким от информационных технологий говоришь о необходимости дополнительных затрат на организацию резервирования, резервного копирования и т.д. и т.п. очень часто они смотрят на тебя как на человека, выпрашивающего денег.

А вот совместный разбор мест отказа очень сильно помогает IT и руководителям / владельцам бизнеса понять друг друга.

Потому что простой ответ на вопрос: «сколько стоит час простоя вот этого отдела?» очень часто решает то, что до этого приходилось выпрашивать месяцами, обосновывая необходимостью обеспечить чего-то там, руководству абсолютно непонятное.

А так все просто и предельно понятно. Причем не надо искусственно ограничивать себя рамками небольших аварий. Надо принимать все риски. Прорвало трубу в серверной, случился пожар в этом здании. Что будет тогда?

А ответы на эти вопросы, оформленные в виде подробного анализа рисков, помогут и руководству по-новому взглянуть на проблемы. И сразу выяснится, что настойчивые просьбы админа выделить ему под серверную еще одно помещение в новом корпусе не блажь, а жизненная необходимость.

А вы задаете себе подобные вопросы?

Оказывается известный сервис Speedtest есть и в консольном варианте. Ставится быстро и просто, иногда бывает полезен.

https://www.speedtest.net/apps/cli

Сегодня, благо была такая возможность, попробовал установить Proxmox VE 7 на реальное железо. Информация о нестабильной работе данного выпуска полностью подтвердилась. Не спешите обновляться и делать на его базе новые установки. Ждем 7.1...

Вчера обратился к нам читатель, у него проблема с подключением сканера ШК к 1С. Сканер OT-S109. Насколько я понял, это модель специально для казахского рынка и информации о ней минимум. Что нужно - драйвер для VCOM и управляющие штрихкоды для перевода сканера в этот режим. Если кто располагает информацией большая просьба поделиться.

Решаем проблему ошибки при установке Proxmox VE 6.x на системы с процессорами AMD содержащими встроенное видеоядро,

https://interface31.ru/tech_it/2021/07/oshibka-ustanovki-proxmox-ve-6-posle-polucheniya-nastroek-po-dhcp.html

Коротко о коммутируемых интерфейсах в Mikrotik. К коммутируемым интерфейсам относятся входящие PPP-подключения.

Их особенность состоит в том, что интерфейс подключения создается динамически в момент подключения клиента и имя вроде ovpn-имя_пользователя или l2tp-имя_пользователя. Несмотря на то, что имя интерфейса остается неизменным, для RouterOS это каждый раз новый интерфейс!

Что это значит? А то, что при переподключении все правила брандмауэра, маршруты и т.п., где используется сам интерфейс станут неверны.

Как определить динамический интерфейс? По наличию флага D - dynamic.

Как сделать так, чтобы интерфейс при переподключении клиента не менялся? Выполнить "биндинг" интерфейса. Для этого в Interfaces добавьте новый интерфейс типа VPN Server Binding - где VPN - нужный вам тип подключения.

Далее все просто, нужно указать ровно два параметра: имя интерфейса и имя (логин) VPN-клиента к которому будет привязан данный интерфейс. Эту процедуру следует повторить для каждого VPN-пользователя.