Мониторинг - он такой разный
Каждый администратор рано или поздно приходит к теме мониторинга. Но мониторинг - он бывает разный и нельзя сказать что какой-то хуже или лучше. Он, как и любой инструмент, рассчитан на свой круг задач, где-то узкий, где-то широкий.
📉 Начнем с совсем простых инструментов. Таких как Системный монитор в Windows или, например, nmon в Linux.
Это приложения наподобие диспетчера задач, но немного круче - они позволяют произвольно сочетать и отслеживать в реальном времени нужные метрики и проводить причинно-следственные связи между ними. А также могут записать нужную информацию в файл.
Они хороши когда нужно разобраться здесь и сейчас. Когда кто-то сильно грузит систему или потребляет много ресурсов.
🟢 Вторая категория - это локальный мониторинг отдельного узла, мы рассматривали одну из таких программ - Monitorix. Она уже постоянно запущена, как сервис и собирает заданные метрики на постоянной основе, а также умеет вовремя оповещать о происходящих событиях.
Подключившись к ней можно оценить текущую загрузку узла, тенденции изменения показателей, их историю. Не требует сторонней инфраструктуры.
Но минус всех этих программ в том, что если сервер с ними вдруг окажется недоступен, то вы так и не сможете узнать о том, что происходило перед этим, так как мониторинг будет недоступен вместе с сервером.
🛰 Отдельной строчкой стоят средства мониторинга сети, один из популярных - The Dude от Mikrotik.
Можно ли при помощи Dude контролировать метрики узла? Кое что можно, но для этого есть другие инструменты, более для этого предназначенные. А так и саморезы можно молотком забивать, при великой и неотложной нужде.
Эти программы в первую очередь нужны для того, чтобы быстро реагировать на происшествия в вашей сетевой инфраструктуре. Показывая доступность узлов и нагрузку каналов. Это тоже важно и нужно, но не заменяет другие средства.
🏆 Ну и наконец такие монстры уровня предприятия как Zabbix. Многие представляют его как пульт управления ядерным реактором. Где мигают лампочки, рисуются графики, постоянно меняются показатели.
Многие даже начинают настраивать под себя визуализацию. Но на деле все гораздо скучнее и прозаичнее. Zabbix - это действительно ПО уровня предприятия. И куча графиков будет только мешать, отвлекая от важного. Ну и как показывает практика, смотрят на них всего пару раз. Сразу как сделал и когда решил показать другу.
Zabbix, как и любой хороший мониторинг такого класса, вообще не должен привлекать к себе излишнего внимания. Его задача вовремя оповестить от том, что где-то там возникла проблема и с этим он отлично справляется.
Когда в вашем подчинении оказывается пару десятков устройств, то уделить каждому внимание и просмотреть показатели становится практически невозможным (ну или надо забросить другие дела). Поэтому Zabbix работает по другому. Он молча собирает показатели и сообщает когда они выходят за пределы установленных значений.
У опытных админов на панели Zabbix обычно всего два виджета: проблемы и история проблем.
☝️ При этом нельзя сказать, что какая-то одна из систем может закрыть на 100% все запросы. Системы мониторинга дополняют друг друга и нет ничего плохого в том, чтобы их комбинировать.
Каждый администратор рано или поздно приходит к теме мониторинга. Но мониторинг - он бывает разный и нельзя сказать что какой-то хуже или лучше. Он, как и любой инструмент, рассчитан на свой круг задач, где-то узкий, где-то широкий.
📉 Начнем с совсем простых инструментов. Таких как Системный монитор в Windows или, например, nmon в Linux.
Это приложения наподобие диспетчера задач, но немного круче - они позволяют произвольно сочетать и отслеживать в реальном времени нужные метрики и проводить причинно-следственные связи между ними. А также могут записать нужную информацию в файл.
Они хороши когда нужно разобраться здесь и сейчас. Когда кто-то сильно грузит систему или потребляет много ресурсов.
🟢 Вторая категория - это локальный мониторинг отдельного узла, мы рассматривали одну из таких программ - Monitorix. Она уже постоянно запущена, как сервис и собирает заданные метрики на постоянной основе, а также умеет вовремя оповещать о происходящих событиях.
Подключившись к ней можно оценить текущую загрузку узла, тенденции изменения показателей, их историю. Не требует сторонней инфраструктуры.
Но минус всех этих программ в том, что если сервер с ними вдруг окажется недоступен, то вы так и не сможете узнать о том, что происходило перед этим, так как мониторинг будет недоступен вместе с сервером.
🛰 Отдельной строчкой стоят средства мониторинга сети, один из популярных - The Dude от Mikrotik.
Можно ли при помощи Dude контролировать метрики узла? Кое что можно, но для этого есть другие инструменты, более для этого предназначенные. А так и саморезы можно молотком забивать, при великой и неотложной нужде.
Эти программы в первую очередь нужны для того, чтобы быстро реагировать на происшествия в вашей сетевой инфраструктуре. Показывая доступность узлов и нагрузку каналов. Это тоже важно и нужно, но не заменяет другие средства.
🏆 Ну и наконец такие монстры уровня предприятия как Zabbix. Многие представляют его как пульт управления ядерным реактором. Где мигают лампочки, рисуются графики, постоянно меняются показатели.
Многие даже начинают настраивать под себя визуализацию. Но на деле все гораздо скучнее и прозаичнее. Zabbix - это действительно ПО уровня предприятия. И куча графиков будет только мешать, отвлекая от важного. Ну и как показывает практика, смотрят на них всего пару раз. Сразу как сделал и когда решил показать другу.
Zabbix, как и любой хороший мониторинг такого класса, вообще не должен привлекать к себе излишнего внимания. Его задача вовремя оповестить от том, что где-то там возникла проблема и с этим он отлично справляется.
Когда в вашем подчинении оказывается пару десятков устройств, то уделить каждому внимание и просмотреть показатели становится практически невозможным (ну или надо забросить другие дела). Поэтому Zabbix работает по другому. Он молча собирает показатели и сообщает когда они выходят за пределы установленных значений.
У опытных админов на панели Zabbix обычно всего два виджета: проблемы и история проблем.
☝️ При этом нельзя сказать, что какая-то одна из систем может закрыть на 100% все запросы. Системы мониторинга дополняют друг друга и нет ничего плохого в том, чтобы их комбинировать.
👍32
Всем привет, меня зовут Игорь Трунов, я co-owner компании Advisability Group. Я много лет успешно развиваю бизнес в IT-сфере.
Работая с молодыми ребятами из сферы digital, я сделал вывод, что между нами много общего: взгляды на мир, ценности, вдохновляющие нас герои. Я назвал наше поколение «Digital Generation» — это те, кто легко ориентируется в новых коммуникационных реалиях и причастен к сфере digital в России.
Я хочу собрать, а затем зафиксировать ценности Digital-поколения, рассказать о героях Digital в России. Результатом этого исследования станет книга, куда войдут невыдуманные истории поколения Digital. Оставь свою историю здесь, чтобы принять участие
Наша сфера напрямую связана с постоянными изменениями, поэтому я решил, что не могу отпустить своих респондентов с пустыми руками. Как только мы соберем 300 анкет, я проведу эфир в своем инстаграм, где один из участников получит возможность отправиться на недельную стажировку в моей компании Advisability Group в Сербии!
Для тех, кто по каким-то причинам не сможет поехать на стажировку я предлагаю альтернативу — iPhone 14 Pro. Приз победитель выбирает сам!
Работая с молодыми ребятами из сферы digital, я сделал вывод, что между нами много общего: взгляды на мир, ценности, вдохновляющие нас герои. Я назвал наше поколение «Digital Generation» — это те, кто легко ориентируется в новых коммуникационных реалиях и причастен к сфере digital в России.
Я хочу собрать, а затем зафиксировать ценности Digital-поколения, рассказать о героях Digital в России. Результатом этого исследования станет книга, куда войдут невыдуманные истории поколения Digital. Оставь свою историю здесь, чтобы принять участие
Наша сфера напрямую связана с постоянными изменениями, поэтому я решил, что не могу отпустить своих респондентов с пустыми руками. Как только мы соберем 300 анкет, я проведу эфир в своем инстаграм, где один из участников получит возможность отправиться на недельную стажировку в моей компании Advisability Group в Сербии!
Для тех, кто по каким-то причинам не сможет поехать на стажировку я предлагаю альтернативу — iPhone 14 Pro. Приз победитель выбирает сам!
👎26🤬2😁1🤔1
https://www.ozon.ru/product/240-gb-vnutrenniy-ssd-disk-western-digital-ssd-nakopitel-wd-green-240gb-wds240g2g0a-634242035/?sh=LT7KSHkStg
✅В условиях, когда технику нужно беречь как никогда, актуальный вопрос запчастей и комплектующих для ремонта.
✅Наша фирма закупает и привозит только самые качественные и современные решения для модернизации вашего ПК или ноутбука.
✅Так, твердотельный SSD накопитель нового поколения фирмы WD GreenSSD накопитель подарит вторую жизнь вашему ПК или ноутбуку: доказанное увеличение производительности до 10 раз.
✅Универсальный разъём SATA позволяет устанавливать накопитель на любую технику любого возраста.
✅Лёгкий и ударостойкий, низкое потребление энергии.
✅Маркировка внутреннего накопителя G2 говорит о более надёжной системе хранения данных.
✅Универсальный тип разъем SATA позволяет подключать накопитель как к новым, так и к более старым моделям ПК и ноутбуков.
✅В условиях, когда технику нужно беречь как никогда, актуальный вопрос запчастей и комплектующих для ремонта.
✅Наша фирма закупает и привозит только самые качественные и современные решения для модернизации вашего ПК или ноутбука.
✅Так, твердотельный SSD накопитель нового поколения фирмы WD GreenSSD накопитель подарит вторую жизнь вашему ПК или ноутбуку: доказанное увеличение производительности до 10 раз.
✅Универсальный разъём SATA позволяет устанавливать накопитель на любую технику любого возраста.
✅Лёгкий и ударостойкий, низкое потребление энергии.
✅Маркировка внутреннего накопителя G2 говорит о более надёжной системе хранения данных.
✅Универсальный тип разъем SATA позволяет подключать накопитель как к новым, так и к более старым моделям ПК и ноутбуков.
👎42🤔7🤬6👍3😱1
Сегодня поговорим PermitRootLogin
Самый частый вопрос у начинающих - это как включить вход root с паролем по SSH.
Для этого предназначена опция PermitRootLogin в /etc/ssh/sshd_config
Она может иметь следующие значения:
✅ yes - вход root по SSH разрешен без ограничений, самый нежелательный вариант, потому как боты сразу начнут подбирать пароль, в этом случае обязательно прикройтесь Fail2ban или используйте Port Knocking.
🚫 no - вход root по SSH запрещен.
⛔️ prohibit-password - вход с паролем запрещен, только по открытому ключу.
⚠️ without-password - устаревший аналог предыдущей опции, может встречаться в старой документации.
‼️ forced-commands-only - пожалуй, самое интересное значение, запрещает вход root, но позволяет выполнять от его имени заранее указанные команды.Аутентификация только по ключу.
Для этого в ключ добавляются опции:
Хотя это можно сделать и через sudo. Но Linux тем и хорош, что в нем много разных путей.
Самый частый вопрос у начинающих - это как включить вход root с паролем по SSH.
Для этого предназначена опция PermitRootLogin в /etc/ssh/sshd_config
Она может иметь следующие значения:
✅ yes - вход root по SSH разрешен без ограничений, самый нежелательный вариант, потому как боты сразу начнут подбирать пароль, в этом случае обязательно прикройтесь Fail2ban или используйте Port Knocking.
🚫 no - вход root по SSH запрещен.
⛔️ prohibit-password - вход с паролем запрещен, только по открытому ключу.
⚠️ without-password - устаревший аналог предыдущей опции, может встречаться в старой документации.
‼️ forced-commands-only - пожалуй, самое интересное значение, запрещает вход root, но позволяет выполнять от его имени заранее указанные команды.Аутентификация только по ключу.
Для этого в ключ добавляются опции:
command="/bin/mycommand" ssh-rsa my_public_key
А затем на хосте достаточно использовать:ssh root@host mycommand
Для чего это нужно? В первую очередь для автоматизиции, когда вам нужно запускать из скриптов или других систем какие-то команды на удаленной системе. Хотя это можно сделать и через sudo. Но Linux тем и хорош, что в нем много разных путей.
👍29
Какую настройку PermitRootLogin вы чаще всего используете?
Anonymous Poll
22%
yes
29%
no
13%
prohibit-password
0%
forced-commands-only
19%
root отключен, работаю через sudo
23%
посмотреть ответы
Forwarded from PartsDirect & Запчасти 🧨
This media is not supported in your browser
VIEW IN TELEGRAM
💥 Друзья, всем привет!
Завтра с 12:00 и до 12:00 понедельника мы проведём Чёрную Пятницу со скидками на целую кучу разных товаров!
Не забудьте зайти к нам на сайт и поделитесь с друзьями! Надеемся, вам понравится!
Завтра с 12:00 и до 12:00 понедельника мы проведём Чёрную Пятницу со скидками на целую кучу разных товаров!
Не забудьте зайти к нам на сайт и поделитесь с друзьями! Надеемся, вам понравится!
🤔3👍2🔥1
И тут со дна постучали...
Port Knocking - популярный способ ограничить доступ к портам, открытым во внешнюю сеть.
1️⃣ Обычно для этого выбирается несколько портов, в которые нужно "постучать" в правильной последовательности.
2️⃣ Второй способ заключается в посылке ICMP-пакета определенного размера.
3️⃣ Но есть и третий способ - оправить на заданный порт UDP дейтаграмму с определенной текстовой строкой.
Ниже показан пример реализации этого способа на роутерах Mikrotik:
📚 Также рекомендуем прочитать:
Настраиваем Port Knocking в Mikrotik
Настраиваем Port Knocking в Linux (Debian / Ubuntu)
Port Knocking - популярный способ ограничить доступ к портам, открытым во внешнюю сеть.
1️⃣ Обычно для этого выбирается несколько портов, в которые нужно "постучать" в правильной последовательности.
2️⃣ Второй способ заключается в посылке ICMP-пакета определенного размера.
3️⃣ Но есть и третий способ - оправить на заданный порт UDP дейтаграмму с определенной текстовой строкой.
Ниже показан пример реализации этого способа на роутерах Mikrotik:
/ip firewall layer7-protocol
add name="UDP String" regexp="^4&sKHiY80\$"
/ip firewall filter
add action=add-src-to-address-list address-list=KNOCK-ACCEPT address-list-timeout=1m chain=input dst-port=29819 layer7-protocol="UDP String" protocol=udp
add action=accept chain=input dst-port=8291 protocol=tcp src-address-list=KNOCK-ACCEPT
Для отправки можно использовать утилиту PortKnock.📚 Также рекомендуем прочитать:
Настраиваем Port Knocking в Mikrotik
Настраиваем Port Knocking в Linux (Debian / Ubuntu)
👍18🔥5🤔1
О жизни... Почта России.
Побывал сегодня в очередной раз в этом филиале преисподней на земле. Вроде и народу было откровенно немного, но простоял, как всегда, долго. Хотя работало три окна!
И сколько раз я там не бываю, то снова и снова поражаюсь неэффективности организации обслуживания клиентов.
Основная причина очередей в отделении - это занятие всех окон "долгими" клиентами. Обычно это "юрики" со стопками заказных писем или люди с посылками.
Большая половина стоит чего-то там получить. А это - минутное дело.
Я уже молчу про электронную очередь, которая бы позволила видеть кто и зачем и не допускать занятия всех окон надолго. Можно же элементарно оставить одно окно на простые операции. Где просто будут выдавать или отправлять не более, скажем, 1-2 писем. Остальные - в отдельную очередь.
Вроде ввели запись. Но это тоже не спасает. Приходишь ко времени, а во всех трех окнах "юрики" с письмами. Или наоборот, перед тобой приходит такой "юрик" по записи и все надолго останавливается.
И мне вот интересно, ну неужели ни у кого из почтового начальства нет понимания этих простых вещей? Сложно оставить одно окно для быстрых операций? Или так нравится наблюдать километровые очереди в отделении, если большинство просто пришло за посылкой?
Побывал сегодня в очередной раз в этом филиале преисподней на земле. Вроде и народу было откровенно немного, но простоял, как всегда, долго. Хотя работало три окна!
И сколько раз я там не бываю, то снова и снова поражаюсь неэффективности организации обслуживания клиентов.
Основная причина очередей в отделении - это занятие всех окон "долгими" клиентами. Обычно это "юрики" со стопками заказных писем или люди с посылками.
Большая половина стоит чего-то там получить. А это - минутное дело.
Я уже молчу про электронную очередь, которая бы позволила видеть кто и зачем и не допускать занятия всех окон надолго. Можно же элементарно оставить одно окно на простые операции. Где просто будут выдавать или отправлять не более, скажем, 1-2 писем. Остальные - в отдельную очередь.
Вроде ввели запись. Но это тоже не спасает. Приходишь ко времени, а во всех трех окнах "юрики" с письмами. Или наоборот, перед тобой приходит такой "юрик" по записи и все надолго останавливается.
И мне вот интересно, ну неужели ни у кого из почтового начальства нет понимания этих простых вещей? Сложно оставить одно окно для быстрых операций? Или так нравится наблюдать километровые очереди в отделении, если большинство просто пришло за посылкой?
👍34😁6🔥2
Forwarded from Группа НЛМК
💡 Представьте, что у вас есть рулон металла шириной в 1 метр и длиной 5 км. На нем встречаются изъяны: чаще с краев, иногда в центре. Нужно обрезать его так, чтобы на выходе получить рулон без критичных дефектов.
🖇 Казалось бы, эта задача «со звездочкой» идеально подходит для математической модели. Перебор миллиона комбинаций в секунду должен «работать» лучше человеческого мозга, но оказалось, что без опыта и знаний резчика не обойтись. В подробном разборе на Хабре читайте, как у нас получилось объединить практические навыки человека и скорость вычисления цифрового помощника, чтобы получить отличные результаты.
#НЛМК #НЛМК_Хабр
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
😎 systemd - управляем загрузкой служб
Прежде всего выясним статус службы, для этого выполним
Для того, чтобы включить автозагрузку службы используйте:
🔹 UNIT - юнит службы
🔹 LOAD - статус юнита, loaded - загружен в конфигурацию systemd
🔹 ACTIVE - текущий статутс, показывает запущена ли служба
🔹SUB - более низкоуровневое состояние, зависит от типа юнита, так running показывает что служба запущена и работает, а exited - что она выполнила свою задачу и прекратила работу.
☝️ Также существует простой и удобный способ узнать текущий статус службы.
Чтобы проверить запущена ли она, выполните:
Прежде всего выясним статус службы, для этого выполним
systemctl status myservice
В выводе нас интересует следующая строка:Loaded: loaded (/path_to/myservice.service; enabled; vendor preset: enabled)
Где loaded - обозначает что юнит проанализирован systemd и загружен в текущую конфигурацию, enabled - автозагрузка сервиса включена, vendor preset: enabled - статус автозагрузки по умолчанию, enabled обозначает, что служба будет автоматически добавлена в автозагрузку при установке пакета.Для того, чтобы включить автозагрузку службы используйте:
systemctl enable myservice
При этом, чтобы два раза не вставать, можно сразу и запустить службу:systemctl enable --now myservice
Для выключения автозагрузки выполните:systemctl disable myservice
Посмотреть полный список служб в системе можно командой:systemctl list-units --type=service
Вывод представляет собой несколько колонок:🔹 UNIT - юнит службы
🔹 LOAD - статус юнита, loaded - загружен в конфигурацию systemd
🔹 ACTIVE - текущий статутс, показывает запущена ли служба
🔹SUB - более низкоуровневое состояние, зависит от типа юнита, так running показывает что служба запущена и работает, а exited - что она выполнила свою задачу и прекратила работу.
☝️ Также существует простой и удобный способ узнать текущий статус службы.
Чтобы проверить запущена ли она, выполните:
systemctl is-active myservice
Включена ли в автозагрузку:systemctl is-enabled myservice
Завершился ли ее запуск ошибкой:systemctl is-failed myservice
👍 Код завершения команды при положительном ответе - 0, что позволяет удобно выяснять состояние служб в скриптах.
👍30
Пятничное, о жизни. Матрица Эйзенхауэра.
Указанную выше матрицу, я думаю, видели многие. Сегодня как раз обсуждали ее с одним из заказчиков за чашкой кофе в разгар подготовки объекта к сдаче.
И оба мы с ним сошлись на мысли, что пункты 2 и 3 лучше поменять местами.
Потому как важное обычно занимает много времени и руки до неважных дел могут и не дойти.
А срочные и неважные дела - они такие, имеют эффект накапливаться и иметь эффект обухом по голове.
Ровно как в той поговорке, когда писец подкрался незаметно, но виден был издалека.
А вы как думаете?
1. Важно и срочно - задачи которые имеют наибольший приоритет и срок выполнения их подходит к концу.
2. Не срочно, важно. Приоритетные задачи, срок выполнения которых находится в будущем.
3. Важно, не срочно - задачи, не имеющие особого влияния на рабочие процессы, но причиняющие дискомфорт, неудобства или способные их вызвать в будущем.
4. Не срочно, не важно - задачи типа было бы неплохо когда-нибудь сделать.
🔻 Комментарии в опросе ниже 🔻
Указанную выше матрицу, я думаю, видели многие. Сегодня как раз обсуждали ее с одним из заказчиков за чашкой кофе в разгар подготовки объекта к сдаче.
И оба мы с ним сошлись на мысли, что пункты 2 и 3 лучше поменять местами.
Потому как важное обычно занимает много времени и руки до неважных дел могут и не дойти.
А срочные и неважные дела - они такие, имеют эффект накапливаться и иметь эффект обухом по голове.
Ровно как в той поговорке, когда писец подкрался незаметно, но виден был издалека.
А вы как думаете?
1. Важно и срочно - задачи которые имеют наибольший приоритет и срок выполнения их подходит к концу.
2. Не срочно, важно. Приоритетные задачи, срок выполнения которых находится в будущем.
3. Важно, не срочно - задачи, не имеющие особого влияния на рабочие процессы, но причиняющие дискомфорт, неудобства или способные их вызвать в будущем.
4. Не срочно, не важно - задачи типа было бы неплохо когда-нибудь сделать.
🔻 Комментарии в опросе ниже 🔻
👍2
Какой вариант действий вы предпочитаете?
Anonymous Poll
33%
Сначала срочные, но не важные
20%
Сначала важные, но не срочные
31%
Я раздолбай, мне пофиг
16%
Посмотреть ответы
Mikrotik и OpenVPN, теперь RouterOS 7
🗒 В ROS 7 обещали серьезно доработать OpenVPN сервер. Кое что даже сделали, например, теперь он умеет в качестве транспорта UDP. Но проблемы производительности как были, так и остались.
Занимаясь подготовкой очередного материала мы собрали схему на ROS 7 и в качестве сервера и в качестве клиента. В качестве роутеров использовали CHR, в каждом по виртуальному гигабитному адаптеру, плюс одно ядро от Ryzen 7 2700X.
❓А почему бы и не потестить? Взяли и потестили. Результаты выше.
Между собой по UDP роутеры кое как раскочегарили 300 Мбит/с, а вот два узла в сетях за ними показали куда более печальный результат - всего около 100 Мбит/с, т.е. примерно 10% доступного канала.
👎 В общем, садись Mikrotik, двойка...
🗒 В ROS 7 обещали серьезно доработать OpenVPN сервер. Кое что даже сделали, например, теперь он умеет в качестве транспорта UDP. Но проблемы производительности как были, так и остались.
Занимаясь подготовкой очередного материала мы собрали схему на ROS 7 и в качестве сервера и в качестве клиента. В качестве роутеров использовали CHR, в каждом по виртуальному гигабитному адаптеру, плюс одно ядро от Ryzen 7 2700X.
❓А почему бы и не потестить? Взяли и потестили. Результаты выше.
Между собой по UDP роутеры кое как раскочегарили 300 Мбит/с, а вот два узла в сетях за ними показали куда более печальный результат - всего около 100 Мбит/с, т.е. примерно 10% доступного канала.
👎 В общем, садись Mikrotik, двойка...
😁18👍3
Влияние шифров и алгоритмов аутентификации на скорость OpenVPN.
Сервер - ROS 7.6
Клиент - 2.4.7 Windows 11
Если разница между AES 128 и AES 256 вполне ожидаема, то тот факт, что SHA 512 быстрее SHA 256 может удивить, но на самом деле это так. SHA 512 - быстрее.
Сервер - ROS 7.6
Клиент - 2.4.7 Windows 11
Если разница между AES 128 и AES 256 вполне ожидаема, то тот факт, что SHA 512 быстрее SHA 256 может удивить, но на самом деле это так. SHA 512 - быстрее.
👍22
Микротик и экспорт/импорт конфигурации
С экспортом/импортом конфигурации ROS знакомы все, это самый простой и понятный способ сохранить текущую конфигурацию с возможностью последующего использования как на этом, так и на других устройствах. По сути, это обычный текстовый файл, который можно редактировать, таким образом адаптируя конфигурацию под конкретное устройство.
Для экспорта обычно используется команда:
Поэтому в ROS 7 нужно использовать другой ключ show-sensitive, который, наоборот, будет экспортировать приватную информацию.
С экспортом/импортом конфигурации ROS знакомы все, это самый простой и понятный способ сохранить текущую конфигурацию с возможностью последующего использования как на этом, так и на других устройствах. По сути, это обычный текстовый файл, который можно редактировать, таким образом адаптируя конфигурацию под конкретное устройство.
Для экспорта обычно используется команда:
export file=my_file_name
В RouterOS 6 в файл выгрузки попадали ключи, пароли и иная приватная информация, что в некоторых случаях было нежелательно. Для того, чтобы это предотвратить нужно было добавить ключ hide-sensitive:export hide-sensitive file=my_file_name
‼️ Но в RouterOS 7 поведение команды радикально изменилось и hide-sensitive включен по умолчанию. А это может привести к различным неожиданным и неприятным ситуациям, когда вы восстановили конфигурацию и остались без паролей...Поэтому в ROS 7 нужно использовать другой ключ show-sensitive, который, наоборот, будет экспортировать приватную информацию.
export show-sensitive file=my_file_name
☝️ В целом, вроде бы, мелочь, но именно из-за таких мелочей и возникают всякие нештатные ситуации. Поэтому не забывайте о таких тонкостях, а лучше всего явно указывайте опции выгрузки, чтобы быть уверенным в том, что выгрузка точно содержит или точно не содержит приватных данных.
👍38
И еще раз про сертификаты…
Настраивая OpenVPN или любой другой VPN с аутентификацией по сертификатам, начинающие администраторы редко задумываются о том, что такое центр сертификации (CA) и размещают его прямо на роутере.
Но есть ряд причин этого не делать, особенно если ваш роутер Mikrotik. Почему? Читайте ниже:
☝️Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов
Также будет полезно изучить этот материал, чтобы понимать, как взаимодействуют ваша инфраструктура открытых ключей – PKI и OpenVPN.
🤔 OpenVPN и инфраструктура открытых ключей (PKI)
А теперь о том, как делать правильно! Берем любой компьютер с Linux, лучше всего отдельный контейнер и поднимаем в нем собственный CA, например, на Easy-RSA 3. Это значительно повысит надежность и безопасность вашей инфраструктуры PKI и позволит управлять всем из одного места.
👍 Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3
Настраивая OpenVPN или любой другой VPN с аутентификацией по сертификатам, начинающие администраторы редко задумываются о том, что такое центр сертификации (CA) и размещают его прямо на роутере.
Но есть ряд причин этого не делать, особенно если ваш роутер Mikrotik. Почему? Читайте ниже:
☝️Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов
Также будет полезно изучить этот материал, чтобы понимать, как взаимодействуют ваша инфраструктура открытых ключей – PKI и OpenVPN.
🤔 OpenVPN и инфраструктура открытых ключей (PKI)
А теперь о том, как делать правильно! Берем любой компьютер с Linux, лучше всего отдельный контейнер и поднимаем в нем собственный CA, например, на Easy-RSA 3. Это значительно повысит надежность и безопасность вашей инфраструктуры PKI и позволит управлять всем из одного места.
👍 Создание ключей и сертификатов для OpenVPN при помощи Easy-RSA 3
👍21🔥3
♻️ AdRestore – быстро и просто восстанавливаем удаленные объекты AD
Современные администраторы немного избалованы инструментами вроде корзины, позволяющими быстро вернуть на место удаленные объекты Active Directory.
Но корзина может быть отключена или уровень домена ниже Server 2008 R2, что не позволяет воспользоваться этой возможностью. При том, что объекты удаляли, удаляют и будут удалять.
Можно, конечно, воспользоваться особой консольной магией, при помощи Netdom, но есть способ проще - простая консольная утилита AdRestore от Марка Руссиновича.
Применять ее очень просто:
После чего вы получите полный список объектов, которые можно восстановить.
Если объектов много, то можно сузить поиск указав известную часть имени, любую часть, без всяких подстановочных симоволов:
Современные администраторы немного избалованы инструментами вроде корзины, позволяющими быстро вернуть на место удаленные объекты Active Directory.
Но корзина может быть отключена или уровень домена ниже Server 2008 R2, что не позволяет воспользоваться этой возможностью. При том, что объекты удаляли, удаляют и будут удалять.
Можно, конечно, воспользоваться особой консольной магией, при помощи Netdom, но есть способ проще - простая консольная утилита AdRestore от Марка Руссиновича.
Применять ее очень просто:
Adrestore.exe После чего вы получите полный список объектов, которые можно восстановить.
Если объектов много, то можно сузить поиск указав известную часть имени, любую часть, без всяких подстановочных симоволов:
Adrestore.exe smir
Затем, обнаружив нужный объект восстанавливаем его:Adrestore.exe -r MASmirnova
☝️ Все, что вам останется – это подтвердить восстановление объектов, если объектов несколько, то подтверждение будет запрашиваться для каждого, что дает возможность восстановить данные выборочно.
👍32🔥6