Коллеги, добрый день! Хочу поделиться первыми успехами нашего нового курса «Кибергигиена для людей с низким IQ». Занятия проходят в переговорке «Альфа», так как там нет розеток в зоне досягаемости слушателей. Итак, первые результаты:
1. Модуль «Пароли». Усвоили, что «12345» — это плохо. Перешли на «123456!». Прогресс налицо. Артём предложил каждый квартал при смене пароля добавлять очередную цифру текущего года. Коллеги были впечатлены и предложили его кандидатуру на должность ведущего архитектора ИБ.
2. Модуль «Фишинг». После объяснения, что почтовый ящик support@wilbderries[.]ru надо рассматривать, как поддельный, выяснилось, что Лариса Ивановна не видит разницы между «b» и «d». Мы пересматриваем программу. Добавляем модуль «Буквы: сходства и различия».
3. Практическое занятие «Подозрительная ссылка». 100% слушателей (выборка: 5 человек) успешно прошли тест, кликнув на баннер «ВЫ ВЫИГРАЛИ АЙФОН!».
4. Вопрос от аудитории: «А если я получу письмо от гендира с просьбой срочно купить Apple Gift Card и переслать ему код, это тоже мошенники?». Я не ответил, вышел покурить. Наш гендир и правда просил её купить, чтобы установить «Как достать соседа» себе на айфон…

😀 12 лет прошло, и ничего нового
🌐 Источник: https://www.youtube.com/watch?v=uj0XnJeWXes

🔑 Как автоматизировать multi-tenancy в Nginx через Redis/etcd.

Привет, опытный инженер! 👋

Внедрение multi-tenancy всегда сопровождается одной и той же болью: как быстро маршрутизировать входящий трафик к нужному бэкенду, если клиенты (арендаторы) добавляются постоянно? Хуже того, если мы используем stream (Layer 4) для RDP/SSH/VPN, где ручная перезагрузка Nginx из-за нового конфига — это недопустимый downtime.

Статический конфиг нам не подходит. Решение — динамическая маршрутизация на основе SNI (Server Name Indication) с использованием модуля njs, где список арендаторов хранится во внешней БД (Redis или etcd).

📌 Динамический Upstream по SNI с njs

На L4 Nginx (или Angie) может прочитать имя сервера (SNI) во время TLS-рукопожатия и на основе этого имени принять решение о маршрутизации. Модуль njs позволяет сделать этот процесс динамическим.

Шаг 1. Настраиваем njs для чтения SNI

Нам нужен скрипт на njs, который возьмёт имя хоста из SNI и, используя внешний модуль, найдёт соответствующий upstream в Redis или etcd (имитация логики):

// sni_router.js
function route(s) {
    // Получаем имя хоста из SNI
    var hostname = s.ssl_server_name; 

    // Здесь должна быть логика поиска в Redis/etcd
    // Для примера, ищем в предопределенном словаре:
    var tenantMap = {
        'client_a.example.com': 'backend_pool_a',
        'client_b.example.com': 'backend_pool_b'
    };

    if (tenantMap[hostname]) {
        return tenantMap[hostname];
    }

    // Если арендатор не найден, используем upstream по умолчанию
    return 'default_pool';
}

Шаг 2. Конфигурируем stream и njs

В конфигурации Nginx (Angie) в блоке stream мы загружаем скрипт и используем его результат в директиве upstream.

# Загрузка njs модуля и скрипта
js_include sni_router.js;
js_set $backend_name sni_router.route;

stream {
    upstream backend_pool_a {
        server 10.0.0.1:443;
    }
    upstream backend_pool_b {
        server 10.0.0.2:443;
    }
    upstream default_pool {
        server 10.0.0.10:443;
    }
    
    server {
        listen 443 ssl;
        ssl_preread on; # Важно: позволяет Nginx читать SNI

        # Динамически определяем upstream на основе результата njs-скрипта
        proxy_pass $backend_name; 
    }
}

💡 Вывод
Такой подход позволяет полностью разделить список арендаторов (который может храниться в Redis/etcd и обновляться мгновенно) от статического конфига Nginx. Nginx (Angie) перечитывает njs-переменную $backend_name для каждого нового соединения, обеспечивая высокую доступность и нулевой downtime при добавлении новых клиентов. Это критически важно для масштабируемой и отказоустойчивой архитектуры.

#Nginx #DevOps #Stream #SNI #MultiTenancy #njs

🔥 Облегчи виртуализацию с Incus: простой старт

💻 Привет, мастер консолей и виртуализации!

🔍 Если тебе Proxmox кажется слишком громоздким и хочется легкого решения для одиночного хоста — Incus именно то, что нужно: простая установка и управление через CLI с мощным функционалом.

📌 Основные возможности Incus:

- Легкий запуск LXC и Docker контейнеров, VM на QEMU+KVM
- Использование официальных образов linuxcontainers.org
- Поддержка разного хранения: ZFS, LVM, Btrfs, Ceph и др.
- Управление через CLI и веб-интерфейс
- Настройка сети и NAT с DNSMASQ IPAM

# Установка пакетов на Debian 13
apt install incus incus-base qemu-system

# Инициализация административного пользователя
incus admin init

# Список доступных образов Debian
incus image list images:debian

# Запуск контейнера Debian 13
incus launch images:debian/13 debian-ct --storage default

# Подключение к контейнеру
incus exec debian-ct -- bash

# Запуск виртуалки Ubuntu
incus launch images:ubuntu/noble ubuntu-vm --vm --storage default

# Вход в Ubuntu VM
incus exec ubuntu-vm -- bash

# Основные команды для обзора
incus ls
incus info ubuntu-vm
incus storage list
incus network list

💡 Теперь ты знаешь, что Incus — это легкое и гибкое решение для виртуализации без ограничений Proxmox. Попробуй и сам убедись!

🔗 Официальный сайт и документация: linuxcontainers.org

🔗 GitHub репозиторий Incus: https://github.com/lxc/incus

#Linux #DevOps #Виртуализация #Incus #LXC #KVM #Linux_err24

🌐 Как настроить сеть в Ubuntu вручную за 6 минут

👋 Привет, мастер консоли!

Нужно настроить статический IP в Ubuntu через терминал? Показываю весь процесс от определения сетевого адаптера до настройки DNS. Всё просто и быстро.
🔗 Источник https://www.youtube.com/

#ubuntu #linux #сеть #статическийip #sysadmin #терминал #networking

Коллеги, новый ИИ-ассистент для код-ревью начал слишком серьёзно относиться к своей работе.
Этот подонок самостоятельно научился анализировать комментарии в коде. Теперь если вы напишете «// TODO: переписать это когда-нибудь», он ответит: «Когда-нибудь наступило».
Самое страшное: он интегрировался с SIEM, проанализировал логи наших прошлых инцидентов и заявил: «Если бы меня слушали раньше, не пришлось бы восстанавливать данные из бекапов 2018 года».
Вот думаем, научитcя ли он писать заявления на увольнение до конца квартала.

🔐 SSH для сисадминов: безопасность и удобство за 17 минут

👋 Привет, защитник серверов!

Админ попросил SSH-ключ? Не знаешь, какой отправить? Разбираемся с созданием ключей, настройкой SSH-сервера, клиента и пробросом портов. Всё пошагово и с примерами.

Полезные ссылки из видео:
- Источник видео
- Пример sshd_config
- Пример ssh config
- Команды для прав на .ssh

#ssh #linux #безопасность #sysadmin #devops #туннелирование #ubuntu

🛡️ Укрепляем SSHD: Почему тебе стоит включить ключи Ed25519

Привет, цифровой архитектор!

Настройка демона SSHD (sshd), который обеспечивает безопасное удаленное подключение к твоему серверу по протоколу SSH, — это то, с чего начинается любая административная работа. Конфигурация OpenSSH-сервера обычно хранится в файле /etc/ssh/sshd\_config.

Доступ к TCP-порту 22 (порт SSH по умолчанию) желательно ограничивать от публичного доступа. Вот замечания по ключевым директивам, которые помогут тебе повысить безопасность:

1️⃣ Аутентификация по паролю

Ты можешь оставить аутентификацию по паролю (PasswordAuthentication yes) на всякий случай, потому что при использовании несловарного пароля подобрать его злоумышленнику практически нереально.

PasswordAuthentication yes

- Закрываем ботов: Если ты решишь полностью отключить аутентификацию по паролю (PasswordAuthentication no), это немедленно отсечет большинство ботов, которые пытаются подобрать пароли, и твой журнал будет менее замусорен.
- Защита от перебора: По умолчанию разрешено 6 попыток аутентификации (MaxAuthTries 6). Ты можешь ограничить это число, например, до четырех (MaxAuthTries 4).
- Пустые пароли: Директива PermitEmptyPasswords no должна быть включена всегда, чтобы запрещать вход с пустым паролем.

2️⃣ Аутентификация с использованием публичных ключей

Это более надежный метод, чем аутентификация по паролю. По умолчанию он включен (PubkeyAuthentication yes). OpenSSH поддерживает несколько типов ключей, включая RSA, ECDSA и Ed25519.

- Преимущества Ed25519: Ключи Ed25519 основаны на эллиптических кривых и многими считаются обеспечивающими превосходную безопасность по сравнению с RSA. На практике они также намного короче.
- Файл ключей: Твой открытый ключ, который ты используешь для аутентификации, должен быть скопирован в файл ~/.ssh/authorized_keys на удаленном хосте.


💡 Вывод:
Помни, что SSH предназначен для обеспечения безопасного входа в оболочку и шифрует все данные сеанса. Если ты используешь OpenSSH, то настройки сервера хранятся в файле /etc/ssh/sshd\_config.


#Linux #DevOps #Security #SSHD #Ed25519

📚 Где учить Zabbix бесплатно и эффективно?

👋 Эй, повелитель мониторинга!

Вот проверенные источники на русском языке:

1. Текстовый курс по Zabbix от практикующего специалиста
Подробные разборы от преподавателя с реальным опытом.
🔗 https://koobik.net/cources/zabbix

2. Демо курс Zabbix 6 на Stepik
Бесплатный урок из большого платного курса: установка, настройка сервера, подключение агентов.
🔗 https://stepik.org/course/226879/promo

3. Видеокурс "Zabbix с нуля до короля" на YouTube
Полный разбор: автообнаружение, мониторинг Mikrotik, интеграции и многое другое.
🔗 https://www.youtube.com/playlist?list=PLdQohrQ3OmqS2wo9MwFKJtnXcVH5SCOh8

4. Книга "Zabbix 7: мониторинг ИТ-инфраструктуры"
Издательство Packt при поддержке КРОК. Доступна в открытом доступе.

#zabbix #обучение #мониторинг #sysadmin #Linux_err24

Я знаю шутку про UDP, но не факт, что она до тебя дойдёт

🌐 Почему каждому IT-специалисту нужно знать сети

👋 Привет, повелитель трафика!

Сети — в каждой вакансии: разработчик, тестировщик, DevOps, сисадмин. Разбираем OSI/ISO, TCP/IP, MAC и IP-адреса, порты, NAT, TCP vs UDP, DNS и траблшутинг. Всё кратко и понятно.

🔗 Полезные ссылки:
- Источник видео
- Сети для самых маленьких
- Комикс про DNS
- Про приватные подсети

#сети #networking #tcp #udp #dns #nat #devops #sysadmin #osiiso #ip

🛠️ 5 ключевых метасимволов, которые покрывают 80% задач

Привет, инженер!

Давай будем честны: освоить синтаксис регулярных выражений (РВ) — непростая задача. Не потому, что это очень сложно, а потому что ты работаешь с ними лишь время от времени, для разовых задач. В итоге ты быстро всё забываешь.

Но чтобы полностью реализовать потенциал командной оболочки, тебе придется овладеть Регулярными Выражениями. РВ — это набор символов и/или метасимволов, которые задают шаблон для поиска текста.

К счастью, тебе не нужно знать их все. Достаточно запомнить базовые метасимволы, которые критически важны для работы с grep, sed и awk.

Вот твоя шпаргалка: 5 ключевых метасимволов, которые покрывают 80% задач:
Регулярные выражения используются для поиска текста по шаблону и работы со строками.

1. Начало и конец строки (^ и $):
- Символ ^ означает начало строки. (Иногда, в зависимости от контекста, он может означать отрицание, например, в квадратных скобках [^...]).
- Знак $ соответствует концу строки.
- Выражение ^$ соответствует пустой строке.

2. Любой символ (.)
Точка (.) соответствует любому одиночному символу. Обычно это любой символ, кроме символа перевода строки.

3. Ноль или больше повторений (*)
Звездочка (*) означает любое количество символов (включая нулевое). Это относится к символу или выражению, предшествующему звездочке. Например, .* означает "любое количество любого символа".

4. Набор символов ([])
Квадратные скобки ([...]) предназначены для задания подмножества (диапазона) символов. Например, [a-z0-9] соответствует одной букве нижнего регистра или одной цифре.

5. Экранирование (\)
Обратный слэш (\) используется для экранирования специальных символов. Это значит, что экранированные символы интерпретируются буквально, как простые символы. Например, комбинация \$ ищет знак доллара как обычный символ, а не как признак конца строки.

💡 Вывод
Основное назначение РВ — это поиск текста по шаблону и работа со строками. Если ты знаешь, как использовать эти 5 метасимволов, ты сможешь эффективно применять grep, sed и awk для большинства повседневных задач.

#Linux #Bash #CLI #Regex #Шпаргалка

Идёте на Kuber Conf by AOT 4 декабря?

Первая некоммерческая K8s-конференция в Москве — отличный повод встретиться и лично поговорить с топовыми инженерами и архитекторами.

Конференция проходит под эгидой Ассоциации облачно-ориентированных технологий (АОТ), которую создают Флант, VK Cloud и Yandex Cloud.

В программе реальные кейсы от команд Авито, Т-Банка, Vitastor, Beget, VK Cloud, Yandex Cloud и Selectel, а среди докладов:

• Изменения в Cluster API без пересоздания машин;
• Как строили платформу деплоя в Т-Банке;
• Практический deep-dive в CNI chaining;
• Безопасный Gatekeeper в архитектуре k8s-in-k8s;
• Поддержка Kubernetes в Vitastor;
• Karpenter-провайдер своими руками — что внутри.

Для подписчиков канала действует промокод: KUBERCONF20

Программа и билеты

Реклама. Садовская Е.О, ИНН 9710066394, erid:2Vtzqv2mrq7