Изменил настройки firewall или iptables, и вдруг сервер «пропал» из сети?

Решаем так 👇

Если есть доступ к консоли через провайдера или локальный терминал, сначала проверь, какие правила сейчас активны:

iptables -L -v -n

Можно временно применить новые правила и убедиться, что SSH остаётся доступен:

iptables-apply --test

Если что-то пошло не так — откат произойдёт автоматически.

Для более безопасной работы всегда держи резервную копию:

iptables-save > ~/iptables-backup-$(date +%F).rules

И проверяй соединения:

ss -tulnp

Так можно экспериментировать с firewall, не теряя доступ к серверу.

Проверка, что реально грузит CPU

Когда сервер кажется «тормозным», top и htop часто показывают поверхностную картину.

Иногда виноваты shared библиотеки, а не сам процесс.

📝smem — утилита, которая учитывает shared memory и показывает реальное потребление:

smem -r | sort -nrk 4 | head -n 10

Выведет топ процессов по реальной памяти.

📝pidstat — для мониторинга нагрузки в динамике:

pidstat -u 2 10

Показывает, какие процессы жрут CPU каждые 2 секунды в течение 10 замеров.

Rust Coreutils 0.3.0: быстрее, безопаснее и почти как GNU

24 октября 2025 вышел Rust Coreutils 0.3.0 (uutils) — аналог GNU Coreutils, но на Rust.

Это более сотни утилит вроде ls, cat, chmod, sort и cp, переписанных с упором на кроссплатформенность и безопасность (работает даже на Windows, Redox и Fuchsia).

Что нового:
⏺sort стал быстрее GNU-версии в 3.7 раза, base64 — в 1.2, uniq -c — в 1.13;
⏺добавлена инфраструктура для автоматического трекинга производительности (через CodSpeed);
⏺улучшена работа с путями, безопасное обращение с rm, du, chmod, chgrp;
⏺меньше unsafe, больше Rust-подхода через crate nix;
⏺добавлены новые флаги (--progress, --reference=file, --base58 и др.);
⏺совместимость с GNU-тестами — 83.9% (немного ниже из-за новых тестов).

Любопытный факт: именно из-за отсутствия флага --reference в date на Ubuntu 25.10 сломалось автообновление. Теперь всё исправили.

Rust Coreutils распространяется по MIT-лицензии, в отличие от GPL у GNU, и уже движется к полной замене классических coreutils.

OSPF Passive Interface: контроль анонсов маршрутов

В крупных сетях бывают интерфейсы, которые должны только получать маршруты OSPF, но не формировать соседства.

Если оставить их активными, маршрутизатор рассылает hello-пакеты на все интерфейсы, создавая лишний трафик и раскрывая топологию сети. 

Passive Interface решает эту проблему.

С его помощью интерфейс продолжает принимать маршруты, но не инициирует соседские сессии.

⏺Маршрутизатор знает всё, что нужно, при этом сеть становится «тише», а нагрузка на CPU снижается.

На Cisco IOS настройка выглядит так:

router ospf 1
 network 10.0.0.0 0.0.0.255 area 0
 passive-interface GigabitEthernet0/1

После применения этой команды интерфейс GigabitEthernet0/1 перестанет отправлять hello-пакеты, но маршруты через другие интерфейсы продолжают работать корректно.

На Juniper JunOS принцип аналогичен:

protocols ospf {
 interface ge-0/0/1.0 {
  passive
 }
}

Passive Interface особенно нужен на VLAN-подсетях и внутренних сегментах, где соседей нет.

🔥Если сочетать passive mode с аутентификацией OSPF, вы получаете дополнительный уровень безопасности. Маршруты продолжают приходить, сеть остаётся стабильной, а ненужные пакеты hello больше не «шумят» в топологии.

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое RCU (Read-Copy-Update) и почему это эффективный механизм синхронизации?

✅Ответ: RCU (Read-Copy-Update) — это механизм синхронизации, оптимизированный для сценариев с частым чтением и редкими изменениями. Основная идея в том, что читатели могут получать доступ к структурам данных без блокировок, а обновления выполняются через создание новой копии данных.

При изменении структуры создаётся её новая версия, обновление “публикуется”, а старые версии остаются доступными для текущих читателей. После того как все старые читатели завершили работу, ядро удаляет устаревшие копии.

udev: управление устройствами автоматически

В Linux устройства появляются и исчезают постоянно — USB-диски, сетевые карты, внешние диски.

Если каждый раз вручную менять права, монтировать или переименовывать — это неудобно. 

⏺Тут поможет udev — подсистема, которая позволяет автоматически выполнять действия при появлении устройства.

udev работает через правила, которые проверяют свойства устройства: тип, серийный номер, производитель, интерфейс.

В зависимости от условий можно задавать имя устройства, права, группу, запускать скрипты или автоматически монтировать диск.

Например, правило для автоматического переименования USB-диска по серийному номеру выглядит так:

SUBSYSTEM=="block", ATTRS{serial}=="12345678", NAME="usb_backup"

После перезагрузки или переподключения устройства оно всегда будет называться /dev/usb_backup.

Чтобы автоматически монтировать диск с конкретными правами, можно использовать RUN и mount:

SUBSYSTEM=="block", ATTRS{serial}=="12345678", ACTION=="add", RUN+="/usr/bin/mount /dev/%k /mnt/backup"

udev позволяет назначать права и группы для устройств, например, чтобы обычный пользователь мог записывать на USB-диск:

SUBSYSTEM=="block", ATTRS{serial}=="12345678", MODE="0660", GROUP="users"

Файлы правил обычно лежат в /etc/udev/rules.d/. После добавления или изменения правил нужно перезагрузить udev:

sudo udevadm control --reload
sudo udevadm trigger

logrotate для нестандартных каталогов

В Linux большинство системных логов лежит в /var/log, и для них уже настроена ротация.

Но приложения часто пишут логи в свои каталоги, например /opt/myapp/logs или /srv/service/logs. 

Без ротации такие файлы могут быстро «съесть» диск. Для этого используется logrotate с кастомными конфигурациями.

Создаём файл конфигурации для нашего приложения, например /etc/logrotate.d/myapp:

/opt/myapp/logs/*.log {
    daily
    rotate 7
    compress
    missingok
    notifempty
    create 0640 myuser mygroup
    postrotate
        systemctl reload myapp
    endnoscript
}

Что здесь происходит: файлы логов в /opt/myapp/logs/ будут ротацироваться каждый день, храниться 7 архивов, старые версии будут сжиматься, а если лог пустой — пропускается.

⏺После ротации сервис перезагружается, чтобы продолжить писать в новый файл.

Проверить конфигурацию можно в режиме dry-run:

sudo logrotate -d /etc/logrotate.d/myapp

И вручную запустить ротацию:

sudo logrotate -f /etc/logrotate.d/myapp

systemd Path Units: запуск сервисов по событиям файловой системы

В Linux часто возникает задача: сервис должен запускаться только при появлении или изменении файла или каталога, а не висеть постоянно в фоне.

⏺Для таких сценариев systemd предлагает Path Units. Это единицы, которые отслеживают файловую систему и могут запускать обычные сервисы при срабатывании события.

Например, у нас есть каталог /srv/watch и сервис process-files.service, который должен обрабатывать новые файлы. Сначала создаём Path Unit:

# /etc/systemd/system/watch-files.path
[Unit]
Denoscription=Watch /srv/watch for new files

[Path]
PathExists=/srv/watch
PathChanged=/srv/watch

[Install]
WantedBy=multi-user.target

Path Unit отслеживает появление или изменение файлов в указанной директории. Когда событие происходит, systemd запускает связанный service unit.

Service Unit может выглядеть так:

# /etc/systemd/system/process-files.service
[Unit]
Denoscription=Process new files

[Service]
Type=oneshot
ExecStart=/usr/local/bin/process_new_files.sh

После создания единиц активируем Path Unit:

sudo systemctl daemon-reload
sudo systemctl enable --now watch-files.path

Ошибка команды date в Ubuntu 25.10 нарушила автообновления

В Ubuntu 25.10 команда date из набора uutils на Rust не поддерживала опцию -r.

Скрипт apt.systemd.daily, проверяющий время последних обновлений, всегда получал текущее время и считал систему обновлённой.

Проблема затронула облачные развёртывания, контейнеры, Desktop и Server. Ручное обновление через apt работало корректно.

Исправлено в пакете rust-coreutils 0.2.2-0ubuntu2.1:

sudo apt update
sudo apt install --only-upgrade rust-coreutils

⏺Причина: при релизе Ubuntu 25.10 изменения с поддержкой -r в uutils не были включены, и ошибка не проявлялась в тестах, так как вызов date -r не выдавал ошибку.

💬 Вопрос на собеседовании для сисадмина

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое page reclaim в Linux и как ядро решает, какие страницы памяти освободить при нехватке RAM?

✅Ответ: Page reclaim — это процесс, при котором ядро Linux освобождает память, вытесняя неактивные страницы из оперативки, когда системе не хватает RAM. Это часть подсистемы управления памятью (MM subsystem).

Как это работает:
• Ядро поддерживает два списка: active и inactive.
• Активные страницы недавно использовались, неактивные — давно не трогались.
• При нехватке памяти запускается kswapd, который перемещает страницы из active → inactive и затем освобождает их, сбрасывая dirty-страницы на диск или удаляя чистые.

Вышел Rust 1.91.0!

30 октября 2025 года состоялся релиз новой версии языка Rust — одной из самых стабильных и безопасных экосистем в мире. 

В обновлении участвовали 235 разработчиков, а ключевые улучшения направлены на производительность, удобство и расширение поддержки платформ.

Главное в релизе:
⏺Windows на ARM (aarch64-pc-windows-msvc) получила статус Tier-1 — теперь есть официальные бинарники и полный саппорт.
⏺Новые lint-проверки: защита от висячих указателей и преобразования чисел в указатели через transmute.
⏺В Cargo стабилизирована опция build.build-dir — можно указать каталог для временных артефактов сборки.
⏺Поддержка inline-ассемблера для LoongArch32 и обновление компилятора до LLVM 21.
⏺Добавлены десятки стабильных API — от PathBuf::add_extension до Ipv6Addr::from_segments.

💬 Вопрос на собеседовании для DevOps-инженера

Давайте разберем один из частых вопросов, который может быть задан на собеседовании и как на него отвечать.

❓Вопрос: Что такое seq_file API в Linux и зачем оно используется?

✅Ответ: seq_file — это интерфейс ядра Linux, упрощающий вывод последовательных данных из ядра в пространство пользователя, например через /proc или /sys. Он нужен для безопасного и эффективного отображения длинных структурированных данных (таблицы, списки, статистику и т.п.).

Без seq_file разработчикам приходилось вручную управлять буферами, обрезками строк и позиционированием, что повышало риск ошибок.
seq_file решает эти проблемы, обеспечивая:

• последовательную генерацию данных в чанках,
• автоматическую поддержку seek/read,
• потокобезопасный доступ к данным ядра,
• экономию памяти за счёт ленивой генерации.