🔒 SELinux: как работает и стоит ли его включать

Security-Enhanced Linux (SELinux) - это механизм управления доступом на уровне ядра, разработанный NSA и Red Hat. Он добавляет ещё один уровень защиты поверх традиционной модели прав доступа в Linux и дает системе возможность жестко контролировать, кто и что может делать в ОС, даже если у процесса уже есть root-доступ.

SELinux реализует модель Mandatory Access Control (MAC) - обязательного управления доступом. В отличие от Discretionary Access Control (DAC), где владелец объекта определяет права, MAC применяет централизованные политики, которым обязаны следовать все процессы и пользователи.

Каждому процессу и файлу присваивается контекст безопасности. Контекст включает в себя:
📍 тип объекта (например, httpd_sys_content_t)
📍 роль и домен процесса (например, httpd_t)

SELinux определяет, может ли процесс с данным контекстом взаимодействовать с файлом по текущей политике. Если нет - доступ будет заблокирован, даже если пользователь - root.

▪️ Режимы работы SELinux:

Enforcing - политика активна, запрещенные действия блокируются
Permissive - действия не блокируются, но журналируются
Disabled - SELinux отключен

Проверить режим можно так:

getenforce

Или через:

sestatus

▪️ Когда стоит включать SELinux?

🟩 SELinux особенно полезен на серверах с публичным доступом - веб-серверы, почтовики, базы данных. Он помогает изолировать процессы, минимизировать последствия уязвимостей и сдерживать вредоносные действия.

🔲 Но SELinux имеет крутую кривую обучения. Он может мешать "работать как привыкли", если не понимать, как он устроен. Ошибки конфигурации могут блокировать нужные процессы, а диагностика требует навыков чтения журналов (/var/log/audit/audit.log).

🌟 Совет: На старте используйте Permissive режим, чтобы изучить логи и не получить «белый экран» от nginx. Постепенно можно перейти в Enforcing, когда все отлажено.

Если безопасность - ваш приоритет, SELinux однозначно стоит включать. Но как и с любым инструментом, важно сначала его понять.

#SELinux #security

🧑‍💻 NetworkAdmin

⚡️ Что такое IPv6 SLAAC и как его контролировать

SLAAC (Stateless Address Autoconfiguration) - это механизм в IPv6, который позволяет устройствам самостоятельно получить IP-адрес, без участия DHCP-сервера. Удобно? Безусловно. Но у такого "автомата" есть и свои нюансы, особенно в корпоративных сетях.

▪️ Как работает SLAAC?

Когда устройство подключается к сети, оно:

📍 Получает префикс IPv6-сети через Router Advertisement (RA) от ближайшего маршрутизатора.
📍 На основе этого префикса и своего MAC-адреса (или сгенерированного идентификатора) формирует глобальный IPv6-адрес.
📍 Проверяет уникальность адреса через DAD (Duplicate Address Detection).

И готово - устройство уже в сети, без DHCP.

▪️ Почему это может быть проблемой?

📍 Обход контроля доступа. Даже если DHCP отключен, клиент все равно получит адрес и выйдет в интернет - достаточно RA от маршрутизатора.
📍 Трудности в управлении. SLAAC не позволяет "жестко" задавать DNS-серверы, lease time и прочие параметры, как это делает DHCPv6.
📍 Угрозы безопасности. Злоумышленник может раздавать фальшивые RA-пакеты и перенаправлять трафик на себя (RA spoofing).

▪️ Как контролировать SLAAC в сети?

📍 Отключить SLAAC на маршрутизаторе: На большинстве устройств (Cisco, Mikrotik, Linux) можно отключить RA или настроить флаг Managed в RA, чтобы устройства использовали DHCPv6 вместо SLAAC.
📍 Фильтрация RA-пакетов: Используйте RA Guard на уровнях доступа (поддерживается на управляемых коммутаторах), чтобы блокировать нежелательные RA от клиентов.
📍 Использовать DHCPv6: Более предсказуемый способ выдачи адресов и настройки DNS, с возможностью централизованного логирования.
📍 NDP мониторинг: Ведите учет устройств, использующих SLAAC, с помощью инструментов вроде ndpmon, scapy или Wireshark.

#IPv6 #SLAAC

🧑‍💻 NetworkAdmin

Тащите все сервера, что у вас есть.

#юмор

🧑‍💻 NetworkAdmin

⚙️ MSDaRT - инструмент восстановления Windows на базе WinPE

MSDaRT (Microsoft Diagnostics and Recovery Toolset) - это официальный набор утилит от Microsoft, созданный на основе среды WinPE. Ранее был известен как ERD Commander и входит в состав Microsoft Desktop Optimization Pack (MDOP), доступного по корпоративной подписке. Несмотря на отсутствие активной поддержки, DaRT по-прежнему полезен, особенно при восстановлении современных версий Windows 10 и 11.

⭐️ Что умеет MSDaRT?

Созданный образ включает ряд полезных инструментов для диагностики и восстановления, если система не загружается или доступ к учётке утерян:

📍 Сброс пароля администратора
📍 Восстановление удалённых файлов и разделов
📍 Удаление проблемных обновлений
📍 Проверка образа системы (SFC, chkdsk и др.)
📍 Графический Проводник
📍 Доступ к командной строке
📍 Подключение к сети и удалённое управление (Remote Connection Viewer)

💿 Гибкость и расширяемость

Образ DaRT можно кастомизировать: добавить свои утилиты, драйверы и скрипты. По сути, это полноценный LiveCD, который можно адаптировать под нужды ИТ-отдела. Особенно актуально в средах, где по политике безопасности запрещены сторонние образы восстановления.

Для сборки ISO-образа используется мастер DaRT Recovery Image Wizard, доступный в составе MDOP.

⚠️ Если стандартной среды восстановления WinRE недостаточно, а сторонние LiveCD не подходят - MSDaRT остается отличной отправной точкой для создания надежного образа восстановления корпоративной Windows.

#msdart #winpe

🧑‍💻 NetworkAdmin

Очень радостная новость.. 😁

#юмор

🧑‍💻 NetworkAdmin

🕘 Systemd timers против cron

Systemd timers - это более современный и гибкий способ планирования задач в linux, особенно на серверах с systemd.

🌟 Почему systemd timers лучше cron?

📍 Логирование по умолчанию - systemd записывает stdout/stderr задачи в journal, не нужно вручную перенаправлять вывод
📍 Зависимости и условия запуска - можно привязать таймер к другим сервисам, целям (targets) и условиям
📍 Точный контроль времени и интервалов - есть OnCalendar, OnBootSec, OnUnitActiveSec и другие
📍 Простой мониторинг - можно посмотреть статус задачи: когда запускалась, сколько длилась, когда запустится снова
📍 Юзер-таймеры - можно создавать таймеры без root-доступа для отдельных пользователей

▪️ Как настроить systemd timer. Создаем два юнита: *.service (что запускать) и *.timer (когда запускать).

Пример: бэкап в /var/backups каждую ночь в 3:00

vi /etc/systemd/system/backup.service

[Unit]
Denoscription=Nightly backup

[Service]
Type=oneshot
ExecStart=/usr/local/bin/backup.sh

vi /etc/systemd/system/backup.timer

[Unit]
Denoscription=Run backup noscript daily at 3AM

[Timer]
OnCalendar=*-*-* 03:00:00
Persistent=true

[Install]
WantedBy=timers.target

Активируем:

sudo systemctl daemon-reexec
sudo systemctl enable --now backup.timer

▪️ Проверить статус:

systemctl list-timers
systemctl status backup.timer
journalctl -u backup.service

▪️ Другие примеры таймеров. Через 5 минут после загрузки:

[Timer]
OnBootSec=5min

Каждые 15 минут:

[Timer]
OnUnitActiveSec=15min

Каждый понедельник в 6 утра:

[Timer]
OnCalendar=Mon *-*-* 06:00:00

▪️ Полезное:

📍 Устанавливайте Persistent=true, чтобы таймер отработал, даже если система была выключена в момент запуска
📍 Используйте systemctl cat для просмотра активных юнитов
📍 Для задач от пользователя используйте ~/.config/systemd/user/

#systemd #cron

🧑‍💻 NetworkAdmin

👩‍🎨 socat - универсальный швейцарский нож для работы с потоками в Unix

В копилку полезных админских утилит - socat. Это инструмент для организации двунаправленной передачи данных между самыми разными источниками: файлами, сокетами (TCP, UDP, Unix), устройствами, stdin/stdout и даже псевдотерминалами.

▪️ Простой пример как telnet. Передаем данные с консоли ( - ) на SMTP сервер:

socat - TCP4:smtp.networkadmin.ru:25

Пробуем:

helo networkadmin.ru
mail from:<admin@networkadmin.ru>

И получаем, к примеру:

503 5.5.4 Error: send AUTH command first.

Так вы можете проверить, требует ли сервер авторизацию - чтобы, например, не стать открытым релеем для спама.

▪️ Локальный TCP-прокси на удалённый веб-сервер

socat TCP4-LISTEN:8080,reuseaddr,fork TCP4:192.168.50.10:80

Теперь можно обращаться к удалённому серверу через localhost:

curl http://localhost:8080 -L -H "Host: networkadmin.ru"

▪️ Проксирование Unix-сокета на TCP-порт. Допустим, MySQL слушает только через сокет:

socat TCP-LISTEN:3307,reuseaddr,fork UNIX-CONNECT:/run/mysqld/mysqld.sock

Теперь подключение к localhost:3307 будет работать как к сокету:

telnet 127.0.0.1 3307

▪️ Удаленный Unix-сокет, как будто он локальный. На машине-клиенте:

socat UNIX-LISTEN:/run/mysqld/mysqld.sock,fork,reuseaddr,unlink-early,user=mysql,group=mysql,mode=777 \
TCP:192.168.50.10:3307

Теперь любой софт может работать с удаленной базой, как с локальной. Без изменений конфигурации сервера.

#socat #linux

🧑‍💻 NetworkAdmin

🔎 Отслеживание изменений в системных группах и sudoers

В любой продвинутой системе администрирования важнейшая задача - контроль за правами пользователей. Добавление в группу sudo, изменение состава wheel, docker или других критичных групп может дать пользователю слишком много полномочий. И если такие изменения проходят незамеченными - это уже уязвимость. Разберемся, как отслеживать такие события в Linux.

1️⃣ Мониторинг файла /etc/sudoers и его include-директории. Файл sudoers и его конфиги в /etc/sudoers.d/ содержат правила доступа к sudo. Для мониторинга можно использовать:

▪️ auditd (если включен):

auditctl -w /etc/sudoers -p wa -k sudoers-change
auditctl -w /etc/sudoers.d/ -p wa -k sudoers-include

Потом смотрим:

ausearch -k sudoers-change
ausearch -k sudoers-include

▪️ inotify с помощью inotifywait:

inotifywait -m /etc/sudoers /etc/sudoers.d/ -e modify,create,delete

2️⃣ Контроль изменений групп и пользователей. Изменения групп (/etc/group) и паролей (/etc/passwd, /etc/shadow) тоже критичны. Подключаем auditd:

auditctl -w /etc/group -p wa -k group-change
auditctl -w /etc/gshadow -p wa -k group-shadow

И проверяем, кто добавлен в sudo:

grep sudo /etc/group

3️⃣ Логируем команды изменения групп. Изменения через usermod, gpasswd, adduser, deluser удобно отслеживать через auditd:

auditctl -a always,exit -F arch=b64 -S usermod -S groupadd -S groupdel -S gpasswd -k group-admin

4️⃣ Альтернатива - logwatch или ossec. Можно настроить инструменты централизованного логирования и получать уведомления при любых изменениях состава групп или конфигураций sudo. Например: Logwatch, OSSEC, Wazuh, Tripwire.

#linux #security

🧑‍💻 NetworkAdmin

🏠 OEM-ключ Windows в BIOS: как переустановить нужную редакцию

Большинство современных ноутбуков и ПК с предустановленной Windows содержат вшитый в BIOS/UEFI OEM-ключ, который автоматически активирует систему при установке. Удобно, но не всегда.

Раньше (в эпоху win 7) использовалась SLIC-таблица в BIOS, где хранился сертификат и ключ активации. Сейчас производители используют OEM embedded key, записанный прямо в прошивку UEFI. При установке Windows установщик считывает этот ключ и автоматически выбирает редакцию, например - home.

🙅‍♂️ Проблема: если вы хотите выполнить чистую установку другой редакции windows (например, pro вместо home), то установщик пропустит выбор и установит версию, соответствующую OEM-ключу.

✅ Решение: Чтобы заставить установщик проигнорировать вшитый ключ, добавьте на установочную флешку файл ei.cfg.

Путь:

X:\sources\ei.cfg

Содержимое файла:

[EditionID]
[Channel]
Retail

После этого при запуске установки появится меню выбора редакции, и вы сможете установить нужную версию Windows, независимо от OEM-ключа в BIOS.

#Windows #UEFI

🧑‍💻 NetworkAdmin

Превзошел себя

#юмор

🧑‍💻 NetworkAdmin

🎉 С днем системного администратора! 🎉

Сегодня не будет познавательных постов, но будет не менее важное - поздравление! Сегодня - день тех, кто всегда остается за кулисами, но без кого не работает ничего. Это вы начинающие или уже опытные - волшебники командной строки, мастера uptime и защитники серверов от хаоса.

Именно Вы держите на плаву сети, базы данных, почту, бэкапы, мониторинг, безопасность и еще тысячу вещей, о которых никто не догадывается... пока все не сломается, ну или им не покажется, что все сломалось..

Буду короток: пусть в логах будет чисто, аптайм радует глаз, а пользователи не беспокоят в пятницу вечером. А еще - стабильных обновлений, бесшумных серверов и свободного времени для себя.

За вас, сисадмины! С праздником! 🎆

🧑‍💻 NetworkAdmin

🔗 Коллекция приемов на чистом Bash

Если вы пишете скрипты и хотите свести количество зависимостей к минимуму - загляните в pure-bash-bible. Это подборка трюков и функций, реализующих полезные операции на чистом bash, без использования sed, awk, grep, perl и других внешних утилит. Все работает прямо внутри интерпретатора.

▪️ Пример 1. Преобразование строки в нижний регистр. Из библиотеки берём такую функцию:

lower() {
  printf '%s\n' "${1,,}"
}

Создаем скрипт lower.sh:

#!/bin/bash
lower() {
  printf '%s\n' "${1,,}"
}
lower "$1"

Запускаем:

$ ./lower.sh HELLO
hello

▪️ Пример 2. Получение имени файла из полного пути

basename() {
  local tmp
  tmp=${1%"${1##*[!/]}"}
  tmp=${tmp##*/}
  tmp=${tmp%"${2/"$tmp"}"}
  printf '%s\n' "${tmp:-/}"
}

Скрипт basename.sh:

#!/bin/bash
basename() {
  local tmp
  tmp=${1%"${1##*[!/]}"}
  tmp=${tmp##*/}
  tmp=${tmp%"${2/"$tmp"}"}
  printf '%s\n' "${tmp:-/}"
}
basename "$1"

Запуск:

$ ./basename.sh /var/log/syslog.2.gz
syslog.2.gz

В большинстве систем можно просто вызвать утилиты basename или tr, но в минималистичных окружениях (например, initrd, embedded Linux, Docker) такие функции в bash-стиле особенно ценны.

Библиотека охватывает десятки задач: обработка строк, массивов, файлов, путей, случайные числа, цвета в терминале и т.д.

Сохрани себе 😺

#bash #linux

🧑‍💻 NetworkAdmin

📂 Проверка и восстановление файловой системы

Поврежденная структура каталогов или битые иноды могут привести к потере данных или проблемам при загрузке. Для таких случаев есть проверенные временем инструменты: fsck в linux и chkdsk в windows.

🐧 Linux: fsck (file system check). fsck - утилита для проверки и восстановления файловой системы. Работает с различными типами ФС: ext2/3/4, xfs, btrfs и т.д.

▪️ Проверка и автоматическое исправление ошибок:

fsck -y /dev/sda1

▪️ Только проверка (без изменений):

fsck -n /dev/sda1

▪️ Проверка всех файловых систем, указанных в /etc/fstab, кроме смонтированных:

fsck -A

⚠️ Не запускайте fsck на смонтированных разделах - особенно тех, которые используются системой. Лучше делать это с LiveCD или в режиме восстановления.

🏠 Windows: chkdsk. chkdsk - аналогичная утилита в windows. Она проверяет раздел на наличие логических и физических ошибок, может попытаться восстановить поврежденные сектора.

▪️ Проверка и исправление ошибок:

chkdsk C: /F

▪️ Проверка с попыткой восстановления поврежденных секторов:

chkdsk D: /F /R

▪️ Назначение проверки при следующей перезагрузке (если диск системный):

chkntfs /C C:

#fsck #chkdsk

🧑‍💻 NetworkAdmin

Универсальная комбинация для входа в BIOS

#юмор

🧑‍💻 NetworkAdmin

🔝 Borg + Borgmatic: удобные и надежные бэкапы в linux

Обычные бэкапы - тема, о которой стоит напоминать регулярно. Сегодня расскажу о проверенной связке инструментов: Borg и его обертке Borgmatic. Это отличное решение, если вам нужен надежный и автоматизированный консольный бэкап без внешних агентов.

▪️ Borg - это утилита для создания резервных копий с поддержкой: дедупликации данных (экономия места), шифрования, работы по SSH без установки агентов, монтирования архива через FUSE для удобного просмотра содержимого.

Установка:

apt install borgbackup

▪️ Borgmatic - это python-обертка над borg, позволяющая описывать бэкап в YAML-конфиге - никаких длинных команд и скриптов. Все в одном месте.

Установка:

pip3 install borgmatic

⭐️ Преимущества использования Borgmatic:

несколько целевых репозиториев для хранения бэкапов;
автоматические дампы баз данных (PostgreSQL, MySQL, MongoDB, SQLite);
хуки до и после запуска (удобно для остановки сервисов);
отправка уведомлений (в том числе по ошибке);
централизованное хранение параметров и секретов (через переменные среды).

▪️ Пример конфигурации:

location:
  source_directories:
    - /etc
    - /var/www
  repositories:
    - user@backupserver:repo.borg

retention:
  keep_daily: 7
  keep_weekly: 4
  keep_monthly: 6

hooks:
  before_backup:
    - systemctl stop nginx
  after_backup:
    - systemctl start nginx

Если уже используете borg, переход на borgmatic - это чистое удобство. Упрощенная автоматизация, гибкость и читаемость настроек.

#linux #backup

🧑‍💻 NetworkAdmin

🔒 Использование VLAN в домашних и офисных сетях

Многие думают, что VLAN - это только для крупных корпоративных сетей, но на практике он может оказаться крайне полезным и в небольшом офисе или даже дома. Виртуальные локальные сети позволяют разделить трафик по логике, повысить безопасность и упростить администрирование.

VLAN (Virtual LAN) - это способ логического разделения одной физической сети на несколько изолированных друг от друга сегментов. Устройства в разных VLAN не видят друг друга, пока не настроен маршрутизатор.

▪️ Сценарии для дома:

📍 Разделение умного дома и основной сети — изоляция IoT-устройств (камеры, лампочки, чайники) от домашней Wi-Fi-сети с личными данными.
📍 Детская VLAN с ограничениями - создаем отдельный сегмент с фильтрацией сайтов и доступом по расписанию.
📍 Гостевая Wi-Fi - изолируем гостей от основной сети.

▪️ Сценарии для офиса:

📍 VLAN для бухгалтерии - выделенный сегмент с доступом только к 1С и серверам документов.
📍 VLAN для VoIP - стабильная телефония без помех от общего трафика.
📍 VLAN для видеонаблюдения - чтобы камеры не грузили общий канал.
📍 Разделение Wi-Fi по ролям (сотрудники, гости, администрация).

▪️ Как настраивать?

1️⃣ На свитче (управляемом): назначаем порты access (одна VLAN) или trunk (несколько VLAN).

Пример на Cisco:

interface FastEthernet0/1
  switchport mode access
  switchport access vlan 10

2️⃣ На роутере: интерфейсы или саб-интерфейсы на разные VLAN.

Настройка маршрутизации между VLAN при необходимости.

3️⃣ На клиенте (Linux):

ip link add link eth0 name eth0.10 type vlan id 10
ip addr add 192.168.10.2/24 dev eth0.10
ip link set up eth0.10

Даже в домашних условиях VLAN дает возможность для наведения порядка, контроля и повышения безопасности в сети.

#vlan #security

🧑‍💻 NetworkAdmin

📍 Как не перезапустить не тот сервер: утилита molly-guard

Если вы когда-нибудь случайно выполнили reboot или shutdown не на том сервере - вы знаете, насколько это больно. Особенно, когда в консоли много сессий, и все на одинаковых хостах типа prod01, prod02, db01... Чтобы подстраховаться от таких ошибок - есть простейшее, но гениальное решение: molly-guard. После установки утилита подменяет стандартные команды reboot, shutdown, poweroff. При их запуске появляется запрос на подтверждение имени хоста. Ошиблись терминалом - команда не выполнится.

▪️ Установка:

# apt install molly-guard

▪️ Пример:

# reboot
W: molly-guard: SSH session detected!
Please type in hostname of the machine to reboot:
>

Вводим имя хоста вручную. Только после этого произойдёт перезагрузка.

🌟 Небольшой совет: сразу после установки можно прописать ее в список стандартного ПО для всех серверов. Минимум настроек - максимум пользы.

#linux #mollyguard

🧑‍💻 NetworkAdmin

🏠 Повышение производительности Windows с помощью Sysinternals Tools

Когда windows начинает тормозить, а «диспетчер задач» мало что говорит - на помощь приходят sysinternals tools. Это набор от microsoft, разработанный ещё Марком Руссиновичем, и он до сих пор незаменим для администраторов.

🔗 Скачать все разом

Ключевые инструменты, которые реально помогают увидеть и устранить узкие места в системе:

▪️ Process Explorer. Улучшенный «Диспетчер задач». Показывает дерево процессов, какие DLL они используют, как именно загружают систему. Можно отследить, кто блокирует файл, кто грузит ЦП, кто жрет RAM.

📍 Альтернатива taskmgr
📍 Ищем паразитные процессы и утечки памяти
📍 Убиваем вирусы, которые не видит антивирус

▪️ Process Monitor (Procmon). Показывает все, что происходит: файловые операции, работа с реестром, сеть. Идеально, когда приложение «виснет», но не пишет ошибок.

📍 Отладка медленных запусков программ
📍 Отслеживание, куда приложение пытается записать
📍 Найти, кто трогает подозрительный файл

▪️ RAMMap. Показывает, куда на самом деле уходит ОЗУ. Иногда в диспетчере — пусто, а система тормозит. RAMMap покажет все по сегментам: кэш, драйверы, standby, modified и т.д.

▪️ Autoruns. Разбираемся с автозагрузкой: служба, планировщик, драйверы, контекстное меню, расширения проводника. Можно безопасно отключить мусор без сторонних твикеров.

📍 Удалить нежелательные утилиты из автозагрузки
📍 Быстро выявить вирус или майнер

▪️ TCPView. Если тормозит сеть - можно посмотреть, какие процессы установили соединения, какие порты открыты, куда идет трафик.

▪️ Disk Usage (du.exe). Утилита в стиле unix du - покажет, какие каталоги занимают больше всего места. Особенно полезно при очистке диска.

du -q -l 1 C:\Users\admin

Все утилиты можно использовать без установки, просто скачать и запускать по мере надобности. А некоторые - использовать прямо из PowerShell, если положить их в %PATH%.

#windows #sysinternals

🧑‍💻 NetworkAdmin

🔔 Уведомления из консоли прямо на смартфон и десктоп

Иногда хочется, чтобы о важных событиях (бэкапы, алерты мониторинга, запуск задач) приходило пуш-уведомление прямо на смартфон. Без танцев с ботами и сторонними облаками. Есть отличный инструмент - ntfy.sh.

🌟 Как это работает

Заходим в веб-приложение: https://ntfy.sh/app
Разрешаем уведомления, подписываемся на тему и получаем URL вроде: https://ntfy.sh/Stkclnoid6pLCpqU

Теперь отправим уведомление:

curl -d "Test Message" https://ntfy.sh/Stkclnoid6pLCpqU

Уведомление мгновенно прилетит в веб-интерфейс или в мобильное приложение (Android/iOS).

▪️ Интеграция с системой мониторинга (например, Zabbix). Zabbix умеет отправлять Webhook-запросы. Достаточно в настройках создать новый метод оповещения и использовать такой скрипт:

var params = JSON.parse(value),
    msg = params.Message,
    url = params.URL,
    req = new CurlHttpRequest();

req.AddHeader('Content-Type: text/plain');
req.Post(url, msg);

Указываем в URL свой ntfy-адрес, а в сообщении - макрос {ALERT.MESSAGE}.

▪️ Пример: уведомления о результате бэкапа

rsync -a /mnt/data user@10.10.10.10:/backups/srv01 \
  && curl -H prio:low -d "Backup OK" https://ntfy.sh/Stkclnoid \
  || curl -H prio:high -H tags:warning -d "Backup FAILED" https://ntfy.sh/Stkclnoid

Ntfy - полностью open-source. Вы можете установить сервер у себя (есть готовые пакеты и образы в Docker) и использовать его как закрытую систему уведомлений.

➕ Небольшая пачка плюсов:

Поддержка push-уведомлений на мобильные и десктопы;
Безопасность: можно хостить у себя;
Простая интеграция через curl;
Поддержка приоритетов, тэгов, вложений, подписок;
Бесплатно.

#monitoring #bash

🧑‍💻 NetworkAdmin

Однажды встает выбор, решающий судьбу..

#юмор

🧑‍💻 NetworkAdmin

⚙️ Настройка DHCP-сервера и резервации IP-адресов

Когда устройств в сети становится больше десятка, раздача IP вручную перестает быть удобной. Решение - поднять свой DHCP-сервер, который будет автоматически раздавать адреса, DNS, шлюз и другие параметры клиентам. Но важно не просто «раздавать все подряд», а уметь закрепить конкретные IP-адреса за нужными устройствами (например, серверами, принтерами, VoIP). Это делается через резервации (DHCP reservations).

🐧 Настройка DHCP-сервера на Linux (например, ISC-DHCP)

1️⃣ Устанавливаем сервер:

sudo apt install isc-dhcp-server

2️⃣ Пример настройки /etc/dhcp/dhcpd.conf:

subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option domain-name-servers 8.8.8.8;
  option domain-name "home.lan";
}

# Резервация IP по MAC-адресу
host printer01 {
  hardware ethernet 00:11:22:33:44:55;
  fixed-address 192.168.1.10;
}

Теперь каждый раз принтер с указанным MAC-адресом будет получать именно 192.168.1.10.

🏠 На Windows Server (DHCP Role)

Откройте оснастку DHCP → Перейдите к своему пулу IP-адресов → ПКМ → New Reservation

Укажите имя, IP, MAC-адрес и тип клиента

🌟 Зачем нужны резервации:

Упрощают администрирование (IP-адреса не меняются)
Удобны для мониторинга и firewall-правил
Избавляют от конфликтов IP
Полезны при интеграции с DNS (обратная зона)

#network #DHCP

🧑‍💻 NetworkAdmin