🗂️ Почему 20 МБ вложений в почте - это не всегда 20 МБ

На одном из почтовых серверов попросили поднять лимит на размер вложений - якобы 10 МБ им не хватает. Но ведь по умолчанию стоит лимит на размер письма в 20 МБ, что является универсальным значением. Раздавать «безлимит» на вложения плохое дело - это быстро раздувает почтовую базу, особенно когда сотрудники начинают слать друг другу презентации и макеты по 100 раз на день.

❓ В чем подвох

Ограничение в конфигурации - это размер всего письма, а не только вложения. И тут важно помнить, что вложения передаются в письме в кодированном виде, а значит, занимают больше места.

В электронной почте чаще всего используются два метода кодирования, описанные в стандарте MIME:

Base64 - самый распространенный, увеличивает размер вложения примерно в 1,3 раза;
Quoted-printable - встречается реже, но может раздувать файл до 3 раз.

▪️ Как это выглядит. Сохранив письмо и открыв его в текстовом редакторе, вы можете увидеть что-то вроде:

Mime-Version: 1.0
Content-Type: application/pdf; name="file.pdf"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="file.pdf"

Здесь PDF-файл закодирован и представлен в виде ASCII-символов.

Если в конфиге указано ограничение на размер письма в 20 МБ, это не значит, что пользователь сможет отправить вложение на 20 МБ. Реально «пролезет» меньше, иногда заметно меньше - из-за особенностей кодирования.

#email #MIME

🧑‍💻 NetworkAdmin

✈️ Стресс-тестирование дисков и SSD в Linux

fio - один из самых популярных инструментов для тестирования производительности дисков. Он гибко настраивается и позволяет моделировать реальные нагрузки: от последовательного чтения до случайной записи мелких блоков.

▪️ Установка

apt install fio# debian/ubuntu

yum install fio# centOS

▪️ Пример теста. Последовательное чтение (1 ГБ):

fio --name=seqread --rw=read --bs=1M --size=1G --numjobs=1 --runtime=60 --group_reporting

--rw=read - режим чтения
--bs=1M - размер блока (1 МБ)
--size=1G - объем данных
--numjobs=1 - количество потоков
--runtime=60 - время теста в секундах
--group_reporting - агрегированный вывод результатов

▪️ Случайная запись (имитация нагрузки на БД)

fio --name=randwrite --rw=randwrite --bs=4k --size=1G --numjobs=4 --runtime=60 --group_reporting

--rw=randwrite - случайная запись
--bs=4k - размер блока (типично для БД)
--numjobs=4 - 4 параллельных потока

▪️ Комбинированная нагрузка (чтение/запись 70/30)

fio --name=mixed --rw=randrw --rwmixread=70 --bs=8k --size=2G --numjobs=2 --runtime=60 --group_reporting

--rw=randrw - чтение/запись
--rwmixread=70 - 70% чтения, 30% записи

🌟 Важно

📍fio перезаписывает тестируемый участок!!! Поэтому не запускайте его на проде в разделах с важными данными.
📍Для тестирования всего диска без файловой системы используйте /dev/sdX.
📍Запускайте тесты с sudo, чтобы избежать кеширования на уровне ОС.

#linux #fio

🧑‍💻 NetworkAdmin

Сразу понятно, что релиз удался

#юмор

🧑‍💻 NetworkAdmin

🧹 Как чистить и ограничивать размер логов journald

В большинстве современных дистрибутивов linux системные логи ведет systemd-journald - в бинарном формате, а не в виде привычных текстовых файлов syslog. Эти логи со временем могут занимать гигабайты места, поэтому за ними нужно следить.

▪️ Проверяем размер логов

journalctl --disk-usage

По умолчанию файлы хранятся в /var/log/journal.

▪️ Настройка ограничения размера. Основные параметры в /etc/systemd/journald.conf:

[Journal]
SystemMaxUse=1024M       # общий лимит размера логов
SystemMaxFileSize=50M    # максимальный размер одного файла

После изменения конфигурации перезапустите journald:

systemctl restart systemd-journald.service

По умолчанию journald может занимать до 10% объема раздела, но не более 4 ГБ. На практике чаще встречается именно лимит в 4 ГБ.

▪️ Обрезка логов вручную. До определенного объёма:

journalctl --vacuum-size=1024M

По сроку хранения:

journalctl --vacuum-time=7d

Обе команды можно добавить в cron, чтобы чистка выполнялась автоматически.

▪️ Ограничение логов для конкретной службы. Если только один сервис «засоряет» журнал, можно выделить ему отдельное пространство логов. Например, для ssh:

systemctl edit ssh

Добавляем:

[Service]
LogNamespace=ssh

Создаём конфиг /etc/systemd/journald@ssh.conf:

[Journal]
SystemMaxUse=20M

Перезапускаем службу:

systemctl restart ssh

Просмотр её логов:

journalctl --namespace ssh

#linux #journald

🧑‍💻 NetworkAdmin

🔒 Ужесточаем политику паролей в linux с PAM и libpwquality

Слабые пароли - одна из важных и актуальных тем. В linux можно усилить требования к паролям через PAM и модуль libpwquality, чтобы пользователи не ставили что-то вроде qwerty123.

▪️ Установка

yum install libpwquality #centOS

apt install libpam-pwquality #ubuntu/debian

▪️ Настройка. Редактируем файл:

/etc/security/pwquality.conf

Пример строгих настроек:

minlen = 12
minclass = 3
maxrepeat = 2
maxsequence = 3
dictcheck = 1

minlen - минимальная длина пароля
minclass - количество обязательных классов символов (строчные, заглавные, цифры, спецсимволы)
maxrepeat - максимум одинаковых символов подряд
maxsequence - длина допустимой последовательности (abc, 123 и т.д.)
dictcheck - проверка на словарные пароли

▪️ Подключение в PAM. Открываем:

/etc/pam.d/common-password   # debian/ ubuntu
/etc/pam.d/system-auth       # centOS

Находим строку с pam_pwquality.so и добавляем параметры:

password requisite pam_pwquality.so retry=3 enforce_for_root

retry=3 - количество попыток ввода
enforce_for_root - применить правила даже для root

▪️ Проверка. Меняем пароль:

passwd user

Если пароль не соответствует правилам, PAM выдаст сообщение с указанием, что именно не так.

#security #password

🧑‍💻 NetworkAdmin

А это главное 😏

#юмор

🧑‍💻 NetworkAdmin

Когда в столовой проходишь мимо бухгалтера, которому обещал настроить принтер (да как у тебя вообще совести хватает пойти на обед, когда я не могу ничего распечатать)

#юмор

🧑‍💻 NetworkAdmin

🔫🔫🔫 день, а это означает, что пора поздравлять вас с днём программиста!

Желаю вам, чтобы Ваша зп росла быстрее, чем количество тасок. И пусть в жизни, как в коде, всегда находится правильный алгоритм! 🔫

🧑‍💻 NetworkAdmin

👀 Смотрим логи systemd через браузер

Systemd умеет не только собирать и хранить логи, но и отдавать их по HTTP. Для этого есть служба systemd-journal-gatewayd, которая позволяет просматривать журнал прямо в браузере. Настраивается все буквально в пару шагов (пример для debian).

▪️ Установка и запуск. Устанавливаем пакет:

apt install systemd-journal-remote

Запускаем службу:

systemctl start systemd-journal-gatewayd.service

По умолчанию используется порт 19531.

▪️ Просмотр логов. Обзор всех логов:

http://10.25.1.55:19531/browse

Только логи текущей загрузки:

http://10.25.1.55:19531/entries?boot

В интерфейсе удобно переключаться между сервисами через выпадающий список.

▪️ Работа через curl. Те же данные можно забирать в JSON-формате. Например, логи для ssh.service:

curl --silent -H 'Accept: application/json' \
  'http://10.25.1.55:19531/entries?UNIT=ssh.service'

▪️ Логи с удаленных машин. systemd-journal-gatewayd умеет работать не только с локальным журналом, но и с логами, собранными с других серверов. Для этого можно указать директорию с журналами:

systemd-journal-gatewayd -D /path/to/logs

#systemd #logs

🧑‍💻 NetworkAdmin

⚙️ Настройка WinRE под свои задачи

WinRE - это встроенная среда восстановления для windows, которая запускается при проблемах с загрузкой системы или вручную через установочный носитель/средства восстановления. Обычно ее используют для диагностики и восстановления, но среду можно адаптировать под собственные задачи.

▪️ Проверка состояния WinRE. Проверим, активна ли WinRE и где она расположена:

reagentc /info

Если среда отключена, включаем ее:

reagentc /enable

▪️ Кастомизация WinRE. WinRE хранится в Winre.wim (обычно на скрытом разделе Recovery или в C:\Recovery\WindowsRE).

Создаем рабочую директорию и монтируем образ:

mkdir C:\WinRE_Mount
dism /mount-image /imagefile:C:\Recovery\WindowsRE\Winre.wim /index:1 /mountdir:C:\WinRE_Mount

Внутри смонтированного образа можно:

📍добавить свои утилиты (например, антивирусы, сетевые инструменты, скрипты диагностики);
📍заменить стандартные программы (например, cmd.exe на powershell или стороннюю оболочку);
📍внедрить драйверы и дополнительные пакеты:

dism /image:C:\WinRE_Mount /add-driver /driver:C:\Drivers\ /recurse
dism /image:C:\WinRE_Mount /add-package /packagepath:C:\Updates\update.cab

После внесенных изменений сохраняем:

dism /unmount-image /mountdir:C:\WinRE_Mount /commit

#windows #winRE

🧑‍💻 NetworkAdmin

📁 Как ограничить использование inodes в linux и зачем это нужно

В linux каждый файл или каталог хранится в виде структуры данных, называемой inode (index node). Inode содержит метаданные: права доступа, владельца, временные метки и ссылки на блоки с данными.

Даже если у вас много свободного места на диске, но закончились inodes - новые файлы создать не получится. Чаще всего такая ситуация возникает на серверах, где генерируются миллионы мелких файлов (логи, временные данные, кеши).

▪️ Проверка использования inodes. Чтобы посмотреть статистику по inode на всех файловых системах:

df -i

В столбцах будет видно общее количество inode, сколько уже занято и сколько осталось.

▪️ Ограничение использования inodes

Inode создаются при форматировании файловой системы. Параметры задаются утилитой mkfs (для ext4 - mkfs.ext4). Например, создаем файловую систему с фиксированным количеством inode:

mkfs.ext4 -N 2000000 /dev/sdb1

Здесь -N задает количество inode. По умолчанию mkfs.ext4 рассчитывает их исходя из соотношения «один inode на 16К дискового пространства». Если ожидается много мелких файлов, можно увеличить плотность inode:

mkfs.ext4 -i 4096 /dev/sdb1

(один inode на каждые 4К).

▪️ Ограничение на уровне пользователей

Чтобы не допустить, что один пользователь «забьет» диск миллионами файлов, используют квоты. Включаем поддержку квот в /etc/fstab:

/dev/sdb1  /home  ext4  defaults,usrquota,grpquota  0  2

Перемонтируем файловую систему:

mount -o remount /home

Создаем файлы для квот и включаем их:

quotacheck -cum /home
quotaon /home

Ограничиваем inode для пользователя:

edquota -u username

В открывшемся редакторе можно задать soft/hard limit для количества файлов (inodes).

#filesystem #inodes

Нет повода не доверять

#юмор

🧑‍💻 NetworkAdmin

🔹 Шифрование диска в linux

Если существует риск кражи носителей с данными, стоит задуматься о шифровании. На linux это проще всего реализовать через LUKS, который позволяет зашифровать раздел и работать с ним как с обычным блочным устройством.

▪️ Установка:

apt install cryptsetup # debian

▪️ Создание и подключение зашифрованного раздела
1️⃣Инициализируем шифрование (данные будут уничтожены):

cryptsetup luksFormat /dev/sdb1

2️⃣ Подключаем зашифрованный раздел:

cryptsetup luksOpen /dev/sdb1 lukscrypt

После этого появится устройство /dev/mapper/lukscrypt.

▪️ Использование. Создаем файловую систему и монтируем:

mkfs.ext4 /dev/mapper/lukscrypt
mkdir /mnt/crypt
mount /dev/mapper/lukscrypt /mnt/crypt

Теперь раздел доступен в системе, а при следующем подключении для расшифровки нужно будет выполнить cryptsetup luksOpen и ввести пароль.

#LUKS #security

🧑‍💻 NetworkAdmin

🤩 Простой способ сделать вывод читаемым

Иногда команды в linux выдают данные так, что разобраться в них сложно: все идет сплошным текстом, столбцы "пляшут". В таких случаях выручает утилита column, которая форматирует вывод в аккуратные таблицы.

По умолчанию разделителем считается пробел, но при необходимости можно указать свой символ.

▪️ Примеры использования
1️⃣ Красивый вывод mount:

mount | column -t

Сразу видно, где какая файловая система и куда она примонтирована - читается намного удобнее.

2️⃣ Работа с произвольными разделителями. Например, файл /etc/passwd разделен двоеточиями. Сделаем его аккуратной таблицей:

column -s ":" -t /etc/passwd

Теперь строки легко обрабатывать, например, через awk. Выведем только имена пользователей:

column -s ":" -t /etc/passwd | awk '{print $1}'

Каждое имя - в отдельной строке. Отличный способ быстро собрать список, массив или передать данные.

#linux

🧑‍💻 NetworkAdmin

🔼 Использование tmpfs для ускорения работы системы и снижения износа SSD

tmpfs - это файловая система, которая хранит данные в оперативной памяти (RAM). Она монтируется как обычный каталог и доступна для приложений прозрачно, но при этом все записи идут не на диск, а в память.

Зачем это может быть полезно:

📍Ускорение работы - операции чтения/записи из RAM значительно быстрее, чем даже на NVMe SSD.
📍Снижение износа SSD - временные файлы не пишутся на диск, что уменьшает количество циклов записи.
📍Автоматическая очистка - содержимое tmpfs исчезает при перезагрузке.

Примеры использования tmpfs

1️⃣ Временные каталоги. Во многих дистрибутивах /tmp по умолчанию монтируется как tmpfs. Если нет - можно добавить в /etc/fstab:

tmpfs   /tmp   tmpfs   defaults,noatime,mode=1777   0  0

2️⃣ Кэш браузеров или сборочных систем. Можно вынести тяжёлые временные каталоги (например, npm/yarn cache или /var/cache/pacman) в tmpfs.

tmpfs   /var/cache   tmpfs   defaults,noatime,size=2G   0  0

3️⃣ Компиляция и сборка проектов. Чтобы ускорить работу make, cargo или других сборочных систем, удобно монтировать директорию build/ в RAM:

mount -t tmpfs -o size=4G tmpfs ./build

Ограничение по размеру

Размер tmpfs можно задавать вручную (size=1G), иначе по умолчанию он занимает до половины ОЗУ.

⚠️ Важные нюансы

📍Если память закончится, ядро начнет использовать swap. Это может замедлить работу, а в худшем случае - привести к OOM.
📍Все данные из tmpfs теряются при перезагрузке. Для временных файлов это нормально, но хранить там что-то важное нельзя.

#linux #SSD

🧑‍💻 NetworkAdmin

❓ Bonding vs Teaming: что выбрать для отказоустойчивости сетей в linux

Когда нужно объединить несколько сетевых интерфейсов в один для повышения отказоустойчивости или производительности, в linux есть два основных механизма: bonding и teaming. Оба решают схожие задачи, но работают по-разному.

▪️ Bonding. Классический механизм, существующий в linux уже много лет.

Основные режимы работы:

📍active-backup - один интерфейс активен, остальные в резерве.
📍balance-rr - пакеты отправляются поочерёдно через все интерфейсы.
📍802.3ad (LACP) - агрегирование каналов с поддержкой на стороне коммутатора.
📍balance-xor, broadcast, balance-alb и др.

➕ Плюсы:

Проверенный и стабильный инструмент.
Поддерживается почти во всех дистрибутивах.
Большой выбор режимов.

➖ Минусы:

Ограниченная масштабируемость.
Более тяжелое ядро-зависимое решение (модуль ядра).
Настройка чуть менее гибкая.

▪️ Teaming. Новый механизм (начиная с RHEL 7 и современных систем).

Особенности:

📍Управляется через teamd (пользовательский процесс).
📍Более легкий и гибкий, чем bonding.
📍Поддерживает JSON-конфигурацию и плагины (например, мониторинг линков).
📍Использует те же режимы агрегации (active-backup, roundrobin, lacp и т.д.).

➕ Плюсы:

Гибкая настройка (json + плагины).
Легче масштабировать и управлять.
Мониторинг и логика вынесены в userspace (а не только ядро).

➖ Минусы:

Более сложный для "быстрых правок".
В некоторых дистрибутивах bonding до сих пор по умолчанию используется чаще.

▪️ Что выбрать?

Если у вас традиционная инфраструктура (например, debian, старые centOS, небольшие серверы) - проще использовать bonding: он доступен сразу и без лишних зависимостей.

Если вы работаете с современными centOS или хотите больше гибкости (например, интеграцию с NetworkManager, плагины, мониторинг линков) - выбирайте teaming.

#network

🧑‍💻 NetworkAdmin

📄 Быстрая раздача файлов: Python HTTP Server и HFS

Иногда нужно быстро передать файлы по сети, без заморочек с настройкой SMB или FTP. Для этого есть два простых инструмента - один для linux, другой для windows.

🐧 Linux: встроенный веб-сервер Python

В современных дистрибутивах Python уже установлен, так что все сводится к одной команде:

cd /var/log
python3 -m http.server 8181

Открываем браузер, заходим на IP-адрес сервера с портом 8181 и сразу видим содержимое директории.
Файлы скачали - сервер остановили. Удобно и быстро.

🏠 Windows: HFS (HTTP File Server)

Для Windows есть проверенное решение - HFS.
Это небольшой исполняемый файл, который работает на любой версии windows, включая 11. Скачали → запустили → открыли в браузере IP машины.

HFS позволяет публиковать как целые директории, так и отдельные файлы, просто перетащив их в окно программы. В отличие от SMB, который постоянно требует возни с версиями протокола и учетками, HFS работает «из коробки».

▪️ Дополнительные возможности HFS:

📍аутентификация пользователей;
📍логирование;
📍кастомизация внешнего вида через HTML-шаблоны;
📍контроль пропускной способности;
📍работа в фоне.

Программа бесплатна и с открытым исходным кодом.
🔗 Официальный сайт HFS

#linux #windows #tools

🧑‍💻 NetworkAdmin

А вы пробовали перезагружать ваш ролтер?

#юмор

🧑‍💻 NetworkAdmin

↗️ Быстрый способ узнать все о системе

Если раньше для просмотра базовой информации о linux системе приходилось использовать целый набор команд вроде:

lsb_release -a
uname -a
cat /etc/os-release
cat /etc/redhat-release

- то теперь достаточно одной:

hostnamectl

Static hostname: networkadmin.ru
Icon name: computer-vm
Chassis: vm
Machine ID: ---
Boot ID: ---
Virtualization: microsoft
Operating System: Debian GNU
Kernel: Linux ---
Architecture: x86-64

Что можно увидеть

Имя хоста (static/pretty/текущее)
ОС и версия дистрибутива
Версия ядра
Аппаратная информация (chassis, архитектура)
Виртуализация или контейнеризация (VM или Docker/LXC/OpenVZ)
Machine ID и Boot ID - полезно при отладке и мониторинге

Также с помощью hostnamectl можно не только смотреть информацию, но и менять имя сервера:

hostnamectl set-hostname myserver

Изменения применяются сразу и сохраняются после перезагрузки.

#hostnamectl

🧑‍💻 NetworkAdmin

👀 Мониторинг изменений файлов с помощью inotify и fswatch

В Linux есть подсистема ядра - inotify, которая умеет отслеживать изменения в файловой системе и выдавать уведомления о событиях (создание, удаление, обновление файлов и каталогов). Для работы можно воспользоваться утилитой fswatch, которая доступна почти во всех популярных ОС. В linux под капотом она использует именно inotify.

▪️ Установка:

apt install fswatch

Запуск простого мониторинга за директорией /tmp:

fswatch /tmp

Но в таком виде вывод слишком сырой. Можно сразу добавить ключи:

-x - отображать тип событий
-t - выводить временные метки

fswatch -x -t /tmp

▪️ Пример работы

В одной консоли запускаем fswatch, а в другой пробуем:

echo '123' > /tmp/file.txt
rm /tmp/file.txt

В логах получаем:

28 Sep 2025 23:27:20 MSK /tmp/file.txt Created
28 Sep 2025 23:27:20 MSK /tmp/file.txt Updated
28 Sep 2025 23:27:35 MSK /tmp/file.txt Removed

▪️ Автоматизация

Мониторинг можно запустить в фоне:

fswatch -x -t /tmp >> /var/log/fswatch.log &

или добавить автозапуск через cron:

@reboot fswatch -x -t /tmp >> /var/log/fswatch.log &

Более надёжный способ - оформить как сервис systemd: /etc/systemd/system/fswatch.service

[Unit]
Denoscription=fswatch file monitor
[Service]
ExecStart=/usr/bin/fswatch -x -t /tmp
[Install]
WantedBy=multi-user.target

Запуск:

systemctl enable --now fswatch.service
journalctl -u fswatch.service

Можно отфильтровать конкретные типы событий, например, только удаление:

fswatch --event Removed -x -t /tmp

#inotify #fswatch

🧑‍💻 NetworkAdmin

✍️ Практика работы с tcpdump: фильтры и полезные примеры

tcpdump - один из самых используемых инструментов для анализа сетевого трафика прямо в консоли. С его помощью можно не только снять дамп, но и отфильтровать нужные пакеты, чтобы не утонуть в гигабайтах логов.

▪️ Базовый запуск

tcpdump -i eth0

Смотрим весь трафик интерфейса eth0. Часто этого уже достаточно для первичной диагностики.

▪️ Полезные фильтры

1️⃣ Фильтрация по IP

tcpdump host 192.168.1.10

Только пакеты от/к указанному IP.

2️⃣ Фильтрация по порту

tcpdump port 22

Видим весь SSH-трафик.

3️⃣ Только входящие или исходящие пакеты

tcpdump src host 10.0.0.5
tcpdump dst port 80

4️⃣ Комбинация условий (AND, OR, NOT)

tcpdump src host 192.168.1.100 and port 443
tcpdump not port 22

5️⃣ Фильтрация по протоколу

tcpdump icmp
tcpdump tcp
tcpdump udp

▪️ Практические примеры

1️⃣ Смотреть весь HTTP-трафик

tcpdump -i eth0 tcp port 80 -A

Ключ -A выводит полезную нагрузку пакетов в ASCII. Удобно, если нужно подсмотреть запросы.

2️⃣ Анализ TLS (SNI и handshake)

tcpdump -i eth0 tcp port 443 -vvv

С подробной детализацией можно увидеть домены, к которым идёт подключение.

3️⃣ Отследить DNS-запросы

tcpdump -i eth0 udp port 53

4️⃣ Сохранить дамп для анализа в Wireshark

tcpdump -i eth0 -w dump.pcap

А потом открыть dump.pcap в Wireshark.

5️⃣ Ограничить количество пакетов

tcpdump -c 100 -i eth0

Собираем только первые 100 пакетов.

▪️ Резюме:

Используйте -nn - чтобы ip-адреса и порты не переводились в имена (ускоряет работу).
-vvv - максимально подробный вывод.
Для длительного мониторинга всегда сохраняйте в файл (-w) и анализируйте в wireshark или tshark.

#linux #tcpdump

🧑‍💻 NetworkAdmin