😏

#юмор

🧑‍💻 NetworkAdmin

⚙️ Восстановление GRUB и загрузки после сбоя

Если после обновления, кривой установки windows или повреждения разделов linux перестал загружаться, то почти всегда можно вернуть систему к жизни, просто восстановив GRUB.

1️⃣ Загружаемся с LiveCD. Любой дистрибутив подходит (Ubuntu, Debian, Fedora). Открываем терминал.

2️⃣ Находим Linux-раздел

lsblk

Ищем раздел, где стоит linux, например /dev/sda2.
Если отдельный /boot существует, то запомните и его.

3️⃣Монтируем систему

sudo mount /dev/sda2 /mnt

Если есть отдельный /boot:

sudo mount /dev/sda1 /mnt/boot

И обязательно системные каталоги:

for i in /dev /proc /sys /run; do sudo mount --bind $i /mnt$i; done

4️⃣ chroot внутрь системы

sudo chroot /mnt

Теперь вы внутри установленной системы, как будто загрузились в нее.

5️⃣ Восстанавливаем GRUB

BIOS/Legacy

grub-install /dev/sda
update-grub

UEFI

grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=GRUB
update-grub

Если каталог /boot/efi не смонтирован, то смонтируйте нужный EFI-раздел (lsblk -f покажет FAT32):

mount /dev/sda1 /boot/efi

6️⃣ Выходим и перезагружаемся

exit
sudo reboot

Если все сделано правильно система загрузится снова.

⚠️ Полезные советы

Если после восстановления GRUB старая windows не отображается, выполните:

os-prober && update-grub

Если GRUB ставится, но меню не появляется, включите отображение:

GRUB_TIMEOUT_STYLE=menu

При поврежденном ядре можно вручную выбрать старое в меню Advanced options.

#linux #grub

🧑‍💻 NetworkAdmin

👒 Легкий TCP/UDP туннель поверх HTTP

Хочу поделиться полезным инструментом, который часто упоминают в контексте пентестов, но который одинаково удобен и администраторам: Chisel. Это один бинарник (на Go) и для сервера, и для клиента доступный для linux, windows, macOS. Работает поверх HTTP, поэтому его очень просто поднять там, где открыт веб-порт.

▪️ Коротко, зачем нужно:

▪️быстро организовать SOCKS5-прокси через открытую HTTP/HTTPS точку;
▪️поднять обратный туннель (reverse) с защищённого хоста, который не доступен извне;
▪️пробросить локальный порт на удалённый хост по HTTP, когда прямой доступ заблокирован.

▪️ Примеры (общая схема)

1️⃣ Быстрый SOCKS5-прокси. На сервере (с публичным IP, порт 80/443 доступен):

./chisel server --port 80 --socks5

На клиенте (локальная машина, откуда хотите выходить в интернет через сервер):

./chisel client http://server.example.com:80 socks

После этого в браузере можно указать SOCKS5 proxy 127.0.0.1:1080, трафик пойдет через сервер.

2️⃣ Обратный SSH-туннель (клиент инициирует соединение, сервер принимает). Если целевая (закрытая) машина не доступна извне, но может инициировать исходящее HTTP-соединение:
На публичном сервере:

./chisel server --port 80 --reverse

На внутреннем хосте (тот, к которому хотим подключиться):

./chisel client http://server.example.com:80 R:2222:localhost:22

Теперь на публичном сервере можно подключиться к внутреннему хосту:

ssh -p 2222 root@127.0.0.1

3️⃣ Проброс локального сервиса (например, MySQL на сервере) на клиент. На публичном сервере запускаем с --reverse. На внутреннем клиенте даем правило:

./chisel client http://server.example.com:80 33306:127.0.0.1:3306

После этого на клиенте MySQL будет доступен локально на порту 33306.

▪️ Дополнительно

Аутентификация: есть опция --auth user:pass и на сервере, и на клиенте, используйте для защиты туннеля.

Маскировка: --backend позволяет прятать chisel-сервер за обычным веб-сервером (перенаправлять чужие HTTP-запросы), что облегчает развертывание в средах с ограничениями.

Один бинарник, удобно распространять и для разных ОС.

#network #security

🧑‍💻 NetworkAdmin

👀 Шпаргалка: куда делось свободное место

Полезное напоминание в преддверии новогодних праздников - проверить бэкапы и свободное место 🤔 Я лишь поделюсь небольшой шпаргалкой, по которой можно определить куда делось свободное место, если в какой-то момент оно вдруг исчезло.

▪️ Проверяем общий объём занятых данных

df -h

▪️ Выясняем, какие директории занимают больше всего. Самый простой вариант:

du -h -d 1 / | sort -hr
du -hs /* | sort -hr

Ограничиваем вывод:

du -h -d 1 / | sort -hr | head -10

Топ 20 самых объемных директорий:

du -hcx --max-depth=6 / | sort -rh | head -n 20

Топ 20 самых больших файлов:

find / -mount -ignore_readdir_race -type f -exec du -h "{}" + 2>&1 \
  | sort -rh | head -n 20

▪️ Проверяем inodes (иногда забиваются они)

df -ih

▪️ Ищем удаленные, но все еще открытые файлы. Если du показывает меньше, чем df, виноваты могут быть процессы, держащие удалённые файлы:

lsof | grep '(deleted)'
lsof +L1

Если видите большие файлы - перезапустите сервис или убейте зависший процесс:

kill -9 <pid>

▪️ Проверяем точки монтирования

Классическая ловушка: данные пишутся в /mnt/backup, но диск в момент копирования не смонтирован. Файлы падают на корневую ФС, а после монтирования становятся невидимыми, но место продолжают занимать.

Если суммарный размер файлов меньше занятого места, а удаленных файлов нет, то почти наверняка проблема в такой ложной точке монтирования.

#linux #storage

🧑‍💻 NetworkAdmin

🏠 Windows Firewall: как включить логирование и понять, что именно он блокирует

Встроенный брандмауэр windows по умолчанию не пишет логи о входящих и исходящих соединениях, которые он блокирует. Из-за этого сложно понять, кто виноват: само приложение, сеть или firewall. Многие в такой ситуации просто отключают защиту целиком, но это плохая практика.

Куда правильнее включить логирование DROP-пакетов, посмотреть, что именно блокируется (порт, IP, протокол), и уже после этого создать точечное правило.

▪️ Логирование в текстовый файл. Самый простой способ - это включить запись в стандартный лог:

Set-NetFireWallProfile -Profile Public `
  -LogBlocked True `
  -LogMaxSize 20480 `
  -LogFileName "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" `
  -Verbose

После включения логи будут появляться в файле pfirewall.log. В них видно источник, порт, направление и действие (DROP/ALLOW).

▪️Логирование в Event Viewer. Иногда удобнее смотреть блокировки прямо в журнале событий Windows: фильтрация, сортировка и быстрый поиск куда приятнее, чем анализ текста. Активируем аудит:

Auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /failure:enable

После этого записи о блокировках появятся в: Event Viewer → Windows Logs → Security

#windows #firewall

🧑‍💻 NetworkAdmin

Дедлайн Новый год стучится в дверь! 😊

Я думаю, что все устали и всем пора отдыхать, набираться сил. Все дедлайны позади, а о будущих думать пока не стоит! 😊

Я пожелаю Вам хороших каникул, счастья, здоровья, поменьше выгорания и успехов в новом году! 😊

С наступающим, 2026! 😊

🖥 Small HTTP Server

Small HTTP Server - программа родом из эпохи Windows 95 и NT, но до сих пор развивается. Написана на C++, невероятно компактная - установщик весит всего около 1 МБ.

▪️ Что умеет Small HTTP Server?

▪️ HTTP-сервер: поддерживает CGI/FastCGI, ISAPI, запуск внешних интерпретаторов (PHP, Perl и т.д.), виртуальные хосты и директории. Можно использовать как полноценный небольшой веб-сервер.

▪️ Почтовый сервер POP3/SMTP: фильтры антиспама, чёрные/белые/серые списки, переотправка писем, запуск скриптов для обработки входящей почты, интеграция с внешними антивирусами.

▪️ FTP-сервер: с виртуальными каталогами и базовым управлением пользователями.

▪️ HTTP-proxy: работает с HTTP/HTTPS/FTP, умеет докачивать файлы, кешировать контент, запрашивать сжатые данные и распаковывать их на лету (через zlib).

▪️ DNS-сервер: поддерживает рекурсивные запросы, кеширование, DNSBL, DoH (RFC8484), а также интересную функцию: если удалённый сервис не отвечает, сервер может автоматически подменять IP-адрес на резервный.

▪️ DHCP-сервер: простой, но рабочий.

▪️ HTTP-TLS VPN: есть свой мини-VPN, использующий OpenVPN TAP-драйвер. И сервер, и клиент.

▪️ Интерфейс и работа

Программа доступна под Windows, Linux и ARM, отличный вариант для маломощных одноплатников.

Все службы настраиваются через удобный веб-интерфейс со статистикой. Конфигурация хранится в обычном текстовом файле. На Windows сервер запускается просто запуском EXE, по умолчанию работает как файловый листинг каталога. Можно установить как службу.

#utils

🧑‍💻 NetworkAdmin

🧑‍💻 Docker шпаргалка для ежедневной работы

▪️ Установка Docker

curl -o - https://get.docker.com | bash -

▪️ Работа с контейнерами

Запустить контейнер как службу (автостарт, проброс порта)

docker run -d -p 80:80 --restart always --name nginx-proxy nginx

Список контейнеров

docker ps        # только запущенные
docker ps -a     # все

Удаление контейнера

docker rm nginx-proxy            # остановленного
docker rm -f nginx-proxy         # принудительно

Остановить и удалить все контейнеры

docker stop $(docker ps -aq)
docker rm $(docker ps -aq)

▪️ Работа с образами

Просмотр и удаление

docker images
docker rmi nginx                  # удалить один
docker rmi $(docker images -aq)   # удалить все

▪️ Внутри контейнера

Вход в bash

docker exec -it nginx-proxy bash

Логи

docker logs nginx-proxy
docker logs -n 100 nginx-proxy
docker logs -f nginx-proxy

Запущенные процессы

docker top nginx-proxy

▪️ Диагностика и мониторинг

Статистика ресурсов

docker stats nginx-proxy
docker stats prometheus exporter
docker stats prometheus --format "table {{.Name}}\t{{.CPUPerc}}\t{{.MemUsage}}"

Информация о контейнере

docker inspect nginx-proxy
docker inspect -f '{{ .NetworkSettings.Networks.bridge.IPAddress }}' nginx-proxy
docker inspect --format '{{json .Mounts}}' grafana | jq .

Проверить занимаемое место

docker system df

Очистить мусор

docker system prune

▪️ Работа с файлами

Копирование файлов

docker cp nginx-proxy:/etc/nginx/nginx.conf ~/nginx
docker cp ~/nginx/nginx.conf nginx-proxy:/etc/nginx

Экспорт файловой системы контейнера

docker export nginx-proxy -o ~/nginx-proxy.tar.gz

#docker

🧑‍💻 NetworkAdmin

✍️ Быстрый способ выпустить свой HTTPS-сертификат через собственный CA

Сегодня почти любой сервис требует HTTPS. Даже если ресурс локальный или временный, браузеры без сертификата засыпают предупреждениями. Если нет внешнего доступа для Lets Encrypt, приходится копировать сертификаты вручную или постоянно продлевать их.

Гораздо удобнее выпустить свой корневой CA, добавить его в доверенные и генерировать сертификаты под любые домены/IP с любым сроком (хоть на 9999 дней). Покажу, как сделать это для Nginx.

В примере выпускаем сертификат для домена zabbix.internal и IP 192.168.77.55.

1️⃣ Создаем свой CA

mkdir ~/tls && cd ~/tls
openssl ecparam -out myCA.key -name prime256v1 -genkey
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 9999 -out myCA.crt

На вопросы можно отвечать что угодно, это локальный CA.

2️⃣ Генерируем ключ и CSR для сервера

openssl genrsa -out zabbix.internal.key 2048
openssl req -new -key zabbix.internal.key -out zabbix.internal.csr

3️⃣ Создаем файл расширений

mcedit zabbix.internal.ext

Добавляем:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1 = 192.168.77.55
DNS.1 = zabbix.internal

4️⃣ Выпускаем сертификат

openssl x509 -req -in zabbix.internal.csr -CA myCA.crt -CAkey myCA.key \
-CAcreateserial -out zabbix.internal.crt -days 9999 -sha256 -extfile zabbix.internal.ext

5️⃣ Копируем сертификаты в nginx

mkdir /etc/nginx/certs
cp zabbix.internal.crt /etc/nginx/certs/
cp zabbix.internal.key /etc/nginx/certs/

Создаем DH-параметры:

openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

6️⃣ Настраиваем виртуальный хост nginx

listen 443 http2 ssl;
server_name zabbix.internal 192.168.77.55;
ssl_certificate /etc/nginx/certs/zabbix.internal.crt;
ssl_certificate_key /etc/nginx/certs/zabbix.internal.key;
ssl_dhparam /etc/ssl/certs/dhparam.pem;

Перезапуск:

nginx -t
nginx -s reload

7️⃣ Делаем CA доверенным

Передайте файл myCA.crt на свой ПК и добавьте в хранилище доверенных сертификатов.

Если нужно доверить CA прямо на Debian:

cp myCA.crt /usr/local/share/ca-certificates/
update-ca-certificates

Теперь можно заходить на сайт по доменному имени или IP, браузер будет полностью доверять сертификату.

#webserver

🧑‍💻 NetworkAdmin

🔓 Ansible Vault: хранение секретов и паролей

Если вы работаете с Ansible, рано или поздно возникает вопрос: куда девать пароли, ключи, токены и прочее? Хранить их в открытом виде в репозитории - явно плохая идея. Для этого существует Ansible Vault - встроенный механизм шифрования файлов и переменных.

Vault позволяет безопасно хранить секреты прямо в плейбуках или отдельных файлах, а ansible будет расшифровывать их при выполнении. Все просто, удобно и без лишних зависимостей.

▪️ Шифруем файл. Создадим защищенный файл с переменными:

ansible-vault create secrets.yml

Откроется редактор, куда можно вписать переменные, например:

db_user: admin
db_pass: S3cretP@ss

Файл автоматически сохранится в зашифрованном виде.

▪️ Редактируем зашифрованный файл

ansible-vault edit secrets.yml

▪️ Расшифровка при необходимости. Если нужно временно получить обычный текст:

ansible-vault decrypt secrets.yml

И обратно:

ansible-vault encrypt secrets.yml

▪️ Использование в плейбуках. Зашифрованный файл подключается как обычно:

vars_files:
  - secrets.yml

А запуск плейбука выглядит так:

ansible-playbook site.yml --ask-vault-pass

▪️ Частичное шифрование (опционально). Можно зашифровать только нужные переменные:

ansible-vault encrypt_string 'P@ssw0rd!' --name 'db_pass'

#ansible

🧑‍💻 NetworkAdmin

📱 Тестирование производительности PostgreSQL

Если нужно быстро оценить, как PostgreSQL чувствует себя на разных типах дисков, файловых системах или конфигурациях виртуалок, необязательно глубоко погружаться в тюнинг СУБД. Достаточно воспользоваться встроенной утилитой pgbench, она идет в комплекте с PostgreSQL и позволяет получить базовые, но показательные метрики.

▪️ Установка и подготовка среды. Устанавливаем PostgreSQL:

apt install postgresql

Проверяем работу службы:

systemctl status postgresql

Создаем тестовую базу:

su - postgres
psql
create database test_db;
\q

Инициализируем тестовые данные, увеличив объём в 10 раз:

pgbench -i test_db -s 10

▪️ Запуск теста нагрузки. Прогоняем тест: 5 клиентов, 2 потока, 60 секунд, вывод статистики каждые 5 секунд:

pgbench test_db -c 5 -j 2 -P 5 -T 60

Пример результата:

number of transactions actually processed: 219950
latency average = 1.362 ms
tps = 3665.930847

СУБД обработала 219 950 транзакций со скоростью ~3666 TPS, это и есть показатель, который удобно использовать для сравнения.

▪️ Что именно тестирует pgbench?

По умолчанию запускается смесь операций, напоминающая TPC-B: внутри одной транзакции идут SELECT, UPDATE и INSERT. Можно использовать свои сценарии, создавая кастомные SQL-скрипты. В документации PostgreSQL (в том числе русской) всё подробно описано.

#postgresql

🧑‍💻 NetworkAdmin

🖥 RemoteApp на Windows 10/11

Если вам нужно, чтобы пользователи запускали через RDP не целый рабочий стол, а только определенное приложение, то для этого подойдет режим RemoteApp. Он чаще ассоциируется с серверами windows, но его реально настроить и на обычной win 10/11.

▪️ Что нужно сделать на сервере (удаленном Windows).

1. Включить RDP-доступ.
2. Установить нужное приложение и добавить пользователя в группу Remote Desktop Users или дать право через политику безопасности.
3. Разрешить запуск неопубликованных программ как RemoteApp: либо через групповые политики, либо через реестр:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v fAllowUnlistedRemotePrograms /t REG_DWORD /d 1

Перезагрузить компьютер.

Если хотите ограничить список доступных приложений, то создайте запись в реестре:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList\Applications\<AppName> с указанием пути, иконки и имени.

▪️ Как пользователь подключается

Открываете стандартный RDP-клиент (mstsc.exe) и настраиваете подключение, затем сохраняете его как файл .RDP.

Открываете .RDP в текстовом редакторе и добавляете в конец:

remoteapplicationmode:i:1  
RemoteApplicationName:s:Имя_окна  
RemoteApplicationProgram:s:"C:\path\to\app.exe"  
DisableRemoteAppCheck:i:1  
PromptForCredentials:i:0  
alternate shell:s:rdpinit.exe

При запуске этого файла на клиенте откроется только окно указанного приложения так, словно оно запускается локально.

Если нужно передать аргументы запуска, можно добавить строку RemoteApplicationCmdLine:s:....

▪️ Что важно

Хотя RemoteApp официально поддерживается на серверах с ролью RDS, этот способ работает и на win 10/11.

При работе через RemoteApp запускается только окно приложения, рабочий стол пользователя остается недоступен. Это удобно, если нужно предоставить доступ к одной программе, не раскрывая систему целиком.

Для работы может потребоваться RDP Wrapper или другие обходы, если Windows пытается ограничить одновременные сеансы.

#windows #remoteapp

🧑‍💻 NetworkAdmin

Нежно зайду и нажму кнопку «перезагрузка»

#юмор

🧑‍💻 NetworkAdmin