Статьи

Об автономности Рунета

Законопроект предлагает обеспечить государству возможность централизованного управления потоками информации в Сети. Контролировать трафик будет Роскомнадзор. Государство также должно иметь право устанавливать на сетях оборудование для определения источника передаваемой информации. Такие устройства должны также обладать возможностью ограничения доступа к неугодным правительству ресурсам. Также проект предусматривает меры по обеспечению автономной работы российских сайтов после их отключения от глобального интернета. Актуальность законопроекта раскрыта в пояснительной записке. По мнению авторов, принять закон необходимо из-за «агрессивного характера принятой в сентябре 2018 года стратегии национальной кибербезопасности США». Правительство предлагает «создать в недрах роскомнадзора некий центр с очень интересным функционалом». Главной задачей Роскомнадзора будет «Отсекать интернет-трафик из-за рубежа и проводить регулярные учения по кибервойне, чтобы пользователи не расслаблялись». По его мнению, угроза устойчивости интернета в России определена неясно, так как «зависание социальных сетей Facebook и Twitter», сбои в работе почтовых сервисов и оплата покупок через интернет не является угрозой устойчивости российского интернета. Депутаты Госдумы заявляют, что изолировать общество от всемирной паутины правительство не намерено. А мне кажется что все получиться вот так :)

Теги: 
Фото: 
Об автономности Рунета

IPv6 наступает, пора действовать!

В последнее время стали популярны всякие ресурсы приватного доступа к контенту. Все это в большинстве своем связано с не совсем адекватными действия Роскомнадзора и огромным количеством совсем не адекватных постановлений и т.п. пачками вылетающих из голов наших "добрых,голодающих" и т.п. и т.д. чиновников. Но это все лирика.
Понятно что блокировать сайт или сервер по IP или DNS не проблема, но это только в связи с тем, что сегмент ipv4 адресов изначально был "маленький". Толи дело ipv6 - как говориться ешь не хочу! Давайте прикинем серьезный европейский провайдер при аренде сервера выдает вам на халяву подсеть /64 из ipv6! Для одного сервера Карл! Прикидываем: 2 в 64 степени будет 18,446,744,073,709,551,616 айпи или 4,294,967,296 сетей /96. Например, можете создать там виртуалки и каждой свой ип дать )). вообще можно будет использовать везде где потребуется дополнительный айпи на вашей впске. Опуская возможность размещения "незаконного" контента на одном сервере просто зададимся вопросом как ТАКИЕ количества будет банить наш геройский Роскомнадзор?
А теперь по делу - мне стало интересно много ли провайдеров,хостингов,компаний,серверов,сайтов (далее сами) поддерживают и работают с протоколом ipv6? Для себя я подобрал несколько сайтов и инструментов чтобы это понять и с удовольствием решил поделиться с вами (и чтоб не забылось). Итак:

Теги: 
Фото: 

RAID с SSD-кэшированием на Z68 под Win10/Win2016/Win2019

Ну собственно на чипсете Z68 под управлением Win10/Win2016/Win2019 работает IRST версии 15.9.0.1015 от 23.08.2018
Поддерживается организация кэша на любом SSD подключенном к контроллеру.
Версию 16.8.0.1000 от 08.12.2018 постараюсь потестировать завтра(сейчас инициализация RAID идет).

Фото: 
15.9.0.1015 - вкладка производительность

Логофф сессий отключенных пользователей на терминальном сервере

Убить все отключенные сессии:

@ECHO OFF
FOR /F "USEBACKQ TOKENS=2 DELIMS= " %%a IN (`quser^|findstr /b /v "^>"^|findstr /i /v " ID "^|findstr /v /i "rdp-tcp"`) DO logoff %%~a
EXIT 0

Выключение компьютеров в домене по списку

Монолитный скрипт выключения компьютеров в домене по списку:
@ECHO OFF
SET "BEGIN_MARKER=:ENDFILE1"
SET "END_MARKER=:ENDFILE2"
FOR /F "usebackq tokens=1 delims=:" %%a IN (`FINDSTR /N /B /C:"%BEGIN_MARKER%" "%~0"`) DO SET "SKIP_LINE=%%a"
CALL :WORK "%SKIP_LINE%" "%END_MARKER%" "%~0"
GOTO :EOF

:WORK
FOR /F "usebackq skip=%~1 tokens=1 eol=; delims=" %%a IN (`TYPE "%~3"`) DO IF NOT "%%a"=="%~2" (CALL :PROCEDURE "%%a") ELSE (GOTO :EOF)
GOTO :EOF

:PROCEDURE
(ping -n 1 %~1|FIND /I "TTL=")&&(
ECHO Комп "\\%~1" Включен - выключаю...
shutdown -f /s /m \\%~1 -t 1
)||ECHO Комп "\\%~1" выключен
GOTO :EOF

:ENDFILE1
PC1
PC2
PC3
:ENDFILE2

Exim полезные команды

exim -qqff

Эта команда принудительно отправляет все frozen письма

exipick -zi | head -5 | xargs exim -Mt

отправить определённое кол-во писем (5) для снижения нагрузки на почтовик

exim -bpc

Вывести количество сообщений в очереди

exim -q -v

Запуск очереди

exipick -zi | xargs exim -Mrm

Очистит все заблокированные сообщения из очереди

exipick -i | xargs exim -Mrm

Очистит все сообщения из очереди
 

Теги: 

KMS для Windows

При установке нового сервера для роли KMS мы используем дистрибутив Windows Server 2012 R2, доступный нам по подписке TechNet Subscription, из образа. И так как система, устанавливаемая с этого дистрибутива по умолчанию сконфигурирована для использования ключа MAK, преобразуем её в KMS-клиента путём ввода соответствующего ключа из таблицы ещё на этапе установки.

Выдержка из документа TechNet Library - Volume Activation - Appendix A: KMS Client Setup Keys - информация о ключах GVLK, которые нужны для преобразования клиентов MAK/Retail в KMS:

Windows Server 2012 R2 and Windows 8.1 Client Setup Keys

Operating system edition KMS Client Setup Key
Windows 8.1 Professional GCRJD-8NW9H-F2CDX-CCM8D-9D6T9
Windows 8.1 Professional N HMCNV-VVBFX-7HMBH-CTY9B-B4FXY
Windows 8.1 Enterprise MHF9N-XY6XB-WVXMC-BTDCT-MKKG7
Windows 8.1 Enterprise N TT4HM-HN7YT-62K67-RGRQJ-JFFXW
Windows Server 2012 R2 Server Standard D2N9P-3P6X9-2R39C-7RTCD-MDVJX
Windows Server 2012 R2 Datacenter W3GGN-FT8W3-Y4M27-J84CP-Q3VJ9
Windows Server 2012 R2 Essentials KNC87-3J2TX-XB4WP-VCPJV-M4FWM
Windows Server 2012 and Windows 8 Client Setup Keys

Полное удаление драйверов принтера в windows 7

Как обычно, заметочка для себя.

1) Удалите принтер в Панели управления - устройства и принтеры.
2) Откройте Services.msc и остановите и перезапустите Диспетчер печати.
3) Откройте Управление печатью (откройте командную строку, введите printmanagement.msc или print management в строке поиска в меню Пуск).
4) В папке Настраиваемые фильтры выберите Все драйверы, нажмите правой кнопкой на драйвере принтера, который хотите удалить, и нажмите Удалить пакет драйвера.
5) Установите новый драйвер для принтера.

Выяснить занятые слоты памяти в сервере

Иногда возникает необходимость выяснить сколько и каких планок памяти стоит в работающем сервере.
Есть простая консольная команда которая выполняет эту задачу:


# dmidecode --type 17

# dmidecode 2.11
SMBIOS 2.7 present.
Handle 0x000A, DMI type 17, 34 bytes
Memory Device
Array Handle: 0x0009
Error Information Handle: Not Provided
Total Width: 72 bits
Data Width: 64 bits
Size: 8192 MB
Form Factor: DIMM
Set: 4
Locator: DIMM 1
Bank Locator: Node 1 Bank 1
Type: DDR3
Type Detail: Registered (Buffered)
Speed: 1600 MHz
Manufacturer: Micron
Serial Number: DEBFF730
Asset Tag: Unknown
Part Number: 36JSF1G72PZ-1G6K1
Rank: 2
....

Поддержка папок для сканирования

Часто в офисе присутствуют сетевые устройства сканирования, которые поддерживают сканирование в сетевую папку. Все бы было хорошо если бы для этих устройств
 выходили обновления прошивок в ногу со временем, а не по желанию производителя. В наше время де факто доменная и серверная структура уже построена на Windows 2012 R2 Server или старше, у которого по умолчанию для доступа к шарам используется протокол SMB v3.0 В связи с этим устройства типа Ricoh,Brother и т.п. просто не могут писать в эти шары. В связи с этим краткая инструкция (с сайта support.microsoft.com):

Протокол SMBv2 был представлен в Windows Vista и Windows Server 2008. Протокол SMBv3 был представлен в Windows 8 и Windows Server 2012. 
Как изящно удалить SMB v1 в Windows 8.1, Windows 10, Windows 2012 R2 и Windows Server 2016?

1. Windows Server 2012 R2 & 2016: PowerShell метод:
SMB v1

Detect: Get-WindowsFeature FS-SMB1
Disable: Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol
Enable: Enable-WindowsOptionalFeature -Online -FeatureName smb1protocol

SMB v2/v3

Detect: Get-SmbServerConfiguration | Select EnableSMB2Protocol
Disable: Set-SmbServerConfiguration -EnableSMB2Protocol $false
Enable: Set-SmbServerConfiguration -EnableSMB2Protocol $true

2. Windows 8.1 and Windows 10: Powershell метод
SMB v1 Protocol

Detect: Get-WindowsOptionalFeature –Online –FeatureName SMB1Protocol
Disable: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Enable: Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

SMB v2/v3 Protocol

Установка drush drupal на Сentos 7

Продолжаю записки для себя.

Шаг 1. Сначала начнем с обновления вашей системы.

yum clean all

yum -y update

Шаг 2. Ставим Drush.

Установливаем Composer, если еще не установлен

composer global require drush/drush

Если вы хотите установить определенную версию Drush, выполните следующую команду. Например, Drush 8.1.0:

composer global require drush/drush:8.1.0

Настраиваем путь для бинарных файлов Drush:

composer config bin-dir /usr/local/bin

Установка непосредственно Drush:
composer install 

Проверьте Drush, используя команду ниже:

drush status

Следом необходимо обновить до последней версии:

composer global update

Следует обратить внимание, что некоторые команды Composer, в том числе exec, install и update, позволяют выполнять сторонний код в вашей системе.
Это происходит из-за возможностей «плагинов» и «скриптов». Плагины и скрипты имеют полный доступ к учетной записи пользователя, которая запускает Composer.
По этой причине настоятельно рекомендуется избегать использования Composer в качестве суперпользователя - root.

Вы можете отключить плагины и скрипты во время установки пакета или обновления со следующим синтаксисом, будет выполняться только код Composer и никакой сторонний код:

composer install --no-plugins --no-scripts ...

composer update --no-plugins --no-scripts ...

Команда exec всегда будет запускать сторонний код как пользователь, который запускает Composer. В некоторых случаях, например, в системах CI или таких, где вы хотите установить ненадежные зависимости, самый безопасный способ сделать это - запустить приведенную выше команду.
 

Теги: 

Скрытый минер

По мотивам ленты гугл:

Всем сисадминам!
Закрывайте на фаерволах доступ к "pool.minexmr.com:4444"
Это "майнеры" опять шалят.
Чуть позже добавлю подробности.

Вкратце:
C:\Windows\font - лежат 3 файла. Это "набор юного майнера".

Фигня грузит процессор, подменяет taskhost.exe
0. У меня шлюз на GNU/Linux, и есть утилитка tcpkill. Я зупустил её так:
tcpkill -i eth0 host pool.minexmr.com
1. Скачиваем procexp64.exe (]]>https://technet.microsoft.com/ru-ru/sysinternals/processexplorer.aspx]]>)
2. Запускаем и находим (там на бинокль нужно нажать) c:\windows\font\taskhost.exe
3. Убиваем дерево процессов, начинающееся с taskhost.exe
4. Удаляем c:\windows\font со всем содержимым.

Активность серьёзно снижается.

PS
Оно ещё блокирует taskmgr.exe
Нужно удалить
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

Теги: 

УСТАНОВКА SYMANTEC BACKUP EXEC ДЛЯ CENTOS LINUX

Как известно Symantec Backup Exec (ранее Veritas Backup Exec) — программное обеспечение для резервного копирования и восстановления данных.Продукт поддерживает установку агентов резервного копирования на следующие операционные системы: Red Hat Enterprise Linux, Microsoft Windows, IBM AIX и другие.На удаленных машинах, для которых требуется выполнять бэкап, устанавливается клиент (для Linux это RALUS64 или RALUSx86) который после успешной установки и конфигурации соединяется по безопасному каналу с сервером и выполняет удаленный бэкап системы. Несмотря на тот факт, что Symantec Backup Exec или в народе RALUS продукт платный и очень дорогой, сделан он мягко говоря не очень. В документации по установке толком ничего нет, в связи с этим часто возникают вопросы и проблемы. Если сервер не используется для разработки (там наверняка уже установлены эти пакеты), то советую предварительно выполнить это:
yum groupinstall 'Development tools'
yum install perl-Switch compat-libstdc++-33.x86_64 libstdc++.x86_64 libstdc++-devel.x86_64
Далее надо распаковать архив, где вы найдете две версии программы, для 64бит и для 32бит (для версии Symantec Backup Exec 14)
tar xvzf RALUS_RMALS_RAMS-1786.0.tar.gz
cd RALUS64
Далее конфигурация программы выполняется через файл:
vim /etc/VRTSralus/ralus.cfg
Ручной запуск делается так:
cd /opt/VRTSralus/bin
./beremote &
Ручной запуск с выводом лога в консоль:
./beremote --log-console
Запуск VRTSralus как сервис:
/etc/init.d/VRTSralus.init restart
Теги: 

Создание открытого SSH-ключа

Приветствуем тебя, посетитель! Спасибо за посещение нашего сайта. Часто, в инструкциях упоминается использование аутентификации по открытым SSH-ключам. Но найти с "разбегу" инфу, как создать свой открытый ключ не получается. Пора добавить памятку как это сделать.
Итак для того чтобы предоставить открытый ключ, пользователь должен его сгенерировать, если только это не было сделано ранее. Этот процесс похож во всех операционных системах. Сначала вам стоит убедиться, что у вас ещё нет ключа. По умолчанию пользовательские SSH-ключи хранятся в каталоге ~/.ssh пользователя. Вы можете легко проверить, есть ли у вас ключ, зайдя в этот каталог и посмотрев его содержимое:
$ cd ~/.ssh
$ ls
authorized_keys id_dsa known_hosts config id_dsa.pub
Ищите пару файлов с именами "*" и "*.pub", где "*" — обычно id_dsa или id_rsa. Файл с расширением .pub — это ваш открытый ключ, а второй файл — ваш секретный ключ.
Если у вас нет этих файлов (или даже нет каталога .ssh), вы можете создать их, запустив программу ssh-keygen, которая входит в состав пакета SSH в системах Linux/Mac, а также поставляется в составе MSysGit для Windows:

ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kaac/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/kaac/.ssh/id_rsa.
Your public key has been saved in /home/kaac/.ssh/id_rsa.pub.
The key fingerprint is:
SHA256:MgYMQnlTAszwPYKHN3FwgvoQldyvg8YEpNIm5uglw8k kaac@lini
The key's randomart image is:
+---[RSA 2048]----+
|BBX=+. |
|o@+@o |
|O.X.*. |
|X=.o.o. |
|.E = .+ S |
|. B +. o |
| o . |
+----[SHA256]-----+

Теги: 

Reciever и SSL сертификаты

Клиент Citrix ICA (Citrix Receiver) обеспечивает доступ к удаленным сеансам Windows, которые выполняются на сервере Citrix.

Эти инструкции предназначены для установки самоподписанных SSL сертификатов в системы Linux.

Добавьте все необходимые SSL-сертификаты в папку Reciever. По умолчанию Citrix Receiver доверяет только нескольким корневым сертификатам ЦС, что приводит к сбою соединений со многими серверами Citrix с ошибкой SSL. Пакет «ca-certificate» (уже установленный на большинстве систем Linux) предоставляет дополнительные сертификаты CA в /usr/share/ca-certificates/mozilla/, которые можно удобно добавить в Citrix Receiver, чтобы избежать этих ошибок:


sudo ln -s /usr/share/ca-certificates/mozilla/* /opt/Citrix/ICAClient/keystore/cacerts/ 

Или можно просто скопировать все нужные в эту папку.
Затем перечитать их:


sudo c_rehash /opt/Citrix/ICAClient/keystore/cacerts/ 

Страницы

Подписка на RSS - блоги