Заметки сисадмина

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве



Как защитить сервер Linux?

2025-01-24 · Posted in Linux / Unix / MAC

1.Обновление системы

Регулярно обновляйте систему и программное обеспечение:

Включите автоматические обновления безопасности.

2.Настройка брандмауэра

Используйте ufw (Uncomplicated Firewall) или firewalld для управления входящими и исходящими соединениями:

Запретите все неиспользуемые порты.

3.Защита SSH

Измените порт SSH по умолчанию (22):

Измените строку Port 22 на другой порт.

Отключите вход под root:

Используйте аутентификацию по ключу вместо пароля:

Ограничьте доступ по IP:

4.Управление пользователями и правами

Создавайте отдельных пользователей с ограниченными правами для выполнения задач.
Используйте sudo вместо входа под root.
Регулярно проверяйте список пользователей и удаляйте ненужные учетные записи:

5.Установка и настройка Fail2Ban

Fail2Ban блокирует IP-адреса после нескольких неудачных попыток входа:

Настройте конфигурацию для SSH и других сервисов.

6.Отключение ненужных сервисов

Удалите или остановите неиспользуемые сервисы:

7.Использование SELinux/AppArmor

Включите SELinux (для CentOS/RHEL) или AppArmor (для Debian/Ubuntu) для усиления безопасности:

8.Регулярное резервное копирование

Настройте автоматическое резервное копирование важных данных.
Храните резервные копии на отдельном сервере или в облаке.

9.Мониторинг и логирование

Используйте инструменты мониторинга, такие как htop, nmon или Prometheus.
Регулярно проверяйте логи:

10.Шифрование данных

Используйте шифрование дисков (LUKS) для защиты данных.
Настройте SSL/TLS для всех сервисов, работающих с данными.

11.Аудит безопасности

Используйте инструменты для сканирования уязвимостей, такие как Lynis или OpenSCAP:

Esxi: VM потеряло сеть Vlan и не пингует роутер

2025-01-23 · Posted in VMWare

Данная проблемы наблюдаются с виртуалками, которые используют старые версии ОС.
Для решения:

  • Выключаем VM
  • В свойствах VM в разделе сетевой карты заного выбираем данный Vlan и сохраняем изменения
  • Запускаем VM

Также не забываем обновлять VmWare tool до актуальной версии:
https://packages.vmware.com/tools/releases/

ПК в наличии 2025-01-22:

2025-01-22 · Posted in РЕГЛАМЕНТ

На выбор, покупать комплектом, КАБЕЛЬ + НЕТТОП:

Кабели:

Кабель Ugreen HD101 HDMI – HDMI 2 метра (10129)
https://www.komus.ru/katalog/tekhnika/tv-audio-video-foto/aksessuary-dlya-tv/audio-video-kabeli-i-perekhodniki/kabel-ugreen-hd101-hdmi-hdmi-2-metra-10129-/p/1940686/?from=block-301-0_8?from=web_mailing-share_link-all-op_z1-nbr-t33-ntm-v4-onboard-popup

Кабель ExeGate HDMI – HDMI 1.8 метра (EX287723RUS)
https://www.komus.ru/katalog/tekhnika/tv-audio-video-foto/aksessuary-dlya-tv/audio-video-kabeli-i-perekhodniki/kabel-exegate-hdmi-hdmi-1-8-metra-ex287723rus-/p/1599530/?from=block-301-0_3

Кабель Telecom HDMI-HDMI 2 метра (TCG200F-2M)
https://www.komus.ru/katalog/tekhnika/tv-audio-video-foto/aksessuary-dlya-tv/audio-video-kabeli-i-perekhodniki/kabel-telecom-hdmi-hdmi-2-metra-tcg200f-2m-/p/2151753/?from=block-301-0_3

Неттопы:

Неттоп HP 260 G9 Mini (9H6M7ET)
https://www.komus.ru/katalog/tekhnika/kompyutery-i-periferiya/sistemnye-bloki/nettopy/nettop-hp-260-g9-mini-9h6m7et-/p/2093375/?tabId=specifications&from=block-301-0_2

Неттоп MSI Pro DP10 (9S6-B0A621-231)
https://www.komus.ru/katalog/tekhnika/kompyutery-i-periferiya/sistemnye-bloki/nettopy/nettop-msi-pro-dp10-9s6-b0a621-231-/p/2111722/?tabId=specifications&from=block-301-0_4

Неттоп MSI Pro DP10 12M-215XRU (9S6-B0A621-215)
https://www.komus.ru/katalog/tekhnika/kompyutery-i-periferiya/sistemnye-bloki/nettopy/nettop-msi-pro-dp10-12m-215xru-9s6-b0a621-215-/p/2034359/?tabId=specifications&from=block-301-0_5

Неттоп Lenovo ThinkCentre Neo 50q G4 (12LN003KUM)
https://www.komus.ru/katalog/tekhnika/kompyutery-i-periferiya/sistemnye-bloki/nettopy/nettop-lenovo-thinkcentre-neo-50q-g4-12ln003kum-/p/2099572/?tabId=specifications&from=block-301-0_1

Настройка HTTPS-соединения для сайта на веб-сервере IIS

2025-01-20 · Posted in IIS, Windows Server 2008

Попробовал сделать сайт у себя на сервере на платформе Windows Server 2008R2 (веб-сервер Microsoft-IIS). В общем, получилось

Но однажды встал вопрос: перевести сайт с протокола HTTP на защищённый протокол HTTPS. В административной панели моего “битриксового” сайта и на сайте Битрикс Как только доходит до установки сертификата на сервер, у пользователей виндовс-платформы могут возникнуть вопросы, на которые ответов там нет. Попробую прояснить отдельные нюансы на основе личного опыта.

Где взять сертификат

Я воспользовался бесплатным SSL-сертификатом, который предоставляется на 1 год регистратором доменных имен, у которого я зарегистрировал доменное имя сайта. Из личного кабинета на сайте регистратора я сохранил к себе на сервер два файла: 1) сертификат в формате x509 (.PEM) (это запись сертификата в формате certificate.crt) и 2) корневой сертификат (запись в формате certificate_ca.crt). Третий файл – приватный ключ (в виде текстового файла) – мне выслали на мой почтовый ящик. Его также сохранил к себе на сервер с расширением .key (имя произвольное). Для установки сертификата на сервер необходимы именно эти три файла.

Преобразовать сертификаты crt в pfx

Перед установкой сертификата на веб-сервер IIS необходимо эти три файла объединить (конвертировать) в один файл с расширением .pfx, т.к. диспетчер служб IIS поддерживает только этот формат для импорта сертификата на веб-сервер. Для конвертации потребуется утилита OpenSSL.
Её можно скачать amd64-win64openssl-0_9_8g
Распакуйте её к себе на сервер и в папку с данной утилитой скопируйте полученные ранее три файла certificate.crt, certificate_ca.crt и файл с расширением .key. Зажмите SHIFT и щелкните по папке с утилитой правым кликом. В открывшемся контекстном меню, выберите пункт “Открыть окно команд”:

Открыть окно команд

В результате чего откроется командная строка Windows, но уже в нужной папке содержащей утилиту openssl. В открывшемся окне введите следующую команду:

Здесь вместо namesite.ru необходимо подставить доменное имя Вашего сайта, вместо private подставить имя Вашего файла приватного ключа. Вместо certificat и certificat_ca подставить имена Ваших файлов сертификата и корневого сертификата. Например:

В этом же окне будет предложено для создаваемого pfx-файла ввести пароль, который потребуется при импортировании pfx-файла на веб-сервер (пароль при вводе не отображается). После ввода пароля и нажатия Enter будет предложено его повторить.

OpenSSL_cmd

После повтора пароля и нажатия Enter будет создан pfx-файл (pfx сертификат) в папке с утилитой.

Установить полученный pfx сертификат  на веб-сервер IIS

В Диспетчере служб IIS открыть начальную страницу Вашего сервера (не сайта), кликнуть по иконке “Сертификаты сервера”. В меню “Действия” выбрать “Импортировать”. В окне “Импорт сертификата” указать местонахождение pfx-файла (в папке с утилитой openssl), ввести пароль, который вы указали при создании pfx-файла, нажать ОК.

Сертификаты сервера

Сертификаты сервера. Импорт

Сертификат установлен на веб-сервер

Добавить привязку сайта к протоколу HTTPS

В Диспетчере служб IIS открыть начальную страницу Вашего сайта. В меню “Действия” выбрать “Привязки”. В форме “Привязки сайта” нажать “Добавить”. В форме “Добавление привязки сайта” в строке “Тип” выбрать “https”, в строке “ip-адрес” выбрать “Все неназначенные”, в строке “Порт” ввести 443 , в строке “Сертификаты SSL” из выпадающего списка выбрать сертификат, установленный на веб-сервер Нажать ОК .

Добавить привязку к https

Так же необходимо в файрволе сервера открыть порт 443.

Установить 301 редирект с HTTP на HTTPS

В корне Вашего сайта в текстовом редакторе открыть файл web.config. В раздел <system.webServer> добавляем подраздел <rewrite> отвечающий за переопределение URL-адресов, и в котором содержится функция перенаправляющая http на https

Изменить ссылки, используемые на сайте, с абсолютных на относительные

Необходимо в каждом разделе сайта все абсолютные ссылки поменять на относительные. Т.е. ссылки такого вида как http://ваш_сайт.ru/blog/o-razrabotke-sajta/ заменить на /blog/o-razrabotke-sajta/ т.е. убрать указание на протокол и домен Вашего сайта. В файле robots.txt и всех файлах семейства sitemap.xml, в строках содержащих URL-ы Вашего сайта, исправить протокол с http на https.

Оповестить поисковики об изменениях

Добавить HTTPS-версию сайта в панель для вебмастеров Яндекс Вебмастера и Google Search Console

Существенное дополнение

Не продлил вовремя сертификат. Проделал перечисленные манипуляции, т.е. – скачал, сконвертировал, установил на сервер. Но поисковики по-прежнему не открывали сайт по протоколу https. Только когда в Диспетчере шлюза удаленных рабочих столов в свойствах на вкладке Сертификаты SSL сделал Импорт сертификата, только тогда сайт стал открываться. Также есть еще конвертер SSL digicertutil но его работу не проверял…

Windows11: Safe mode password

2025-01-19 · Posted in Windows – 11

Image

hello my pc boot proprely so I loaded into startup safe mode but I can see or use the option as it asks for a password which I put in and try to unlock but it says wrong password even tho its correct, I did reset my password to retry it and still it doesnt work

If unable to access safe mode with your current password, you may need to try using your Microsoft account password instead.

If that doesn’t work, you can try resetting your Windows 11 password using the following steps:

1)Restart your PC and press and hold the Shift key while it’s booting up.
2)Select Troubleshoot -> Advanced options -> Startup Settings -> Restart.
3)After your PC restarts, select option 4 or press F4 to start your PC in Safe Mode.
4)Once you’re in Safe Mode, press the Windows key + R to open the Run dialog box.
5.)Type “netplwiz” (without quotes) and press Enter.
6)Select your user account and click on “Reset Password“.
7)Follow the on-screen instructions to reset your password.

Если это не сработает, попробуйте сбросить пароль Windows 11, выполнив следующие действия:

1)Перезагрузите компьютер, нажмите и удерживайте клавишу Shift во время загрузки.
2)Выберите Устранение неполадок -> Дополнительные параметры -> Параметры запуска -> Перезагрузить.
3)После перезагрузки ПК выберите вариант 4 или нажмите клавишу F4, чтобы запустить ПК в безопасном режиме.
4)После входа в безопасный режим нажмите клавиши Windows + R , чтобы открыть диалоговое окно «Выполнить».
5)Введите « netplwiz » (без кавычек) и нажмите Enter.
6)Выберите свою учетную запись и нажмите « Сбросить пароль ».
7)Следуйте инструкциям на экране, чтобы сбросить пароль.