Заметки сисадмина

Ubuntu22: Signal Proxy

2025-11-05 · Posted in Linux Ubuntu

Ubuntu Version

This post uses this year’s LTS – 22.04 / Jammy Jellyfish – but the steps should be the same on other releases.

The easiest way to get started is to get a VPS from one of the many hosting providers available – DigitalOcean, AWS, Linode, whoever best suits you – it’s beneficial if proxies are spread across as wide a range of providers as possible, as it makes blocking much more disruptive and obvious.

Requirements

You will need:

Somewhere to host the proxy (an inexpensive VPS can easily handle hundreds of connections)
A Domain Name or Subdomain to use (Signal’s proxy uses LetsEncrypt to obtain a SSL certificate, and LetsEncrypt don’t issue certificates for IPs.)
Optional: InfluxDB (or a free InfluxDB Cloud account) for system monitoring

If you don’t own a domain to use (or don’t want to use your own), there are ways around this – for example, using dynamic DNS services to get a free subdomain – but those are outside the scope of this post (feel free to get in contact if you want some guidance on this).

Selecting a VPS datacenter close to Iran will give lower latency, but there’s probably some benefit in geo-diversity too.

DNS Setup Guidance

Once you’ve got a VPS running, you’ll need to create a DNS record to point a name to it.

Out of an abundance of caution, you probably don’t want to give it a name which discloses what the system is: don’t use a subdomain called signal-proxy, for example.

Not only does it make blocking easier, but it’ll lead to user’s DNS lookups making them easily identifiable to anyone watching the network.

Install Docker

These instructions only differ very slightly from Docker’s install instructions – they install docker-compose and git because those will be required later.

Add Repos and keys

sudo -s
apt-get update
apt-get -y install ca-certificates curl gnupg lsb-release

mkdir -p /etc/apt/keyrings

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

sudo -s

apt-get update

apt-get -y install ca-certificates curl gnupg lsb-release

mkdir -p /etc/apt/keyrings

curl -fsSL https://download.docker.com/linux/ubuntu/gpg | gpg --dearmor -o /etc/apt/keyrings/docker.gpg

echo \

"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \

$(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

Update the package indexes and install

sudo -s
apt-get update
apt-get -y install docker-ce docker-ce-cli containerd.io docker-compose-plugin docker-compose git
reboot

sudo -s

apt-get update

apt-get -y install docker-ce docker-ce-cli containerd.io docker-compose-plugin docker-compose git

reboot

Get and install Signal Proxy

Clone down the Signal-Proxy files

cd ~
git clone https://github.com/signalapp/Signal-TLS-Proxy.git

1 2	cd ~ git clone https://github.com/signalapp/Signal-TLS-Proxy.git

cd into the directory and then run the setup script

cd Signal-TLS-Proxy/
./init-certificate.sh

1 2	cd Signal-TLS-Proxy/ ./init-certificate.sh

After some setup, this will prompt you for the domain name that you’ve created for the proxy – provide this.

The build process will compile NGinx, so you may see quite a lot of output scrolling by.

Eventually it’ll complete and print a message like

After running 'docker-compose up --detach' you can share your proxy as: https://signal.tube/#notreal.example.invalid

1	After running 'docker-compose up --detach' you can share your proxy as: https://signal.tube/#notreal.example.invalid

Bring the system up

docker-compose up -d

1	docker-compose up -d

The proxy is now ready for use.

You can verify that the containers are up:

docker ps

docker ps

You should see three containers

signal-tls-proxy_certbot_1
signal-tls-proxy_nginx-relay_1
signal-tls-proxy_nginx-terminate_1

You can let people know that you’ve a proxy available for use by posting on Social Media with the hashtag #IRanASignalProxy. Don’t post the link to your proxy publicly – they’re easily searched for and blocked, ask people to DM you to request the link.

Provide users with the full signal.tube link provided in the output earlier – Signal’s app has special handler for signal.tube which allows the proxy to be easily/quickly configured by the user.

Optional: Monitoring The System

The proxy doesn’t demand many resources, all the same you might want to implement some basic monitoring so that you can ensure your system isn’t overloaded (as this’ll have a negative impact on the people most in need of it).

For avoidance of doubt, You cannot directly monitor the proxy, or the contents of the traffic it carries – it’s been designed specifically to ensure that user’s aren’t put in a position of having to trust the proxy operator with their comms (the containers don’t even generate logs).

What you can monitor is system resource usage, as well as that all three containers are up and running.

I use Telegraf and InfluxDB for monitoring, so on my proxies I’ve done the following

sudo -s
wget -qO- https://repos.influxdata.com/influxdb.key | tee /etc/apt/trusted.gpg.d/influxdb.asc >/dev/null
source /etc/os-release
echo "deb https://repos.influxdata.com/${ID} ${VERSION_CODENAME} stable" | sudo tee /etc/apt/sources.list.d/influxdb.list
apt-get update && apt-get -y install telegraf

# Ensure Telegraf can talk to Docker
usermod -a -Gdocker telegraf

sudo -s

wget -qO- https://repos.influxdata.com/influxdb.key | tee /etc/apt/trusted.gpg.d/influxdb.asc >/dev/null

source /etc/os-release

echo "deb https://repos.influxdata.com/${ID} ${VERSION_CODENAME} stable" | sudo tee /etc/apt/sources.list.d/influxdb.list

apt-get update && apt-get -y install telegraf

# Ensure Telegraf can talk to Docker

usermod -a -Gdocker telegraf

Then in /etc/telegraf/telegraf.conf I’ve set

[agent]
  interval = "1m"
  round_interval = true

  metric_batch_size = 1000
  metric_buffer_limit = 10000
  collection_jitter = "0s"

  flush_interval = "10s"
  flush_jitter = "0s"

  precision = ""

  debug = false
  quiet = true

  logfile = ""

  hostname = "sig-proxy-1"
  omit_hostname = false

[[inputs.cpu]]
  percpu = true
  totalcpu = true
  collect_cpu_time = false
  report_active = false
[[inputs.disk]]
  ignore_fs = ["tmpfs", "devtmpfs", "devfs", "overlay", "aufs", "squashfs"]

[[inputs.diskio]]
[[inputs.mem]]
[[inputs.net]]
[[inputs.processes]]
[[inputs.swap]]
[[inputs.system]]

[[inputs.docker]]
  endpoint = "unix:///var/run/docker.sock"
  timeout = "5s"
  interval = "5m"

[[outputs.influxdb_v2]]
  urls = ["<my influx url>"]
  token = "<redacted>"
  organization = "<redacted>"
  bucket = "telegraf"

[agent]

interval = "1m"

round_interval = true

metric_batch_size = 1000

metric_buffer_limit = 10000

collection_jitter = "0s"

flush_interval = "10s"

flush_jitter = "0s"

precision = ""

debug = false

quiet = true

logfile = ""

hostname = "sig-proxy-1"

omit_hostname = false

[[inputs.cpu]]

percpu = true

totalcpu = true

collect_cpu_time = false

report_active = false

[[inputs.disk]]

ignore_fs = ["tmpfs", "devtmpfs", "devfs", "overlay", "aufs", "squashfs"]

[[inputs.diskio]]

[[inputs.mem]]

[[inputs.net]]

[[inputs.processes]]

[[inputs.swap]]

[[inputs.system]]

[[inputs.docker]]

endpoint = "unix:///var/run/docker.sock"

timeout = "5s"

interval = "5m"

[[outputs.influxdb_v2]]

urls = ["<my influx url>"]

token = "<redacted>"

organization = "<redacted>"

bucket = "telegraf"

The stats can then be used with my existing system monitoring and alerting dashboards.

If you don’t already have relevant dashboards, there are a community templates which you can import to get dashboards:

If the statistics show a prolonged drop in network traffic to the docker containers, it can be taken as an indicator that the proxy has been detected and blocked and a prompt to look at setting up under new domain names and IPs.

No Comments »

Как срочно проверить, кто и когда перезагружал сервер

2025-10-29 · Posted in PowerShell, Windows Server 2016/2019, Windows Server 2022

Как срочно проверить, кто и когда перезагружал сервер. Вроде бы задача простая, но в спешке иногда забываешь точные команды. Делюсь, чтобы не искать в следующий раз:

Ловим события перезагрузки через журнал:

Get-EventLog -LogName System -Source User32 | Where-Object { $_.EventID -eq 1074 } | Select TimeGenerated, Message | Sort-Object TimeGenerated -Descending

1	Get-EventLog -LogName System -Source User32 \| Where-Object { $_.EventID -eq 1074 } \| Select TimeGenerated, Message \| Sort-Object TimeGenerated -Descending

Этот запрос покажет, кто инициировал перезагрузку, с какой причиной и когда это было. Очень полезно при разборе неожиданных рестартов или плановых работ, которые никто “не помнит”.

Дополнительно можно глянуть системные события ID 6006 (нормальное выключение) и 6005 (загрузка журнала, т.е. запуск системы):

Get-EventLog -LogName System | Where-Object { $_.EventID -eq 6006 -or $_.EventID -eq 6005 } | Select TimeGenerated, EventID | Sort-Object TimeGenerated -Descending

1	Get-EventLog -LogName System \| Where-Object { $_.EventID -eq 6006 -or $_.EventID -eq 6005 } \| Select TimeGenerated, EventID \| Sort-Object TimeGenerated -Descending

Удобно добавлять эти команды в свой набор “быстрых админских команд”.

No Comments »

Ubuntu22: hiddify-manager 11 типичные ошибки

2025-10-22 · Posted in Linux Ubuntu

Основные сервисы Hiddify и их логи

Проверить, какие вообще службы Hiddify есть:

systemctl list-units | grep hiddify

1	systemctl list-units \| grep hiddify

Смотреть всё подряд, что содержит “hiddify” (в одном выводе):

journalctl -u hiddify* -n 500 --no-pager

1	journalctl -u hiddify* -n 500 --no-pager

или (если systemd не поддерживает wildcard):

journalctl | grep -i hiddify | tail -n 200

1	journalctl \| grep -i hiddify \| tail -n 200

Полезные опции:

journalctl -u hiddify-panel -f --no-pager

1	journalctl -u hiddify-panel -f --no-pager

-n 200 показать последние 200 строк
–since “10 minutes ago” показать логи за последние 10 минут
–since today показать логи с начала дня
-f «живой» просмотр логов (реальное время)

Панель управления (веб-интерфейс):

journalctl -u hiddify-panel -n 200 --no-pager

1	journalctl -u hiddify-panel -n 200 --no-pager

Фоновые задачи (обновление трафика, очистка, cron):

journalctl -u hiddify-panel-background-tasks -n 200 --no-pager

1	journalctl -u hiddify-panel-background-tasks -n 200 --no-pager

XRay (ядро прокси):

journalctl -u xray -n 200 --no-pager

1	journalctl -u xray -n 200 --no-pager

Sing-box (если используется вместо XRay):

journalctl -u sing-box -n 200 --no-pager

1	journalctl -u sing-box -n 200 --no-pager

Redis (кэш и очередь задач):

journalctl -u redis-server -n 200 --no-pager

1	journalctl -u redis-server -n 200 --no-pager

Nginx (обвязка панели / HTTPS):

journalctl -u nginx -n 200 --no-pager

1	journalctl -u nginx -n 200 --no-pager

Hiddify Manager (если установлен отдельным сервисом):

journalctl -u hiddify-manager -n 200 --no-pager

1	journalctl -u hiddify-manager -n 200 --no-pager

Не считает траффик

Добавить в cron:

crontab -e

1	crontab -e

Строку:

*/6 * * * * cd /opt/hiddify-manager/hiddify-panel && /opt/hiddify-manager/.venv313/bin/python -m hiddifypanel update-usage

1	/6 * * * cd /opt/hiddify-manager/hiddify-panel && /opt/hiddify-manager/.venv313/bin/python -m hiddifypanel update-usage

Добавить в конце если требуется:

тихо подавить вывод:
>/dev/null 2>&1
логгировать в файл:
>> /var/log/hiddify-cron.log 2>&1

тихо подавить вывод:

>/dev/null 2>&1

логгировать в файл:

>> /var/log/hiddify-cron.log 2>&1

Проверка:

journalctl -u cron -n 50 --no-pager
tail -n 50 /var/log/hiddify-cron.log
crontab -l
systemctl status cron --no-pager -l

journalctl -u cron -n 50 --no-pager

tail -n 50 /var/log/hiddify-cron.log

crontab -l

systemctl status cron --no-pager -l

Добавить глобальные переменные

Можно прописать глобально для всей системы:

nano /etc/environment
REDIS_URL=redis://:ваш_пароль@127.0.0.1:6379/0

1 2	nano /etc/environment REDIS_URL=redis://:ваш_пароль@127.0.0.1:6379/0

Проверка:

redis-cli -u "redis://:ваш_пароль@127.0.0.1:6379/0" ping
redis-cli -a 'ваш_пароль' ping

1 2	redis-cli -u "redis://:ваш_пароль@127.0.0.1:6379/0" ping redis-cli -a 'ваш_пароль' ping

Почистить «битый» Beat и перезапустить фон (если не делал):

systemctl stop hiddify-panel-background-tasks
find /opt/hiddify-manager -type f -name 'celerybeat-schedule*' -delete 2>/dev/null
find /opt/hiddify-manager -type f -name 'celery*.pid' -delete 2>/dev/null
systemctl restart hiddify-redis
systemctl start hiddify-panel-background-tasks

systemctl stop hiddify-panel-background-tasks

find /opt/hiddify-manager -type f -name 'celerybeat-schedule*' -delete 2>/dev/null

find /opt/hiddify-manager -type f -name 'celery*.pid' -delete 2>/dev/null

systemctl restart hiddify-redis

systemctl start hiddify-panel-background-tasks

Фоновые задачи

Проверить и перезапустить фоновые задачи панели:

systemctl status hiddify-panel-background-tasks --no-pager
journalctl -u hiddify-panel-background-tasks -n 200 --no-pager

1 2	systemctl status hiddify-panel-background-tasks --no-pager journalctl -u hiddify-panel-background-tasks -n 200 --no-pager

Перезапуск + автозапуск:

systemctl restart hiddify-panel-background-tasks
systemctl enable hiddify-panel-background-tasks

1 2	systemctl restart hiddify-panel-background-tasks systemctl enable hiddify-panel-background-tasks

Провка логов:

tail -n 10 /opt/hiddify-manager/logs/xray/access.log

1	tail -n 10 /opt/hiddify-manager/logs/xray/access.log

Все упавшие юниты (вдруг среди них есть «устаревшие»)

systemctl --failed --type=service

1	systemctl --failed --type=service

убрать, чтобы не светилось в –failed пример если сервис shadowsocks-libev.service

# посмотреть детали на всякий случай
systemctl status shadowsocks-libev --no-pager -l
journalctl -xeu shadowsocks-libev --no-pager

# остановить и выключить автозапуск
sudo systemctl disable --now shadowsocks-libev

# чтобы он больше не поднимался случайно
sudo systemctl mask shadowsocks-libev

# убрать из списка "failed" единоразово
sudo systemctl reset-failed shadowsocks-libev

# (опционально) удалить пакет и конфиги полностью
sudo apt purge -y shadowsocks-libev
sudo apt autoremove -y

# посмотреть детали на всякий случай

systemctl status shadowsocks-libev --no-pager -l

journalctl -xeu shadowsocks-libev --no-pager

# остановить и выключить автозапуск

sudo systemctl disable --now shadowsocks-libev

# чтобы он больше не поднимался случайно

sudo systemctl mask shadowsocks-libev

# убрать из списка "failed" единоразово

sudo systemctl reset-failed shadowsocks-libev

# (опционально) удалить пакет и конфиги полностью

sudo apt purge -y shadowsocks-libev

sudo apt autoremove -y

Проверить все запущенные таймеры (cron-аналог systemd)

systemctl list-timers

1	systemctl list-timers

Топ по активности (нагрузка от служб)

Показывает CPU, память и IO каждой службы в реальном времени.

systemd-cgtop

1	systemd-cgtop

Обновление IP-пулов стран (GeoIP / GeoSite)

# Проверить актуальность, посмотри дату модификации
ls -lh /opt/hiddify-manager/xray/bin/geo*.dat
#Обновление вручную (через консоль)
cd /opt/hiddify-manager/xray/bin
# Резервная копия старых файлов
cp geoip.dat geoip.dat.bak
cp geosite.dat geosite.dat.bak
# Загрузка свежих версий из официальных источников
wget -O geoip.dat https://github.com/Loyalsoldier/v2ray-rules-dat/releases/latest/download/geoip.dat
wget -O geosite.dat https://github.com/Loyalsoldier/v2ray-rules-dat/releases/latest/download/geosite.dat
# Перезапуск Xray
systemctl restart hiddify-xray
# Перезапуск Singbox
systemctl restart hiddify-singbox

# Проверить актуальность, посмотри дату модификации

ls -lh /opt/hiddify-manager/xray/bin/geo*.dat

#Обновление вручную (через консоль)

cd /opt/hiddify-manager/xray/bin

# Резервная копия старых файлов

cp geoip.dat geoip.dat.bak

cp geosite.dat geosite.dat.bak

# Загрузка свежих версий из официальных источников

wget -O geoip.dat https://github.com/Loyalsoldier/v2ray-rules-dat/releases/latest/download/geoip.dat

wget -O geosite.dat https://github.com/Loyalsoldier/v2ray-rules-dat/releases/latest/download/geosite.dat

# Перезапуск Xray

systemctl restart hiddify-xray

# Перезапуск Singbox

systemctl restart hiddify-singbox

No Comments »

ESXI: Как изменить загрузочный носитель

2025-10-20 · Posted in VMWare

При включении виртуальной машины VMWare, на короткое время появляется экран загрузки, на котором можно увидеть клавиши, которыми можно управлять загрузкой. Например, F2 – вход в BIOS виртуальной машины, а ESC – меню загрузки с возможностью выбора загрузочного устройства.

Можно увеличить параметр Boot delay до 10000 (1o секунд) в настройках виртуальной машины, тогда это окно будет отображать дольше.

И вот мы вошли в BIOS виртуальной машины. Идём в раздел Boot, задаём последовательность загрузочных устройств, как в обычном компьютере.

По какой-то причине, виртуальная машина VMWare пока ещё не поддерживает загрузку с загрузочной флешки. Но ничего, мы можем воспользоваться сторонним менеджером загрузки. Воспользуемся, например, Plop Boot Manager.

Нужно скачать его и распаковать в любую директорию на компьютере. Затем в свойствах виртуальной машины задать в качестве устройства загрузки образ plpbt.iso, который находится в архиве. И после этого, во время загрузки виртуальной машины будет появляться меню с возможностью выбора загрузочного устройства, в том числе, флешки.

No Comments »

Windows11: Make every systray icon visible by default

2025-10-07 · Posted in PowerShell, Windows – 11

In Windows 10, to always show all icons and notifications on the taskbar, it was enough to create the

EnableAutoTray property with a value 0 in
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

1 2	EnableAutoTray property with a value 0 in HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer

In Windows 11, there is no longer a way to set all icons to be displayed. The display is configured on a per-icon basis. One strategy is to create a script that checks which icons are hidden and sets them to be displayed.

$Key = 'Registry::HKCU\Control Panel\NotifyIconSettings'
$Property = 'IsPromoted'
If ( Test-Path -LiteralPath $Key -PathType 'Container' ) {
    Get-ChildItem -LiteralPath $Key |
        Where-Object -FilterScript {
            ( $PSItem.Property -notcontains $Property ) -or
            ( $PSItem.GetValue( $Property ) -eq 0 )
        } |
        ForEach-Object {
            Set-ItemProperty -LiteralPath ( $PSItem.PSPath ) -Name $Property -Value 1 -Force
        }
}

$Key = 'Registry::HKCU\Control Panel\NotifyIconSettings'

$Property = 'IsPromoted'

If ( Test-Path -LiteralPath $Key -PathType 'Container' ) {

Get-ChildItem -LiteralPath $Key |

Where-Object -FilterScript {

( $PSItem.Property -notcontains $Property ) -or

( $PSItem.GetValue( $Property ) -eq 0 )

} |

ForEach-Object {

Set-ItemProperty -LiteralPath ( $PSItem.PSPath ) -Name $Property -Value 1 -Force

}

If you do want to hide all the icons, the solution would be:

$Key = 'Registry::HKCU\Control Panel\NotifyIconSettings'
$Property = 'IsPromoted'
If ( Test-Path -LiteralPath $Key -PathType 'Container' ) {
    Get-ChildItem -LiteralPath $Key |
        Where-Object -FilterScript {
            $PSItem.GetValue( $Property ) -eq 1
        } |
        ForEach-Object {
            Set-ItemProperty -LiteralPath ( $PSItem.PSPath ) -Name $Property -Value 0 -Force
        }
}

$Key = 'Registry::HKCU\Control Panel\NotifyIconSettings'

$Property = 'IsPromoted'

If ( Test-Path -LiteralPath $Key -PathType 'Container' ) {

Get-ChildItem -LiteralPath $Key |

Where-Object -FilterScript {

$PSItem.GetValue( $Property ) -eq 1

} |

ForEach-Object {

Set-ItemProperty -LiteralPath ( $PSItem.PSPath ) -Name $Property -Value 0 -Force

}

Then you can schedule a task, which will trigger the script at a 1 minute interval, in the context of the local group Users ==> SID S-1-5-32-545.

No Comments »