Category: сисадминское

Читать будет неин­те­рес­но, кро­ме как маньяк­ну­тым ком­пью­тер­щи­кам. Сугу­бо рабо­чее.

Вин­да ста­но­вит­ся всё более удоб­ной для рабо­ты. Хоро­шо, что на ней прак­ти­че­ски всё то, что мне нуж­но, рабо­та­ет «иско­роп­ки».

Смарт­кар­ты — пожа­луй­ста
Отсю­да же сра­зу, не вста­вая с дива­на, име­ем 2FA
Про­брос оных в сес­сию RDP — да лег­ко
ГПУ и про­чая КУДА с драй­ве­ра­ми — какие хошь, ибо никто не будет раз­ра­ба­ты­вать желе­зо, не рабо­та­ю­щее под Вин­дой.
Фото­шоп — отож.
Даже Фаер­фокс взял­ся за ум, и стал под­дер­жи­вать смарт­кар­ты с нуля. Рань­ше с ним надо было дол­го сово­куп­лять­ся, мини­мум в трёх пози­ци­ях.

А сего­дня я обна­ру­жил отлич­ную вишен­ку на тор­ти­ке — при уста­нов­лен­ных WSL и тер­ми­на­ле, мож­но поста­вить WSL как сре­ду тер­ми­на­ла по умол­ча­нию. И что мы име­ем с гуся? Теперь мож­но на любой пап­ке (ну, за исклю­че­ни­ем сете­вых, если они не смон­ти­ро­ва­ны) нажать «открыть в тер­ми­на­ле» — и у тебя сра­зу откры­ва­ет­ся WSL ров­но там, где надо. Без того, что­бы дол­го крю­чить­ся, пере­хо­дя в нуж­ную дирек­то­рию. Мож­но сра­зу делать вся­че­ский foreach, grep, и про­чий sed. Исклю­чи­тель­но удоб­но.

Часто моя рабо­та заклю­ча­ет­ся в быст­ром поис­ке про­блем. Всё это надо искать в логах, поэто­му без пол­но­цен­ной команд­ной обо­лоч­ки мне нику­да. Рань­ше я спа­сал­ся cygwin-ом, но если кто-то хоть раз про­бо­вал его обнов­лять или ста­вить допол­ни­тель­ный софт, зна­ет, какая это моро­ка. А в WSL это намно­го про­ще.

Мои попыт­ки перей­ти на Линукс окон­чи­лись ничем. Я впу­стую убил неде­лю, так и сумев нор­маль­но запу­стить… мно­го чего, но глав­ное, что не взле­те­ло — это Nvidia Quadro с дву­мя внеш­ни­ми мони­то­ра­ми, под­цеп­лен­ны­ми через раз­мно­жи­тель пор­тов с USBC-PD. Хотя я очень не нови­чок. А на вин­де… А на вин­де они у меня зара­бо­та­ли ещё на эта­пе уста­нов­ки (учи­тесь, блин, как надо делать нор­маль­ную под­держ­ку желе­за!) Пере­хо­дить на 11 вин­ду мне окон­ча­тель­но рас­хо­те­лось, так что оста­но­вил­ся на десят­ке + WSL.

Ещё бы WSL научил­ся под­дер­жи­вать пол­но­цен­ный нор­маль­ный FreeBSD вме­сто вся­ко­го крас­но­гла­зо­во­го… но это уже так, меч­ты 😉

Весь ИТ-отдел гудит как улей. Сего­дня наша стра­хо­вая ком­па­ния спу­сти­ла нам ука­зив­ку, что если к кон­цу Нояб­ря ВСЕ ИТ-сер­ви­сы не будут защи­ще­ны мно­го­фак­тор­ной аутен­ти­фи­ка­ци­ей, то они не будут про­дле­вать стра­хо­вой полис.

Это как раз такой слу­чай, когда «не было бы сча­стья, да несча­стье помог­ло». Двух­фак­тор­ную аутен­ти­фи­ка­цию я пла­ни­ро­вал вве­сти в строй уже почти год, но во-пер­вых, не дохо­ди­ли руки, а во-вто­рых, мне не дава­ли денег. А в‑третьих, я не хотел объ­яс­нять тупым юзве­рям, поче­му вдруг доступ к ресур­сам стал слож­нее.

А теперь — и денег дали, и дру­гие про­ек­ты ото­дви­ну­ли. И самое глав­ное — теперь мне не надо нико­му объ­яс­нять, поче­му это, и зачем. Стра­хов­ка — и всё тут.

Не всё, прав­да, глад­ко на деле. Вот ска­нер сете­вой, что доку­мен­ты юзве­рю уша­сто­му в его ката­лог забра­сы­ва­ет — ника­ких смарт­карт оно, конеч­но, не под­дер­жи­ва­ет. При­дёт­ся репу чесать, что с ним делать даль­ше. Ско­рее все­го при­дёт­ся под­цеп­лять ска­не­ры напря­мую к маши­нам через USB.

Так как один­на­дца­тая вин­да фича­ми пока не раду­ет, попро­бо­вал заме­нить на рабо­чем ком­пе всё на Убун­ту 20.04

И оно, зна­е­те, прак­ти­че­ски взле­те­ло.

Полу­чи­лось:

1. При­це­пить к AD
2. Сде­лать чле­нов груп­пы Domain Admins частью груп­пы sudoers
3. Запу­стить авто­ри­за­цию со смарт­кар­та­ми (вот тут уже при­шлось боро­ду поче­сать)
4. Вклю­чить авто­ри­за­цию по смарт­кар­те в VDI кли­ен­те VMWare Horizons
5. Аут­лук теперь рабо­та­ет как PWA
6. Запу­стить Teams (бла­го теперь на Линуп­сах оно рабо­та­ет натив­но)

И всё бы хоро­шо, но вот драй­ве­ры НВи­дев­ские отка­за­лись ста­вить­ся нао­труб. Про­бле­ма хоро­шо извест­на, и не у одно­го меня она слу­чи­лась.

Что-то там не взле­те­ло — про­бо­вал раз­ные вер­сии, чего толь­ко не делал, даже инте­лов­ский драй­вер отправ­лял в бан — нифи­га. Не рабо­та­ет и всё тут. Луч­ше все­го полу­чи­лось на драй­ве­ре вер­сии 418. Вхо­дим в сес­сию, всё рабо­та­ет при­мер­но мину­ту, после чего всё наглу­хо вис­нет (при этом комп оста­ёт­ся доступ­ным через ssh). На более позд­них вер­си­ях не полу­ча­лось даже это­го, всё вис­ло ещё до авто­ри­за­ции.

Желе­зо вполне себе стан­дарт­ное — ноут­бук HP Zbook FireFly G7. Там две видео­кар­ты, по сути, встро­ен­ная инте­лов­ская, и Квад­ра Р520. Так и не полу­чи­лось запу­стить, хотя побе­да была очень близ­ко. Но без Нви­дии мне ноут­бук был не нужен.

Так и бро­сил. Про­шу заме­тить, что на этот про­ект я убил часов шесть. А не вин­де абсо­лют­но, блин, всё из это­го спис­ка сра­зу рабо­та­ет «иско­роп­ки».

Линукс бес­пла­тен толь­ко для тех, чьё вре­мя ниче­го не сто­ит.

Инте­рес­ную вещь обна­ру­жил. Ока­зы­ва­ет­ся, мак­си­маль­ный раз­мер кла­сте­ра NTFS в деся­той вин­де и соот­вет­ству­ю­щей сер­вер­ной вер­сии (2016+) может состав­лять аж 2 мега­бай­та. На седь­мой вин­де мак­си­мум был 64 кило­бай­та.

Разу­ме­ет­ся, для обыч­ных дис­ков с опе­ра­ци­он­ны­ми систе­ма­ми и про­грам­ма­ми это не под­хо­дит — будет слиш­ком мно­го потерь. Если на диск с таким раз­ме­ром кла­сте­ра запи­сать файл раз­ме­ром 1 кило­байт, на дис­ке он будет зани­мать таки 2 мега­бай­та — на остав­ше­е­ся пустое место в кла­сте­ре ниче­го дру­го­го запи­сать нель­зя. Но если это диск, на кото­ром хра­нят­ся базы дан­ных, iso-шки, архи­вы и про­чие круп­ные фай­лы — это будет очень кру­то, так как таб­ли­ца раз­ме­ще­ния фай­лов, в кото­рой запи­са­но, в каком кла­сте­ре (кла­сте­рах) запи­сан файл, будет очень малень­кой — ведь кла­сте­ров будет немно­го. И потерь будет мень­ше, и рабо­тать будет быст­рее.

Кста­ти, Линупс (вер­нее даже не Линупс, а фай­ло­вая систе­ма XFS, по умол­ча­нию исполь­зу­е­мая в Шап­ке) эту про­бле­му реша­ет более опти­маль­но — на одном дис­ке есть кла­сте­ры (бло­ки) РАЗНОГО раз­ме­ра. Неболь­шие фай­лы хра­нят­ся в основ­ном исполь­зуя малень­кие кла­сте­ры, а боль­шие — с запи­сью на круп­ные кла­сте­ры. И сколь­ко их раз­ных и какое соот­но­ше­ние — тоже настра­и­ва­ет­ся. Это поз­во­ля­ет на одном дис­ке хра­нить и малень­кие фай­лы и боль­шие, без того, что­бы тра­тить место либо на пустое место в кла­сте­рах, либо на таб­ли­цу раз­ме­ще­ния фай­лов. Пишут, что на слу­жеб­ную инфор­ма­цию тра­тит­ся толь­ко 0.54% от обще­го объ­ё­ма хра­ни­мых дан­ных.

Но за всё, к сожа­ле­нию, надо пла­тить. Напри­мер, вос­ста­нов­ле­ние дан­ных с повре­ждён­но­го раз­де­ла XFS это очень непро­стая вещь. Но идея, конеч­но, класс­ная.

Мои две «люби­мые» кон­то­ры-про­из­во­ди­те­ли нако­пи­те­лей дан­ных засве­ти­лись с под­ме­ной более быст­рых флеш-чипов на более дешё­вые (и менее про­из­во­ди­тель­ные).

Вестерн, раз.
Ну и, конеч­но же, Сам­сунг, куда без них — два.

О том, что обе кон­то­ры — пол­ное гов­но я уже дав­но сооб­щал не раз и не два.

Меня осо­бен­но впе­чат­ли­ло, когда в мас­си­ве из 24‑х Вестер­нов мень­ше чем за год сдох­ли, ёлки-пал­ки, все 24. Кру­то было, нико­гда такой под­лян­ки не забу­ду.

Ещё было про­сто заме­ча­тель­но, когда у людей, исполь­зу­ю­щих сер­вис Вестер­на «Май­бук» сти­ра­ли резерв­ные копии по интер­не­ту.

Ну, если у кого-то ещё оста­лись иллю­зии по пово­ду Вестер­на.

Из стан­дарт­ных маг­нит­ных вин­тов — толь­ко Тоси­ба и Хита­ти, толь­ко япон­цы!!! Ну, а из флеш пока не под­во­дил Интел, и Мик­рон (Кру­шал) пока вро­де мар­ку дер­жит. Даже наобо­рот — они тоже засве­ти­лись с заме­ной флеш-чипов… но на БОЛЕЕ про­из­во­ди­тель­ные 🙂

На рабо­те про­во­ди­ли гене­раль­ную убор­ку. Спи­сы­ва­ли вся­кую ста­рую хрень, типа древ­них ноут­бу­ков и про­че­го.

Как обыч­но, обна­ру­жи­ли несколь­ко кор. есов!*

Тоси­ба, сде­ла­но в Япо­нии. До сих пор, поди, рабо­та­ет, если най­ти что-то древ­нее, где этот кон­трол­лер есть.

Заод­но ска­жу ещё, что совре­мен­ные ком­пью­те­ры прак­ти­че­ски во всех обла­стях ста­ли намно­го прак­тич­нее и удоб­нее. И дале­ко не толь­ко в плане дру­же­ствен­но­сти интер­фей­сов. Они и внут­ри ста­ли намно­го про­ще для сбор­ки и ремон­та. Вот возь­мём, напри­мер, разъ­ёмы, про кото­рые толь­ко что напи­сал дру­же­ствен­ный жур­нал. Срав­ним, что было внут­ри AT-шно­го ком­па, из кото­ро­го выта­щи­ли этот дис­ко­вод, чисто по разъ­ёмам?

Нач­нём с пита­ния на AT мате­рин­ской пла­те. Кто их пом­нит? Зна­е­те, что там было пло­хо? Пло­хо там было то, что их было два, и воткнуть их мож­но было в про­из­воль­ном поряд­ке. И если воткнуть не так, то из пла­ты мог вый­ти вол­шеб­ный белый дым, на кото­ром вся элек­тро­ни­ка рабо­та­ет. Запом­нить было, впро­чем, доста­точ­но про­сто — ч0рные про­во­да (зем­ля) — в цен­тре.

А теперь у нас ATX 2.0 — ну, тоже не иде­ал, но его хотя бы воткнуть непра­виль­но без кувал­ды слож­но.

Потом были кабе­ли PATA. Вот где было кон­цен­три­ро­ван­ное зло. 40 кон­так­тов — это дофи­га: они все­гда вхо­ди­ли очень туго (боль­ше кон­так­тов — боль­ше сопро­тив­ле­ние). На более новых пла­тах разъ­ёмы на пла­те хотя бы име­ли соот­вет­ству­ю­щие выре­зы в пласт­мас­се, так что воткнуть кверх нога­ми было слож­но. А на ста­рых надо было вни­ма­тель­но гля­деть, с какой сто­ро­ны тек­сто­лит под одним кон­так­том был мар­ки­ро­ван белой точ­кой — это был кон­такт №1, и крас­ную полос­ку сбо­ку кабе­ля надо было рас­по­ла­гать с этой сто­ро­ны. Ну и про master/slave и про­чее насле­дие про­кля­тых белых экс­плу­а­та­то­ров не забу­дем.

А щас у нас SATA, кра­со­та! Воткнуть его непра­виль­но — ну опять же, толь­ко с кувал­дой. И вдум­чи­во курить пере­мыч­ки на дис­ках тоже не надо. А ещё эти пере­мыч­ки не вез­де рабо­та­ли оди­на­ко­во. У неко­то­рых про­из­во­ди­те­лей (Maxtor и Seagate, ЕМНИП), пере­мы­чек было не одна, а две. Смот­ри, не пере­пу­тай.

А совре­мен­ный M2 это вооб­ще щасье. И пита­ние, и дан­ные — вты­ка­ет­ся всё сра­зу.

Кста­ти, уди­ви­тель­ное дело, но разъ­ём дан­ных для изоб­ра­жён­но­го на кар­тин­ке кор. еса (5.25-дюймовый дис­ко­вод, если кто не зна­ет) был срав­ни­тель­но нор­маль­ным — лег­ко цеп­лял­ся, и имел вырез.

Не забу­дем про разъ­ёмы пита­ния для дис­ков — молекс это зло, блин. И хотя углы у него были ско­ше­ны, и воткнуть его непра­виль­но было непро­сто, но углы у него были ско­ше­ны недо­ста­точ­но — разъ­ём вхо­дил в розет­ку ров­но настоль­ко, что­бы ты решил, что вты­ка­ешь пра­виль­но. Ну, что­бы потом с весё­лым матер­ком осо­знать свою ошиб­ку.

И толь­ко один совре­мен­ный разъ­ём раз за разом вызы­ва­ет у меня при­сту­пы нена­ви­сти — это USB. Всё квад­рат­ное — ЗЛО. Это та же про­бле­ма, что и с молек­сом — лег­ко решить, что вро­де как вты­ка­ешь пра­виль­но, а потом мате­ришь­ся. Поэто­му я очень рад тому, что эта херь посте­пен­но про­па­да­ет и заме­ня­ет­ся USB‑C.

*кор. ес. — опе­чат­ка в инвен­та­ри­за­ци­он­ной опи­си иму­ще­ства звез­до­лё­та «Бас­тлер» из науч­но-фан­та­сти­че­ско­го рас­ска­за Эри­ка Рас­се­ла.

Поми­мо чисто тех­ни­че­ских вопро­сов про спе­ци­аль­ность сисад­ми­на у меня есть вопро­сы чисто орга­ни­за­ци­он­ные.

Напри­мер, «что вы буде­те делать, если столк­нё­тесь с про­бле­мой, реше­ния кото­рой вы не зна­е­те»?

Дурак, кото­рый нико­гда не рабо­тал в орга­ни­за­ции с дру­ги­ми людь­ми отве­ча­ет «нагуг­лю как решать, и сде­лаю!»

Это в корне непра­виль­ный ответ. Пото­му что нагуг­лить-то ты, конеч­но, нагуг­лишь, но у стан­дарт­ной сисад­мин­ской зада­чи обыч­но есть как мини­мум два реше­ния. И не факт, что ты най­дёшь пра­виль­ное, при­ня­тое в дан­ной орга­ни­за­ции. Поэто­му пра­виль­ный ответ — сна­ча­ла спро­сить у дру­гих, есть ли уже при­нят­ное реше­ние у дан­ной зада­чи, или нет. А потом уже иди гуг­лить.

После полу­то­ра меся­цев поис­ков таки нашли, похо­ду, работ­ни­ков.

Млад­ших, прав­да, сисад­ми­нов, не стар­ших. Нор­маль­ные ребя­та, и что самое глав­ное — не выпенд­ри­ва­ют­ся.

Вот не люб­лю я когда люди выпенд­ри­ва­ют­ся, начи­на­ют козы­рять типа зна­ни­я­ми, а нач­нёшь спра­ши­вать дета­ли, так чело­век сра­зу начи­на­ет пла­вать. Когда я чело­ве­ка спра­ши­ваю что-то, а он не зна­ет ответ, я нена­ви­жу, когда люди что-то начи­на­ют при­ду­мы­вать. Про­стое «я не знаю», а ещё луч­ше «я не знаю, но пред­по­ла­гаю что вот так, и знаю, где искать ответ» — это гораз­до луч­ше.

После несколь­ких интер­вью вот при­мер­ный спи­сок неслож­ных вопро­сов, кото­рый я задаю соис­ка­те­лям на пози­цию стар­ших систем­ных адми­ни­стра­то­ров:

Исполь­зо­ва­ли ли вы Active Directory? Какие инстру­мен­ты вы исполь­зо­ва­ли для управ­ле­ни­ем этой служ­бой?
Что такое груп­по­вые поли­ти­ки? Для чего вы их исполь­зо­ва­ли?
Если груп­по­вые поли­ти­ки насле­ду­ют­ся с более верх­не­го OU, какая груп­по­вая поли­ти­ка име­ет наи­выс­ший при­о­ри­тет?
Какой инстру­мент луч­ше все­го исполь­зо­вать для раз­ре­ше­ния кон­флик­тов меж­ду груп­по­вы­ми поли­ти­ка­ми?
В чём раз­ни­ца меж­ду фай­ло­вы­ми систе­ма­ми NTFS и FAT32/exFAT?
В чём раз­ни­ца меж­ду раз­ре­ше­ни­я­ми modify и full control?
Как наи­бо­лее опти­маль­но раз­да­вать раз­ре­ше­ния поль­зо­ва­те­лям на сете­вые ресур­сы?
В чём раз­ни­ца меж­ду груп­па­ми Domain Admins и Enterprise Admins?
Что такое дове­рие меж­ду доме­на­ми? Кто может его создать?
Как хоро­шо вы зна­ко­мы с сетя­ми TCP/IP? Что такое IP адрес?
Сколь­ко доступ­ных адре­сов в сети 192.168.1.0/24?
Поде­ли­те эту сеть на две оди­на­ко­вые под­се­ти и назо­ви­те пер­вый и послед­ний доступ­ный айпи адрес в каж­дой под­се­ти.
В чём раз­ни­ца меж­ду TCP и UDP?
Как про­ис­хо­дит созда­ние TCP сес­сии?
На уда­лён­ном сер­ве­ре вклю­чён RDP, но я не могу к нему при­со­еди­нить­ся, что нуж­но про­ве­рить?
Я не могу при­со­еди­нить­ся к уда­лён­но­му сер­ве­ру SQL Server, какой порт нуж­но открыть на бранд­мау­э­ре?
Что такое VLAN?
Как может про­ис­хо­дить марш­ру­ти­за­ция паке­тов меж­ду раз­ны­ми VLAN?
Что такое port security?
В чём раз­ни­ца меж­ду WEP и WPA?
Что такое 802.1X?
Что такое VPN?
С каки­ми дис­три­бу­ти­ва­ми Linux вы име­ли дело?
Каки­ми коман­да­ми про­ис­хо­дит уста­нов­ка ново­го про­грамм­но­го обес­пе­че­ния в этом дис­три­бу­ти­ве?
Какая инфор­ма­ция хра­нит­ся в /etc/passwd?
Как про­ще все­го управ­лять уда­лён­ным сер­ве­ром? Какое про­грамм­ное обес­пе­че­ние вы для это­го исполь­зо­ва­ли?
В какой лог-файл запи­сы­ва­ют­ся ошиб­ки аутен­ти­фи­ка­ции SSH?
Как настра­и­ва­ет­ся аутен­ти­фи­ка­ция по клю­чу?
Как дать поль­зо­ва­те­лю доступ к базе дан­ных SQL Server? (реаль­но боль­ше ника­ких зна­ний в этой обла­сти от людей я не тре­бую — писать запро­сы это уже есть кого спро­сить)
С каки­ми облач­ны­ми ресур­са­ми Azure вы име­ли дело?
Что такое Infrastructure as Code?
В чём раз­ни­ца меж­ду бил­дом и рели­зом в Azure DevOps?
Если вам нуж­но создать две­сти управ­ля­е­мых облач­ных дис­ков, какой инстру­мент вы буде­те исполь­зо­вать?
Писа­ли ли вы скрип­ты Bash или PowerShell?
Что такое пере­мен­ная? Что такое мас­сив, и какая меж­ду ними раз­ни­ца?
Как в скрип­те повто­рить какое-то дей­ствие пять­де­сят раз?
В чём раз­ни­ца меж­ду IaaS, PaaS и SaaS?
Что такое мно­го­фак­тор­ная аутен­ти­фи­ка­ция? Два раз­ных паро­ля — это двух­фак­тор­ная аутен­ти­фи­ка­ция?

Ну и ещё раз­ное.

Пока даже на поло­ви­ну никто отве­тить не смог… хотя каза­лось бы, не до звёзд дотя­ги­ва­юсь!

Дожи­ли. Мик­ро­софт выка­ти­ли свой дис­три­бу­тив Линуп­са. Назы­ва­ет­ся CBL-Mariner. Брать тут:

https://github.com/microsoft/CBL-Mariner

Толь­ко вот по кой хер они взя­ли за осно­ву Шап­ку, а не Демья­на, непо­нят­но. APT-то покру­че будет, чем RPM.

Сде­ла­ли пол­ный круг, назы­ва­ет­ся. У них уже был в своё вре­мя дис­три­бу­тив Юник­са, назы­вал­ся Зиникс (SCO Unix, слег­ка под­пи­лен­ный).