Подшефная фирма попросила помочь подобрать им админа. HR присылает мне более-менее адекватные резюме, я отфильтровываю всякий мусор, потом HR по телефону собеседует оставшихся, отфильтровывает тех кто не прошел телефонное собеседование, а потом собеседуем уже лично.

Так вот, сегодня прислала она мне очередную пачку резюме.
И там есть один человек. 1960г.р. Кандидат физико-математических наук, принимал участие в проектировании и создании ускорителя ядерных частиц, проектировал базу данных для этого ускорителя, и прочее, и прочее, и прочее…
И этот человек хочет пойти в админы.

Полный пиздец, товарищи.
Эй, там, наверху! Достаньте уже голову из жопы. Иннограды они, бля, строят. Почитайте “Форбс” что-ли, на досуге. Там просто и понятно объяснено, почему идея не сработает с 95% вероятностью.

Как-то всё неправильно. Не должен человек с 30-летним научным стажем пытаться занять вакансию админа-эникейщика.

Итого, за выходные:

выпито 6 литров пива, грамм 300 текилы, пол-литра вотки;

съедено 2 кг пельменей, пол-палки колбасы, чуть-чуть творожков всяких и кой-чо по мелочи;

пройдено километров 5-7 по центру москвы;

увидено несколько улиц, Красная площадь – одна штука, ГУМ – одна штука, Макдональдс – две штуки снаружи и из них одна штука штука внутри, памятник Тургеневу Грибоедову на Тургеневской – одна штука, группа Металлика – одна штука, народу на концерте – тыщ 30 штук.

Фото-видео далее.

Камера у НТС – говнище такое, что просто пиздец. Ваще слов нет.

Continue reading

Планируем раздачу Интернета.

Когда я только-только начинал работать с iptables, меня дико бесило то, что в Интернете гуру иптаблеса всё время посылали всех читать iptables handbook. Тем не менее, далеко не всем нужно знать этот самый хендбук наизусть, а вот настроить нат периодически необходимость бывает.

Простой нат поднимается двумя строчками. Но плох тот админ, который даст своим юзерам столько свободы. В типовой конфигурации для средней фирмы (скажем, 50 юзеров + AD) использовать нат ещё и довольно опасно — во-первых, будут активизироваться троян-дропперы, а во-вторых, есть риск «засветить» внешний IP-шник в стопспам-листах, и огрести нехилую кучу проблем с его «обелением».

Чтобы раздать Интернет, мы будем использовать SQUID с авторизацией через AD, iptables и Debian Linux. Убунту сервер тож подойдет.

Continue reading

Средний возраст соискателя позиции админа – 29-30 лет.

Средний возраст соискателя позиции веб-программиста – 32 года.

А знаете о чём это говорит? Рашка-то вымирает.

“в счет этих денег Эстония готова принятьНовосибирскую область, на территории которой в течение определенного количества лет эстонцы могли бы делать лесозаготовки.”

Вообще на всю голову ёбнулись. 🙂

Там же еще и Молдаване и Афганцы и вообще со всех сторон нищебродов понабежало.

Copy&Paste from Habrhabr.

C таким неприятным явлением как DDoS атака, рано или поздно сталкивается каждый администратор публичного ресурса. Нет особого смысла расписывать, что такое DDoS, сегодня об этом явлении знает любой сетевик. К сожалению, не существует способа защиты от DDoS подходящего для всех ситуаций. Однако, наиболее эффективным и часто применяемым является null routing — полная фильтрация трафика на атакуемый IP. После того, как хост зафильтрован, можно в (относительно) спокойной обстановке перенести ресурс на другой IP-адрес (и, возможно, сменить DNS имя), либо просто смириться с временной недоступностью одного ресурса, сохранив работоспособность остальных.

Но и простая фильтрация тоже не так проста. Ведь резать трафик на собственном граничном маршрутизаторе оказывается довольно накладно. Во-первых, маршрутизатор класса Cisco 3745 с включенными финтифлюшками, типа ACL и QoS, при SYN Flood начинает показывать признаки смерти уже на смешном потоке в 2-3 мбит/c. Во-вторых, загрузка физического канала мешает нормальной работе легитимных клиентов. Ну и, в-третьих, если у вас не анлим, то ISP обязательно выставит вам счет на все залитые вам мусорные гигабайты.

Выход тут один — фильтровать трафик как можно ближе к источнику, то есть, у аплинка. Есть старый добрый способ: снять трубку телефона и объяснить ситуацию техподдержке провайдера с просьбой зафильтровать трафик на их стороне. У этого способа есть существенный недостаток: объяснения и переговоры занимают неприемлемо много времени. А если провайдеров несколько, то это время пропорционально увеличивается.

Подстелить соломки и подготовится к возможному DDoS поможет метод под названием BGP blackhole (RFC3882).

Continue reading

Есть отдельные талантливые и не очень фотографы, которые занимаются съемкой еды. По себе знаю, сфотографировать еду так, чтобы натурально потекли слюнки, очень сложно. Но можно. Особенно хорошо получается у талантливых профессионалов. МммМ!

Смотрите на вкусную еду.

И почитайте, как этот эффект достигается.

С утра будят меня клиенты. “Сайт лежит. Чо за дела?” Тыркаюсь – действительно лежит. Начинаем проверять и медленно охуеваем. Хост голый ваще. Чистая BSD – муха не сидела. Магазин, контент, база данных клиентов – всё по пизде. Пишу петицию. Отвечают. Пишу ответ. Парят мозги. Ругаюсь. Признаются, что их техник в пятницу ёбнул сервер, а бэкапов у них нету!!!

Аллес капут.

Хочешь чтобы что-то было сделано хорошо – делай это сам.

Логи. Ну просто обнять и всплакнуть.