Сергей | Как настроить? - ageomash.ru https://ageomash.ru Блог про настройку компьютеров, роутеров, мобильных устройств Wed, 16 Jul 2025 13:58:21 +0000 ru-RU hourly 1 https://wordpress.org/?v=6.8.2 https://ageomash.ru/wp-content/uploads/2016/03/cropped-chip-32x32.png Сергей | Как настроить? - ageomash.ru https://ageomash.ru 32 32 Что такое IPv6 SLAAC и как взять его под контроль - ageomash.ru https://ageomash.ru/chto-takoe-ipv6-slaac-i-kak-vzyat-ego-pod-kontrol/ https://ageomash.ru/chto-takoe-ipv6-slaac-i-kak-vzyat-ego-pod-kontrol/#respond Wed, 16 Jul 2025 13:58:21 +0000 https://ageomash.ru/?p=11823 В эпоху IPv6 все чаще звучит термин SLAAC — Stateless Address Autoconfiguration. Это удобный способ автоматической настройки IP-адресов, при котором устройства получают их без участия DHCP-сервера. Но стоит ли полагаться на автоматизацию без ограничений, особенно в корпоративной сети? Давайте разберёмся. SLAAC: Автонастройка по-новому Когда устройство подключается к IPv6-сети, оно выполняет несколько шагов: Получает префикс сети ... Читать далее

The post Что такое IPv6 SLAAC и как взять его под контроль first appeared on Как настроить?.]]>
IPv6 SLAAC

В эпоху IPv6 все чаще звучит термин SLAAC — Stateless Address Autoconfiguration. Это удобный способ автоматической настройки IP-адресов, при котором устройства получают их без участия DHCP-сервера. Но стоит ли полагаться на автоматизацию без ограничений, особенно в корпоративной сети? Давайте разберёмся.

SLAAC: Автонастройка по-новому

Когда устройство подключается к IPv6-сети, оно выполняет несколько шагов:

  • Получает префикс сети из Router Advertisement (RA) — специальных объявлений от ближайшего маршрутизатора.
  • Формирует собственный глобальный IPv6-адрес, комбинируя этот префикс с уникальным идентификатором (например, MAC-адресом).
  • Проверяет уникальность полученного адреса с помощью DAD (Duplicate Address Detection).

После этого устройство готово к работе в сети — без DHCP, без ручной настройки.

Чем SLAAC может быть опасен?

Хотя SLAAC и кажется идеальным решением, в некоторых сценариях он может принести больше проблем, чем пользы:

Потенциальный обход политики доступа

Устройства смогут выходить в интернет даже при отключенном DHCP — достаточно получить RA от маршрутизатора. Это усложняет контроль.

? Ограниченные возможности управления

В отличие от DHCPv6, SLAAC не предоставляет расширенных настроек: нельзя централизованно задать DNS, lease time и другие параметры.

Уязвимость для атак

SLAAC подвержен угрозам, таким как RA spoofing — злоумышленник может раздавать поддельные RA-пакеты и перенаправлять трафик на себя.

Как контролировать SLAAC: Практические советы

Если вы администрируете корпоративную или чувствительную к безопасности сеть, стоит рассмотреть следующие меры:

1. Ограничьте работу SLAAC на маршрутизаторе

Вы можете:

  • Полностью отключить RA-сообщения.
  • Установить флаг Managed в RA, чтобы устройства использовали только DHCPv6 для получения адреса.

Применимо на устройствах Cisco, Mikrotik, Linux и др.

что такое SLAAC

2. Используйте RA Guard на коммутаторах

RA Guard позволяет блокировать нежелательные RA-пакеты от клиентов. Это защищает сеть от подмены маршрутизаторов и атаки типа «человек посередине».

3. Перейдите на DHCPv6 для полной управляемости

С DHCPv6 вы получаете:

  • Централизованную выдачу IP-адресов
  • Гибкое управление настройками
  • Журналы событий и аудит

4. Мониторьте активность NDP

Используйте инструменты, такие как:

  • ndpmon
  • scapy
  • Wireshark

Они помогут выявить устройства, работающие по SLAAC, и анализировать поведение в сети.

Вывод

SLAAC — удобный, но «свободолюбивый» механизм, который не всегда подходит для сетей с жесткими требованиями к безопасности и управляемости. Чтобы сохранить контроль, стоит ограничивать его использование и внедрять защитные меры — особенно в корпоративной среде.

The post Что такое IPv6 SLAAC и как взять его под контроль first appeared on Как настроить?.]]>
https://ageomash.ru/chto-takoe-ipv6-slaac-i-kak-vzyat-ego-pod-kontrol/feed/ 0
SELinux — что это такое и стоит ли его выключать?! - ageomash.ru https://ageomash.ru/selinux-what-is-this/ https://ageomash.ru/selinux-what-is-this/#respond Wed, 16 Jul 2025 07:07:03 +0000 https://ageomash.ru/?p=11820 Если вы хоть немного работали с Linux, возможно, сталкивались с загадочной аббревиатурой SELinux. А может, даже пробовали его отключить, когда что-то «вдруг не работает». Давайте разберёмся, что это за механизм, почему его не стоит игнорировать — и как он помогает сделать систему намного безопаснее. SELinux — это не просто защита, а усиленная безопасность Security-Enhanced Linux ... Читать далее

The post SELinux — что это такое и стоит ли его выключать?! first appeared on Как настроить?.]]>
selinux что это такое

Если вы хоть немного работали с Linux, возможно, сталкивались с загадочной аббревиатурой SELinux. А может, даже пробовали его отключить, когда что-то «вдруг не работает». Давайте разберёмся, что это за механизм, почему его не стоит игнорировать — и как он помогает сделать систему намного безопаснее.

SELinux — это не просто защита, а усиленная безопасность

Security-Enhanced Linux (SELinux) — это система контроля доступа, встроенная прямо в ядро Linux. Её изначально разработали в NSA (Агентство национальной безопасности США) совместно с Red Hat, и главная её задача — добавить дополнительный уровень защиты поверх стандартных прав доступа.

То есть даже если у процесса есть root-доступ, SELinux всё равно может его остановить. Да, настолько серьёзно.

DAC vs MAC: в чём разница?

Обычная модель прав в Linux называется DAC (Discretionary Access Control) — это когда пользователь или админ сам решает, кто и что может делать с файлами.

А вот SELinux использует MAC (Mandatory Access Control) — модель, в которой права задаются централизованной политикой безопасности. И эта политика обязательна для всех — даже для root. Это позволяет гораздо точнее управлять поведением приложений и процессов в системе.

Контексты безопасности — ключ к пониманию SELinux

Каждому процессу и файлу SELinux присваивает контекст безопасности. Он включает:

тип объекта, например: httpd_sys_content_t — контент для веб-сервера;

роль и домен процесса, например: httpd_t — сам веб-сервер.

Когда процесс пытается обратиться к файлу, SELinux проверяет: разрешает ли политика такие действия с учётом их контекстов. Если нет — доступ блокируется. И неважно, что пользователь root.

Почему SELinux так важен?

Представьте, что злоумышленник получил доступ к системе. В обычной Linux-модели он может делать почти всё, если взломал пользователя с нужными правами. А SELinux не даст этому «всё» произойти, потому что процессы не смогут выйти за пределы строго определённых правил.

Это особенно критично на серверах с публичным доступом — веб-серверы, почтовики, базы данных. Там SELinux помогает изолировать процессы, минимизировать последствия уязвимостей и сдерживать вредоносные действия.

Главная отрицательная черта системы — несколько «кривая» обучения, мешающая «работать как привыкли», если не иметь понимать, как SELinux устроен. Ошибки конфигурации могут блокировать нужные процессы, а диагностика требует навыков чтения журналов (/var/log/audit/audit.log).

Если безопасность — ваш приоритет, SELinux однозначно стоит включать. Но как и с любым инструментом, важно сначала его понять.

Режимы работы SELinux:

Enforcing — политика активна, запрещенные действия блокируются
Permissive — действия не блокируются, но журналируются:
Disabled — SELinux отключен

Проверить режим можно так:

getenforce

Или через:

sestatus

Вывод:

SELinux — мощный инструмент для усиления защиты Linux-систем. Он может показаться сложным и даже мешающим на первых порах, но на деле — это один из самых эффективных способов ограничить потенциальный ущерб от уязвимостей и ошибок конфигурации.

Если вы работаете с сервером — не спешите его отключать. Лучше понять, как он работает. А в следующих постах я расскажу, как настраивать SELinux-политики и разбирать ошибки доступа

The post SELinux — что это такое и стоит ли его выключать?! first appeared on Как настроить?.]]>
https://ageomash.ru/selinux-what-is-this/feed/ 0
Быстрый запуск DHCP-сервера в Linux - ageomash.ru https://ageomash.ru/bystryj-zapusk-dhcp-servera-v-linux/ https://ageomash.ru/bystryj-zapusk-dhcp-servera-v-linux/#respond Wed, 25 Jun 2025 10:32:39 +0000 https://ageomash.ru/?p=11816 Ситуации бывают разные. Например, Вам экстренно понадобилось запустить DHCP- сервер на Linux. Не спрашивайте почему вдруг возникла такая странная необходимость. Ну вот так сложились обстоятельства. Что делать? Сейчас всё покажу! Я буду рассматривать установку DHCP-сервера на примере Ubuntu или Debian, так как они наиболее распространены. Выполните вот такую команду: sudo apt-get install isc-dhcp-server 2. Вся ... Читать далее

The post Быстрый запуск DHCP-сервера в Linux first appeared on Как настроить?.]]>
dhcp сервер linux

Ситуации бывают разные. Например, Вам экстренно понадобилось запустить DHCP- сервер на Linux. Не спрашивайте почему вдруг возникла такая странная необходимость. Ну вот так сложились обстоятельства. Что делать? Сейчас всё покажу!

Я буду рассматривать установку DHCP-сервера на примере Ubuntu или Debian, так как они наиболее распространены. Выполните вот такую команду:

sudo apt-get install isc-dhcp-server

2. Вся необходимая настройка  выполняется в файле dhcpd.conf. Это основной файл конфигурации DHCP-сервера, в котором нужно указать настройки: подсети, диапазоны IP-адресов, шлюзы, DNS-серверы и т. д.

3. В файле dhcpd.conf определите подсети и диапазоны IP-адресов, доступные для выдачи.
Например, для подсети 192.168.1.0/24 и диапазона IP-адресов от 192.168.1.10 до 192.168.1.100, добавляем вот такие строки в файл dhcpd.conf:

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
}

4. В файле dhcpd.conf можно так же указать и другие настройки. Например, шлюзы (routers), DNS-серверы (domain-name-servers) и другие параметры.

5. Перед запуском DHCP-сервера убедитесь, что настройки в файле dhcpd.conf указаны правильно.
Чтобы проверить конфигурационный файл — выполните команду:

sudo dhcpd -t

6. Если проверка не выявила ошибок — запустите DHCP-сервер. В Ubuntu/Debian это делается так:

sudo service isc-dhcp-server start 

The post Быстрый запуск DHCP-сервера в Linux first appeared on Как настроить?.]]>
https://ageomash.ru/bystryj-zapusk-dhcp-servera-v-linux/feed/ 0
Как повысить редакцию Windows без переустановки ОС - ageomash.ru https://ageomash.ru/kak-povysit-redakcziyu-windows-bez-pereustanovki-os/ https://ageomash.ru/kak-povysit-redakcziyu-windows-bez-pereustanovki-os/#respond Mon, 16 Jun 2025 13:41:47 +0000 https://ageomash.ru/?p=11813 А Вы в курсе, что ОС Windows позволяет изменить редакцию с младшей на старшую, сохранив при этом все установленные программы, документы и настройки?! Так вот она умеет и так!!! Это очень удобно, ведь так не хочется тратить уйму драгоценного времени на переустановку операционной системы. И сейчас я покажу Вам как это делается! Изменение редакции в ... Читать далее

The post Как повысить редакцию Windows без переустановки ОС first appeared on Как настроить?.]]>
повысить редакцию Windows

А Вы в курсе, что ОС Windows позволяет изменить редакцию с младшей на старшую, сохранив при этом все установленные программы, документы и настройки?! Так вот она умеет и так!!! Это очень удобно, ведь так не хочется тратить уйму драгоценного времени на переустановку операционной системы. И сейчас я покажу Вам как это делается!

Изменение редакции в Windows 10/11

Для обычных десктопных версий Windows (например, для перехода с «Домашней»(Home) на «Профессиональную»(Pro) используется встроенная специальная утилита changepk.exe.

Вот пример использования этой команды:

changepk.exe /ProductKey XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

XXXXX-XXXXX-XXXXX-XXXXX-XXXXX — это ключ продукта. Вы можете использовать ваш лицензионный ключ или универсальный ключ. Универсальный ключ обычно применяется при установке Windows, если вы выбираете пункт «Пропустить ввод ключа».

Шаги для изменения редакции Windows 10/11:

1. Откройте командную строку с правами администратора.
2. Выполните команду с вашим ключом.
3. Перезагрузите систему по запросу.

Апгрейд редакции в Windows Server

Для серверных систем (например, Windows Server Standard или Evaluation -> Datacenter) используется утилита DISM. Пример процесса:

Узнать текущую редакцию:

DISM /online /Get-CurrentEdition

Посмотрим доступные редакции для апгрейда:

DISM /online /Get-TargetEditions

Выполнить апгрейд до нужной редакции:

DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

 

The post Как повысить редакцию Windows без переустановки ОС first appeared on Как настроить?.]]>
https://ageomash.ru/kak-povysit-redakcziyu-windows-bez-pereustanovki-os/feed/ 0
Зависла виртуальная машина в ESXi? Попробуй это! - ageomash.ru https://ageomash.ru/zavisla-virtualnaya-mashina-v-esxi-poprobuj-eto/ https://ageomash.ru/zavisla-virtualnaya-mashina-v-esxi-poprobuj-eto/#respond Mon, 16 Jun 2025 12:04:38 +0000 https://ageomash.ru/?p=11811 Иногда, в работе с VMWare ESXi, бывают грустные ситуации, когда вдруг виртуальная машина зависает и вообще не реагирует ни на попытки выключения, ни на перезагрузку через vSphere Web Client.  Что делать? Первая мысль — перезагрузить весь хост целиком. Но нет! Есть варианты проще и их стоит обязательно попробовать! Остановка зависшей ВМ через консоль ESXi 1? ... Читать далее

The post Зависла виртуальная машина в ESXi? Попробуй это! first appeared on Как настроить?.]]>
vmware esxi зависла

Иногда, в работе с VMWare ESXi, бывают грустные ситуации, когда вдруг виртуальная машина зависает и вообще не реагирует ни на попытки выключения, ни на перезагрузку через vSphere Web Client.  Что делать? Первая мысль — перезагрузить весь хост целиком. Но нет! Есть варианты проще и их стоит обязательно попробовать!

Остановка зависшей ВМ через консоль ESXi

1️⃣ Подключаемся к ESXi через SSH или открываем локальную консоль.

2️⃣ Смотрим список всех активных ВМ:

esxcli vm process list

3️⃣ Находим зависшую машину по имени и запоминаем её WorldID.

4️⃣ Пробуем завершить ВМ мягко (предпочтительный способ):

esxcli vm process kill --type=soft -w 12345678

Если не помогает, можно применить более жёсткие методы, используя вот такие ключи:

—type=hard — принудительное завершение, аналог kill -9
—type=force — экстренное завершение, применяется в крайнем случае

Альтернативный вариант — esxtop

А ещё, как вариант, Вы можете использовать и утилиту esxtop:

esxtop

Нажмите на «V», чтобы отобразить список процессов виртуальных машин. Найдите там нужную виртуальную машину и, при необходимости, завершите её процесс.

The post Зависла виртуальная машина в ESXi? Попробуй это! first appeared on Как настроить?.]]>
https://ageomash.ru/zavisla-virtualnaya-mashina-v-esxi-poprobuj-eto/feed/ 0