Соеденить две площадки…

… Казалось бы, что может пойти не так?

Недавно мне потребовалось соеденить две площадки с виртуалками. Обе у нас (ПОДЧЕРКИВАЮ!), обе у достаточно крупных провайдеров. В общем, надо сделать так, чтобы Н машин у одного провайдера видели М машин у другого. Трафик не большой, но достаточно критичный.

“ХА!” – сказал я и нарисовал классическую схему соединения.

Выделяем на каждой площадке машинку (или на одну из доступных вешаем внешний ip), обвешиваемся файрволами и закрываем трафик тем же IPSec. Инструкций много, вариантов много – в общем, прорвемся!

Быстренько собрал, накидал конфиги и получил веслом по морде. Протокол ESP где-то по пути заблокирован. Техподдержка обоих провайдеров клянется, что это не у них, но ipsec не верит и отказывается подниматься. Ладно, хотелось по-корпоративному, пойдем по-молодежному.

OpenVPN шустро поднялся, поначалу начал бодро гонять трафик, но через некоторое время начались проблемы. Он переподсоединялся, слал немного байт и снова уходил в нирвану. Смена протокола с UDP на TCP приносила лишь временное облегчение.

Кто виноват – мне, если честно говорить, абсолютно пофиг. Мне трафик нужно гонять. Поэтому расчехлил тяжелую хипстерскую артиллерию – shadowsocks + v2ray. Качаем с гита, просто распаковываем, плюем в конфиг сервера следующее (1.1.1.1 – это внешний адрес сервера, если что):

{
  "server": "1.1.1.1",
  "server_port": 888,
  "password": "verysecretpass",
  "method": "chacha20-ietf-poly1305",
  "timeout": 7200,
  "no_delay": true,
  "fast_open": true,
  "mode": "tcp_and_udp",
  "plugin": "/opt/shadowsocks/v2ray-plugin_linux_amd64",
  "plugin_opts": "server"
} 

А в конфиг клиента вот это:

{
  "server": "1.1.1.1",
  "server_port": 888,
  "local_address": "127.0.0.1",
  "local_port": 1080,
  "password": "verysecretpass",
  "method": "chacha20-ietf-poly1305",
  "timeout": 7200,
  "no_delay": true,
  "fast_open": true,
  "mode": "tcp_and_udp",
  "plugin": "/opt/shadowsocks/v2ray-plugin_linux_amd64",
  "plugin_opts": ""
}

Запускаем и получаем на клиенте socks5 сервер на 1080 порту. А теперь – финт конем. В конфиг OpenVPN на клиенте добавляем одну единственную строчку:

socks-proxy 127.0.0.1 1080

Ну и перезапускаем все, чтобы прочитало конфиги. Вуаля! У нас получилась следующая схема:

OpenVPN ходит через ShadowSocks, который ходит через хрен знает как настроенный интернет.

Но через некоторое время проявилась та же самая боль: немного погодя клиент терял соединение с сервером. Причем перезапустишь – все снова начинает бегать. Ставил опции ping, менял MSS и MTU – пофиг: рандомно теряем коннект.

Ок, перевел openvpn и shadowsock на TCP. Всё магически исправилось. Коннект стабильный, не рвется, пакетики бегают туда-сюда.

Отключил "mode": "tcp_and_udp", позакрывал фаирволлами и начал тестить.

Итак, прямой tcp линк безо всяких штук

[  1] 0.0000-10.2561 sec   112 MBytes  91.8 Mbits/sec

Да, клиент сидит на дешевом тарифном плане в 100 мегабит, поэтому практически упираемся в полку. Теперь через все эти навороты:

[  1] 0.0000-10.3474 sec  50.8 MBytes  41.1 Mbits/sec

И это без какого-либо тюнинга! Да, tcp-over-tcp-over-tcp еще тот изврат, но ведь работает же! А после тюнинга (банальные буфера и прочее – в любом мануале по openvpn) я получил следующее:

[  1] 0.0000-100.4276 sec   896 MBytes  74.8 Mbits/sec

Что в плюсах:

  1. Нам надо платить меньше. На одной стороне не нужен выделенный ip (а они нынче дорогие). Выпускают всех через SNAT и норм.
  2. Настраивается не просто, а очень просто.
  3. Снаружи на сервере порт OpenVPN можно спокойно закрыть фаирволлом. Соединение идет с локалхоста. Больше сесуретей богу сесурити!
  4. Память не жрет. Можно смело брать самую дешевую виртуалку под “роутеры”. Вся вот эта машинерия + FRR с OSPF сьели 200 мегов.
  5. Оно работает. Реально, за неделю уже не одиного разрыва.

Что в минусах:

  1. Потеряли в скорости. Немного, но есть. Проблема в том, что на стороне клиента я банально уперся в единственный ЦПУ виртуалки. Когда тесты идут, на той стороне в топе такое:

С другой стороны, там трафик в 20-30 мегабит уже редкость, так что в любом случае все в порядке. Но запас карман не тянет.

Ну и нафига я все это делал: мне нужно было среплицировать один MySQL в другой. Предложенная схема их удовлетворила, значит задача выполнена.

Всё своё ношу с собой. Локальное зеркало.

Пора, пора описывать то, что было сделано. А то как обычно, забудется и всё, пиши “прощай”.

Итак, давным-давно, когда ещё существовала страна под названием “Украина”, я начал делать свою… Ну даже не знаю, на лабораторию это не тянет, на свой датацентр тоже. В общем, несколько серверов, выполняющих нужные для меня задачи. Часть арендованные, часть свои… И всё было совсем хорошо, пока не началась СВО. Тут же вылезла куча говна и давай блочить доступ. Следом к ним присоеденились убегуны и давай портить до чего руки дотянутся. Дескать, они все такие чувствительные, что не могут позволить такое и вааще, они только за самое хорошее! Но тут не про них, а про то, как сделать себе хорошо и нагло игнорировать подобное сейчас и в будущем.

Итак, условия для этой задачи и последующих простые: я должен иметь возможность поставить или обновить нужное мне в любой момент времени. Есть интернет, нету – все равно. И первым шагом я сделаю зеркало для пакетов дистрибутива ubuntu.

Погуглив, я нашел несколько инструкций, как сделать свое зеркало. Немного потыкался в монстров типа Nexus и прочих JFrog и решил, что лучшее враг хорошего. Итак, для начала нам нужна машинка с более-менее приличным диском. Далее все просто и прямолинейно: ставим необходимое и подготавливаем структуру каталогов

apt install apache2 debmirror gnupg xz-utils rsync

mkdir -p /mirror
mkdir /mirror/debmirror
mkdir /mirror/debmirror/amd64
mkdir /mirror/debmirror/mirrorkeyring
mkdir /mirror/scripts

gpg --no-default-keyring --keyring /mirror/debmirror/mirrorkeyring/trustedkeys.gpg --import /usr/share/keyrings/ubuntu-archive-keyring.gpg

cd /var/www/html
ln -s /mirror/debmirror/amd64 ubuntu

cd /mirror/scripts

А вот теперь скрипт, который все друг у друга таскают. Я не исключение

# cat > debmirroramd64.sh 
#!/bin/bash

## Setting variables with explanations.

#
# Don't touch the user's keyring, have our own instead
#
export GNUPGHOME=/mirror/debmirror/mirrorkeyring

# Arch=         -a      # Architecture. For Ubuntu can be i386, powerpc or amd64.
# sparc, only starts in dapper, it is only the later models of sparc.
# For multiple  architecture, use ",". like "i386,amd64"

arch=amd64

# Minimum Ubuntu system requires main, restricted
# Section=      -s      # Section (One of the following - main/restricted/universe/multiverse).
# You can add extra file with $Section/debian-installer. ex: main/debian-installer,universe/debian-installer,multiverse/debian-installer,restricted/debian-installer
#
section=main,restricted,universe,multiverse

# Release=      -d      # Release of the system (, focal ), and the -updates and -security ( -backports can be added if desired)
# List of updated releases in: https://wiki.ubuntu.com/Releases
# List of sort codenames used: http://archive.ubuntu.com/ubuntu/dists/

release=noble,noble-security,noble-updates,noble-backports

# Server=       -h      # Server name, minus the protocol and the path at the end
# CHANGE "*" to equal the mirror you want to create your mirror from. au. in Australia  ca. in Canada.
# This can be found in your own /etc/apt/sources.list file, assuming you have Ubuntu installed.
#
server=ru.archive.ubuntu.com

# Dir=          -r      # Path from the main server, so http://my.web.server/$dir, Server dependant
#
inPath=/ubuntu

# Proto=        --method=       # Protocol to use for transfer (http, ftp, hftp, rsync)
# Choose one - http is most usual the service, and the service must be available on the server you point at.
# For some "rsync" may be faster.
proto=rsync

# Outpath=              # Directory to store the mirror in
# Make this a full path to where you want to mirror the material.
#
outPath=/mirror/debmirror/amd64

# By default bandwidth is not limited. Uncommend this variable and set it to the apropriate
# value in Kilobytes per second. Also don't forget to uncomment the --rsync-options line in the last section below.
bwlimit=1000

# The --nosource option only downloads debs and not deb-src's
# The --progress option shows files as they are downloaded
# --source \ in the place of --no-source \ if you want sources also.
# --nocleanup  Do not clean up the local mirror after mirroring is complete. Use this option to keep older repository
# Start script
#
debmirror       -a $arch \
                --no-source \
                -s $section \
                -h $server \
                -d $release \
                -r $inPath \
                --progress \
                --method=$proto \
                --rsync-options "-aIL --partial --bwlimit=$bwlimit" \
                $outPath

Скрипт настроен на российский миррор и лимит в 1 мегабайт в секунду, чтобы не забивать канал, как минимум при первоначальной скачке. Ну и релиз поменял на noble, ибо нынче уже 2024 год и в ходу у меня 24.04. Далее просто запускаем этот скрипт и идем заниматься своими делами. Оно медленно и печально высосет кучу гигабайт. Реально КУЧУ гигабайт. На момент написания размер зеркала был в районе двухсот гигов.

Ну а дальше просто везде разбрасываем новый ubuntu.list, заменяя им ubuntu.sources

deb http://mirror/ubuntu noble main restricted universe multiverse
deb http://mirror/ubuntu noble-security main restricted universe multiverse
deb http://mirror/ubuntu noble-updates main restricted universe multiverse

И точно так же миррорим что-то другое. К примеру, возжелал я поставить InfluxDB. Можно пакетики тащить, а можно зеркало сделать.

wget -q https://repos.influxdata.com/influxdata-archive_compat.key
gpg --no-default-keyring --keyring /mirror/debmirror/mirrorkeyring/trustedkeys.gpg --import influxdata-archive_compat.key
mkdir -p /mirror/debmirror/influx/
cat influxdata-archive_compat.key | gpg --dearmor > /mirror/debmirror/influx/key.gpg
cd /var/www/html
ln -s /mirror/debmirror/influx influx

И чуточку поправленный скрипт без комментариев. Изменил только откуда брать, куда ложить и то, что не надо использовать rsync. Адреса и прочее я нагло упер из инструкции с официальной страницы https://www.influxdata.com/downloads/, когда выбрал Ubuntu&Debian

# cat influx.sh 
#!/bin/bash

export GNUPGHOME=/mirror/debmirror/mirrorkeyring
arch=amd64
section=main
release=stable
server=repos.influxdata.com
inPath=/debian
proto=http
outPath=/mirror/debmirror/influx

debmirror       -a $arch \
                --no-source \
                -s $section \
                -h $server \
                -d $release \
                -r $inPath \
                --progress \
                --method=$proto \
                --rsync-extra=none \
                $outPath

Ну и потом на хосте, куда что-то от influx будет ставиться:

wget http://mirror.hlevnoe.lan/influx/key.gpg -O /usr/share/keyrings/influx.gpg

cat > /etc/apt/sources.list.d/influx.sources 
Types: deb
Architectures: amd64
Signed-By: /usr/share/keyrings/influx.gpg
URIs: http://mirror.hlevnoe.lan/influx
Suites: stable
Components: main

Дальше совершенно стандартно: apt update && apt install...

Видеонаблюдение, часть 1

В целях покупки домика загорелось мне устроить видеонаблюдение. И чтобы потом как в фильмах “вот преступник, увеличь кадр. еще! ага, попался!”. У меня преступников не ожидается, но хотелку осуществить очень охота.

И в процессе погружения в мир видеонаблюдения оказалось, что все в нем совсем не так просто. Вернее наоборот, просто, но совершенно перпендикулярно сознанию обычного ИТшника.

В начале было самое простое: система будет аналоговая или цифровая? В пользу первой говорит ровно два фактора: сейчас она очень (подчеркиваю очень) дешевая и она базируется на отработанных решениях. Все давно изучено, вылизано и понятно. Самое простое решение: купить валяющийся на складе готовый комплект, раскидать кабеля и успокоиться.

Но у аналогов есть и минус: от каждой камеры нужен прямой кабель до регистратора. 16 камер? 16 линков на коаксиале. В общем, не мой размерчик от слова совсем.

Значит, цифровая. Тем более, что ethernet с wifi у меня точно будет в каждом угле.

Открываю браузер, иду в магазин и немного охреневаю от изобилия камер со всякими аббревиатурами. А цены скачут на три порядка. Что делать, куда бежать?

Первое условие “никаких облаков” сразу отсеивает большую половину камер. Эти камеры потому и дешевы, что сливают китайцам и корейцам все, что можно слить. Новомодным системам надо же на чем-то обучаться? Да и безопасность таких камер хромает на обе ноги – достаточно погуглить и вы обнаружите кучу кредов на любой вкус: хоть напрямую, хоть через “облако”.

А вот следующее условие я не смог внятно сформулировать. Слишком уж много было разноплановой информации. Поэтому я поступил старым проверенным способом: тупо накидал в корзину несколько камер разных производителей и с разной ценой, чтобы лично пощупать и оценить.

Пока камеры ехали, я принялся изучать, чем же их обслуживать. Или, говоря другими словами, DVR, NVR или ip-видеорегистратор. Тут я тоже сразу задрал планку “работает под linux, управление через браузер”. Казалось бы, софта на рынке дофига и больше – бери и пробуй.

Ан, нет. 99% софта – это откровенные поделки, лишь бы было. Особенно этим отличаются отечественные производители. Ни инструкций по настройке, ни поддержки чего-то более-менее распространенного… ничего вообще. Я ставил, смотрел, плевался и удалял. “серверные” версии, которые требуют qtgui? да легко!

Где-то тут приехали и сами камеры, сразу же добавив много интересных аспектов. Например, некоторые камеры сами по себе видеорегистраторы. Можно вставить sd карту, обрисовать зоны для детектора движений и вуаля – все заработает.

Но в итоге самым важным оказалось совершенно другое. Формат, в котором передается видео. MJPEG, H264 и самый моднявый, H265 с плюсиками и буквами на конце. Внезапно для меня это стало могильным камнем для 99,99% видеорегистраторов. Дело в том, что чем моднее формат, тем меньше он требует диска для хранения. В проспектах буржуев я встречал, что H265 S+ требует до 70% меньше места, чем H264.

В итоге с банальной задачей “смотри в камеры, если обнаружишь движение, пиши на диск” справился только один видеорегистратор – AgentDVR. Все остальные, включая широко известный ZoneMinder – тупо крешились, жрали проц и память и так далее и тому подобное. Отдавать им такую важную задачу – глупость высшего уровня.

Выше – скриншот с тестовой инсталляции AgentDVR. Три камеры – 4МП, 2МП и 2МП. Пишется по детектору движения. Как видите, за 11 дней сожрало 120 гигов. И процессор совершенно не нагружен. Было бы прелестно, если бы была хоть какая-то интеграция со сторонними системами. Нет, она вроде заявлена, но за помесячную денежку. Не подходит – я готов заплатить за софт, но единоразово.

Увидев подобные цифры потребления, я воспрял духом. Никаких петабайт на глубину в неделю не нужно – хватит и обычных объемов! А их, как вы понимаете, есть у меня!

Следующий шаг – это полностью “аппаратные” решения. Специализированные, заточенные на работу с камерами и только с камерами. Ну и за кучу (или не очень) денежек.

И тут очередная засада. Как выбрать видеорегистратор? Ни одна собака не пишет, сколько камер он может понятнуть. Вместо этого вовсю рекламируют, сколько потоков с каким разрешением он может одновременно отображать. Но мне-то это не надо…

Когда ко мне приехала очередная пачка железок, то тайна оказалась не такой-то уж и тайной. У каждого приличного видеорегистратора есть параметр “максимальный входной поток”. Он измеряется в мегабитах. И чтобы подсчитать, сколько камер потянет регистратор, надо просто принять “1 мегапиксел камеры = 1 мегабит на регистраторе”. И не смотрите, что 4МП камера выдает по сети всего 600-800 килобайт в секунду – это не те потоки, не итшные. В итоге для трех камер на 4, 2 и 2 мегапикселя нужен регистратор, умеющий переваривать поток в 9+ мегабит. Почему не 8? Оставьте небольшой процент на всякие просадки, усушки и утруски.

С дисками вообще все просто: подойдет абсолютно любой. Но если деньги есть, то надо взять именно для систем видеонаблюдения. Во-первых, они все медленные, 5200, а значит холодные и тихие. А во-вторых, в них льется спецпрошивка, которая оптимизирована для постоянной записи в кучу потоков. Мелочь, но по словам бывалых, на нагруженных системах увеличивает срок службы с года до трех практически гарантированно.

Вот мой, купленный на пробу от tiandy. Два диска, 200МБ входного. Усб справа для ориентира в размерах.

Сами регистраторы тоже разные. Самые простые умеют просто писать поток с камеры на диск. Платы таких на али можно найти от 1500 рублей. У регистраторов покруче добавляется возможность писать на внешние диски, в случае каких-то событий отправлять письма, включать что-то внешнее и прочее подобное.

И тут меня настигла первая засада: у “дешевых” регистратов вся аналитика (распознование человек-машина, границы и так далее) ложится исключительно на камеры. Если камера не умеет (или железка не знает про возможности камеры) – то регистратор напишет “ой, и я тоже не могу”. Вот мой, к примеру, не может.

Вторая засада та же, что и с отечественными: документации нет. Вообще. Пара-тройка страничек с общими телодвижениями и все. Поначалу я думал, что это мне так повезло. Но нет, даже у хваленого HikVision та же фигня.

Значит что? Оставляем текущую мешанину работать, набираться опыта и приступаю к тестированию регистраторов под windows. Причем, раз аппетит пришел, с особым упором на аналитику, ибо задача простой записи по движению решена аж двумя способами.

Bitwarden -> KeePassXC

Внезапно пришла уведомлялка: дескать, дорогой товарищ, ваше время истекло, заплатите еще 10 баксов за следующий год.

Не то, что бы мне жалко денег, но заводить какой-то странный bitcoin кошелек на не менее странных биржах мне стремно. А оплата карточкой через paypal не доступна, ибо они поддерживают нацистов и типа санкции.

Сначала я подумал поднять свой сервер для него, благо есть аж два варианта. Но реально, как-то стало очень лень. Решил попробовать KeePassXC. Нашел репу https://github.com/davidnemec/bitwarden-to-keepass, сделал три шага по мануалу и вуаля – оно все заработало и заработало подозрительно легко. И даже клиент не такой вырвиглазный, каким я его помню …

OS X странный   login item

Пробегал мимо настроек, решил на всякий случай заглянуть в то, что у меня пускается автоматом.  Settings-General-Login Items, а там такое

Что за ln? При нажатии на значок информации честно перекидывает на /bin/ln. Троян?

$ codesign -dvvv /bin/ln
Executable=/bin/ln
Identifier=com.apple.ln
Format=Mach-O universal (x86_64 arm64e)
CodeDirectory v=20400 size=453 flags=0x0(none) hashes=9+2 location=embedded
Platform identifier=14
Hash type=sha256 size=32
CandidateCDHash sha256=da717c2e8dc49817f70f208029b3533b4c9cdb2c
CandidateCDHashFull sha256=da717c2e8dc49817f70f208029b3533b4c9cdb2ceacfa90a43b19009331880fb
Hash choices=sha256
CMSDigest=da717c2e8dc49817f70f208029b3533b4c9cdb2ceacfa90a43b19009331880fb
CMSDigestType=2
Launch Constraints:
	None
CDHash=da717c2e8dc49817f70f208029b3533b4c9cdb2c
Signature size=4442
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Signed Time=5 Nov 2022, 04:23:08
Info.plist=not bound
TeamIdentifier=not set
Sealed Resources=none
Internal requirements count=1 size=60

Нет, не троян. Уже лучше. Значит ищем в {~}/Library/LaunchAgents то, что под это маскируется. Оказывается, это Docker Desktop такой херней развлекается

$ cat com.docker.socket.plist 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0"><dict><key>KeepAlive</key><false/><key>Label</key><string>com.docker.socket</string><key>ProcessType</key><string>Background</string><key>Program</key><string>/bin/ln</string><key>ProgramArguments</key><array><string>/bin/ln</string><string>-s</string><string>-f</string><string>/Users/kiltum/.docker/run/docker.sock</string><string>/var/run/docker.sock</string></array><key>RunAtLoad</key><true/></dict></plist>

Что делать? Да ничего. При запуске Docker Desktop он просто сругается и предложит сделать эту ссылку заново. Ну или оставьте “сервис ln” включенным

Android init undocumented

Не спрашивайте зачем, но потребовалось мне на одном андроиде сделать так, что бы при запуске этого самого андроида запускался простой шелловский скрипт.

Казалось бы, ну в чем проблема? Там внутри линукс, он даже вроде задокументирован. Гуглим, находим https://android.googlesource.com/platform/system/core/+/master/init/README.md

Добавлям все необходимое … и не работает.

Пропускаю кучу мучений с офигенной (в больших кавычках) системой логирования и отладки.

Решение: rc-файлы должны иметь права 644 и никак иначе. Другие права? Не будем с ними работать! Секурсная сесурити, понимаешь. И пофиг, что если я получил доступ до /system, то уж такая-то мелочь меня не остановит “от кражи информации”

Пароли – наше все!

Давным давно, аж 5 лет назад, я уже задавался темой хранения паролей. Тогда я выбрал платный 1Password и до недавнего времени был полностью доволен.

За 5 лет изменилось довольно многое и к примеру тот 1Password уже не купить: нынче всё по подписке, за каждый чих требуют денег. Да и требования к хранению паролей лично у меня изменились. Немного, но значительно.

Во-первых, я больше не хочу верить. Все маркетинговые слова про “улучшенную защиту”, “aes-256”, “PBKDF2” и “SHA256” остаются словами до тех пор, пока не будет доказательств. Нет, в реальности это может быть и так, но проверить нечем.

Во-вторых, я не хочу больше отдавать контроль над моими паролями кому-то еще. Со старой версией 1Password все хорошо: она позволяет хранить пароли в iCloud, Dropbox или любом каталоге по выбору. Нынешняя, как и остальные, предлагают хранить пароли непонятно где и не понятно как защищенными. Специально сейчас прошелся по сайтам 1Password, Dashline, Lastpass, Roboform и прочим, все тот же набор маркетингового буллшита и никаких доказательств. А возможность доступа к паролям из браузера вообще считают за достоинство …

И наконец, я хочу халявы. Не то, что бы денег жалко, но садиться на иглу “платите нам $10 в месяц” не охота

По своей старой привычке “а оно надо?” я посмотрел профиль использования своих данных. Чаще всего мне надо использовать различные ключи к облачным сервисам. Вот эти вот все GCP_PROJECT, AWS_ACCESS_KEY_ID, pem файлы для ssh и так далее. А вот пароли как пароли у меня используются довольно редко. Ну раз, ну два в день. Лицензии и прочие подобные ключи я вообще использую раз в месяц, когда переустанавливаю все в рамках DRP.

Плюс я регулярно перемещаюсь между машинами, виртуалками и датацентрами, поэтому очень не охота оставить где-нибудь тот же pem фаил, дающий доступ к инфраструктуре с кучей очень дорогих данных.

Довольно специфичные условия, не так ли? Но нет предела совершенству!

Первым делом я пошел смотреть на KeePass. За прошедшие 5 лет он никуда не делся, все такой же монстр с кучей свистелок и перделок. И все так же хочет кучу всего, потому что и может практически все. Можно, не если честно, не вставляет.

Затем поиск вывел меня на довольно новый менеджер паролей Bitwarden. В нем все, как я люблю: у него открытый код и абсолютно прозрачная модель монетизации. За $10 в год можно получить абсолютно все, что необходимо от менеджера паролей в настоящее время. Более того, можно поставить свой собственный сервер и все клиенты будут синхронизироваться с ним, а не с сервером компании.

Попутно обнаружилась совершенно шикарная вещь: у битвардена есть консольный клиент. Выглядит это так (пароли все равно поменял)

[kiltum@mbook ~]$ bw unlock
? Master password: [hidden]
Your vault is now unlocked!

To unlock your vault, set your session key to the `BW_SESSION` environment variable. ex:
$ export BW_SESSION="WgOBidzNy5wybOFgJ8t9MB3gHN2ZQww1ux0ovrbmaA0N21xRS0rrwlBofi8sp6bKe1+HmYaybCgIQnZxGqzkWB=="
> $env:BW_SESSION="WgOBidzNy5wybOFgJ8t9MB3gHN2ZQww1ux0ovrbmaA0N21xRS0rrwlBofi8sp6bKe1+HmYaybCgIQnZxGqzkWB=="

You can also pass the session key to any command with the `--session` option. ex:
$ bw list items --session WgOBidzNy5wybOFgJ8t9MB3gHN2ZQww1ux0ovrbmaA0N21xRS0rrwlBofi8sp6bKe1+HmYaybCgIQnZxGqzkWB==

[kiltum@mbook ~]$ bw list items --session WgOBidzNy5wybOFgJ8t9MB3gHN2ZQww1ux0ovrbmaA0N21xRS0rrwlBofi8sp6bKe1+HmYaybCgIQnZxGqzkWB==
[{"object":"item","id":"de683640-15ca-4dc0-98ec-a95400951086","organizationId":null,"folderId":null,"type":1,"name":"kiltum.livejournal.com","notes":null,"favorite":false,"login":{"uris":[{"match":null,"uri":"https://kiltum.livejournal.com/"}],"username":"kiltum","password":"passwordwasdeleted","totp":null,"passwordRevisionDate":null},"revisionDate":"2018-09-07T09:02:43.6466667Z"},{"object":"item","id":"161cff1e-eeaf-4091-8c0f-a954009ee2ab","organizationId":null,"folderId":null,"type":1,"name":"www.facebook.com","notes":null,"favorite":false,"login":{"uris":[{"match":null,"uri":"https://www.facebook.com/"}],"username":"multik@multik.org","password":"herewaspassword","totp":null,"passwordRevisionDate":null},"revisionDate":"2018-09-07T09:38:29.0466667Z"}]

Как видно, на выход идет обычный json, из которого можно выдрать необходимые поля любым подручным средством.

Но после небольшой дискуссии в #unix.ru мне было предложено посмотреть на Pass. Поначалу я попробовал и весь расплевался. Этот менеджер паролей … ну в общем, он совершенно перпендикулярен всем остальным. В нем все не так и не туда. И вообще он какой-то кривой. Да, кривой и точка!

Но так как больше других менеджеров не находилось, решил оставить и попользоваться всеми тремя менеджерами (1password, bitwarden и pass) одновременно. Создавать новые пароли, ключи и токены, перемещаться между машинами и вообще пытаться вести обычную жизнь DevOps/SRE/SysAdmin/CTO/чебурашки.

Практически сразу выяснилось, что pass это просто развесистый bash скрипт, который в своей работе использует gpg и git. В теории это означает, что pass будет работать на всех платформах где есть эти программы. В реальности я его попробовал только под OS X и Linux

Что в итоге я получил?

Во-первых, мне больше не надо верить. Для шифрования используется gpg из дистрибутива с моим личным ключем. Каждая запись – это зашифрованный gpg файл. При желании можно взять и достать вручную.

$ gpg aws_prod.gpg 
gpg: WARNING: no command supplied.  Trying to guess what you mean ...
gpg: encrypted with 4096-bit RSA key, ID B2698444DC05C50F, created 2017-09-11
      "Viacheslav Kaloshin "

Во-вторых, использование git на своем сервере снимает все вопросы про “кто еще получает доступ до моих данных”. Как и полную историю всех изменений с самого начала. Никаких “30 последних изменений”. Хранится всё.

$ git log|head -5
commit 8ab2f5fae8bf9a8b48dc97df908343c25a1745c1
Author: Viacheslav Kaloshin 
Date:   Mon Sep 24 15:41:37 2018 +0300

    Rename cs/ed_aws_qa to cs/ed/aws_qa.

И наконец, эта опенсорс, халява и возможность поправить и сделать по-своему.

Описывать, как устанавливать pass смысла нет: это и так прекрасно расписано на официальном сайте. Более того, на новых машинах можно просто склонировать репозиторий в ~/.password-store и на этом вся установка будет завершена.

И наконец, то, что мне больше всего понравилось.

Безопасное переключение между окружениями. В данном случае AWS, но этот же механизм работает с GCE, Azure и любым другим софтом, хранящим ключи в переменных окружения.

$ pass show cs/ed/aws_qa
AWS_ACCESS_KEY_ID=BKIAIELZCTWSJ7FECP4Z
...
$ pass show cs/ed/aws_prod 
AWS_ACCESS_KEY_ID=BKIAIN56RKIABTBHJXTW
...
$ export  `pass show cs/ed/aws_qa`
$ set|grep AWS_ACC
AWS_ACCESS_KEY_ID=BKIAIELZCTWSJ7FECP4Z
$ export  `pass show cs/ed/aws_qa`
$ set|grep AWS_ACC
AWS_ACCESS_KEY_ID=BKIAIN56RKIABTBHJXTW

Замена конструкции ssh -i key.pem user@hostname

$ pass show cs/qapem
-----BEGIN RSA PRIVATE KEY-----
MIIEpQIBAAKCAQEAw4AMstljzZRxvqNIO/ZsXnkCMm8O+FXuuTGqzII2ysH5fz8Q3pLZmKVXfz+7
....
eNK7UAHXBLGciXfFjlYlvZaLci93wtY4reWCgmsCmNx98WBMZUmF0R1VCjU/DYleIpMtNBY=
-----END RSA PRIVATE KEY-----
$ pass show cs/qapem| ssh-add -
Identity added: (stdin) ((stdin))
$ ssh user@hostname

В чем главный плюс? На машине ничего не остается в открытом виде. И стоит закрыть сессию, как все доступы магическим образом исчезнут. Никаких больше “оберегайте свой .aws от чужих глаз и прочее”.

В чем главный минус? На каждое изменение надо звать pass git push и не забывать при переходе на другую машину делать pass git pull. Но для любого современного разработчика это совершенно привычные действия, поэтому и минус-то не большой.

Что делать, если …

… что-то упало (как телеграм) или недоступно?

Во-первых, надо заранее подготовиться и заиметь сервера где-то там далеко.
Во-вторых, надо сказать секретную команду

ssh -D 8123 -f -C -q -N user@server

Она поднимет socks5 прокси на localhost:8123

И наконец, указать в вашем любимом браузере, телеграмчике и остальном sock5 прокси.

Проверить работоспособность прокси можно командой

httping -x localhost:8123 -5 -g http://google.com
PING google.com:80 (/):
connected to google.com:80 (325 bytes), seq=0 time=636.58 ms 
connected to google.com:80 (325 bytes), seq=1 time=506.72 ms 
connected to google.com:80 (325 bytes), seq=2 time=657.07 ms 

Новый датацентр. Web

Что самое главное во всем этом? Правильно, наши интернетики с кисками и прочим. А значит, надо обеспечить заход снаружи внутрь по https

На данный момент я знаю всего 3 способа: с помощью nginx, apache и traefik. Apache как-то старо, traefik наоборот, слишком новомодно.

Предупреждаю сразу: использовать в докере nginx c nginx-gen и companion, как описано вот тут https://github.com/gilyes/docker-nginx-letsencrypt-sample – нельзя. Проблема простая: генератор тупо мешает ip бэкэндов как ему понравится.

Краткий план: ставим виртуалку

virt-builder centos-7.4 --arch amd64 -o nginx.ka12.co.img --size 20G --format qcow2 --hostname nginx.ka12.co --ssh-inject root:file:/root/multik.sshkey --root-password file:root_pass --copy-in ifcfg-eth0:/etc/sysconfig/network-scripts/ --copy-in resolv.conf:/etc
virt-install --name nginx.ka12.co --network bridge=virbr100 --memory 2048 --disk path=nginx.ka12.co.img --import --os-variant centos7.0 --graphics vnc,listen=172.16.100.1 --noautoconsole

бутстрапим ее

ansible-playbook -i inventory -l nginx* centos-bootstrap.yml

Добавляем в нее нужное

yum -y install freeipa-client && ipa-client-install --mkhomedir
yum install certbot python2-certbot-nginx nginx

И запускаем nginx

openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096
systemctl start nginx

Берем из git (https://github.com/kiltum/newdc/tree/master/nginx) и кладем в /opt/www

Там два темплейта – первый для просто “сделай так, что бы nginx узнал о сайте”, а второй – уже готовый полноценный конфиг.

Ну а что делает скрипт new_site, думаю разберетесь сами. Только email правильный пропишите.

Запускаем ./new_site mail.ka12.co и вот результат:

После меняем конфиг сайта как нам надо и вуаля! Теперь по приходу емайла от letsencrypt заходим и обновляем все сразу.

Оригинальный вариант взлома …

Пришло мне тут аж два письма. По содержанию одинаковых, но с разных адресов.

Расчет абсолютно верный: всякие метрики, адворды и прочие маркетинговые фигни требуют разместить очень похожее для подтверждения. Одним меньше, другим больше …

Но проблема только в одном: размещение данного кода приведет к открытию “потрохов” сайта любому желающему.

Поискал по сети: оказывается, аналогичные письма всплывают уже пару лет, только до сих пор меня это обходило стороной.

А вот дальнейшее не повторяйте! Я знаю, что делаю и к чему это может привести.

Я создал этот a1iqyyar9p1ep21a.php в домашнем каталоге kaloshin.ru. Посмотрю, что получится 🙂

Бекапы – фигня. Восстановление – вот это да!

Пару дней назад все и везде прожужжали мантры про всемирный день бекапа и про то, что делать бекапы – это хорошо. Но почему-то никто нигде не жужжит про то, что бекапы сами по себе, без восстановления – фигня полная. Ну лежит где-то резервная копия, место занимает. И что вы с ней будете делать, если что-то случится? А как до неё доберетесь? А ключи и пароли откуда возьмете? И для любой системы таких вопросов можно задать сотни.

Будь готов!

Именно поэтому я изобрел лично для себя свой личный DIRT (Disaster Recovery Test). Где-то раз в месяц (или чаще, под настроение) я тупо сношу все с ноута и ставлю заново операционку и накатываю назад рабочее окружение. Первые разы длились все выходные и без потерь не обходилось. Зато сейчас мне требуется примерно час, что бы вернуться в строй. Около трех часов – что бы вернуть 100% окружения назад. Быстрее не получается, ибо ограничен скоростью ноутбука и интернета. Максимальные потери – с начала рабочего дня. Все, что мне необходимо на данный момент – это ноутбук и быстрый интернет.

Итак, что необходимо для получения аналогичного?

Во-первых, компьютер с нормальной и привычной вам инфраструктурой. Представьте себя в командировке в далеком городе. У вас сгорает синим пламенем ваш любимый ноутбук. Что делать? Лучшее решение: тупо идем в ближайший компьютерный магазин и покупаем новый ноутбук. Попытка ремонта или привоза “трупика” домой – все это потери времени, а его обычно всегда не хватает. Мой выбор на данный момент – MacBook. Просто, удобно и unix внутри.

Во-вторых, приучите себя использовать систему хранения паролей. Все пароли, ключи, сертификаты или конфигурационные файлы должны быть там. Все, что необходимо вам помнить – это как добраться до этой системы и мастер-пароль. В свое время я выбрал 1Password и ни капельки об этом не пожалел за 5 лет.

В-третьих, приучите себя использовать системы контроля версий. SVN, Git, Mercurial – что угодно, но в этой системе должны лежать все документы и файлы, которые представляют для вас хоть какую-то ценность. Да, поначалу будет тяжело, особенно если вы не представитель ИТшной области. Очень ограниченным паллиативом будет покупка аккаунта в дропбоксе или в другом хранилище файлов. Там тоже появляются возможности про сохранение версий документов и их “отката” при необходимости.

Так же очень полезно завести на каком-нибудь облачном хранилище файлов каталог, в который вы будете складывать дистрибутивы программ. Да, сейчас есть много магазинов приложений (например, встроенный в Apple или Steam. Что-то аналогичное есть у Windows), который после ввода заветного логина и пароля дадут поставить вам все назад. Но до сих пор есть куча приложений, авторы которых по каким-то причинам не могут или не хотят публиковаться в таких магазинах.

И когда вам потребуется поставить такое приложение, то легко можно столкнуться со следующими проблемами:

– Нужной версии уже нет. А доступная версия требует покупки. Да, можно списаться с автором или поискать в интернете, но это потеря времени.
– Для скачивания версии необходимо зарегистрироваться/залогиниться на сайте, потом они пришлют ссылку, по которой скачается “качальщик”, который и начнет скачивать нужное.
– Дистрибутив большой или лежит на медленных серверах. Пока скачаешь …

Наличие своего, персонального архива нивелирует эти проблемы практически одним махом.

И вот только после этого можно поставить какую-нибудь систему резервного копирования (Acronis Backup очень даже, не смотря на мелкие глюки). И натравить её на всё вот это скопом для создания последней “линии обороны”.

Ну и регулярно проводить восстановления накопленного непосильным трудом. Повторюсь, в первые разы вы обязательно что-нибудь потеряете или забудете и это нормально. Еще раз – абсолютно нормально. Это для того и надо, что бы когда это случилось внезапно, у вас был четкий план, что и когда делать.

Вот как у меня происходило это в последний и предпоследний раз (я пролил кофе на ноутбук и просто захотелось)

1. Сносим диск и ставим операционку с нуля.
2. Как только она поставилась, идем в родной магазин приложений и ставим хранилку паролей. Затем клиент для “облачных облаков”.
3. Запускаем все это. Доступ до паролей получен, основные файлы (типа инсталлятора vpn) пошли заливаться на ноутбук.
4. Запускаем установку необходимого из Apple store. Всякие slack, things и прочее.
5. По мере установки всего я уже могу начинать пользоваться ноутбуком. Да, почта не вся засинхронизировалась или индексатор не прошел по всем файлам, но я уже могу что-то делать.
6. Восстанавливаем из системы контроля версий последние проекты и разворачиваем файлы конфигурации.
7. По мере необходимости ставим тот софт, который не требуется “прямо сейчас”, но нужен регулярно.
8. Оцениваем потери и думаем над шагами, которые надо сделать, что бы это не повторилось.

Все. Первый раз сложно, в 10й – просто. Главное тут – регулярность.

Пробую ATI 2017 на зуб. День 3. Разрыв шаблонов.

Сегодня я хотел заняться версией Acronis True Image для Windows, но в комментах меня спросили: а каким образом ATI для Android восстанавливает программы? И в самом деле, такой функционал не был заявлен … Результат: я посыпаю голову пеплом и каюсь в своем несовершенстве. Программы и прочее восстановил толи гугл, толи самсунг своим софтом. У меня SGS6 и пока я там вводил пароли и делал прочие действия после сброса, эти злобные искажатели истины все вернули “как было”. Издержки цифрового мира с хорошим каналом в интернет.

Не проблема, опять сброс, но теперь я везде жамкаю “отмена”, “не надо” и “нету у меня никаких паролей”. Ставлю ATI и прошу вернуть все назад. Крутится индикатор и на телефон постепенно возвращаются мои смски и фотографии. Никаких обид и разочарований. Но я не я, если бы не нашел один обидный ляп.

ati03-01

Не важно, из-за чего произошла ошибка (в данном случае я злобно выключил WiFi прямо на взлете), ATI будет висеть на этом экране, даже если условия изменились. Проверил путем оставления телефона на ночь. Мелочь, но очень неприятная мелочь. (делая пассы руками в сторону офиса Acronis) я полностью уверен что скоро это поправят …

А теперь об обидном для меня. Я как-то привык, что софт для маков лучше и функциональней софта для виндовса. Или как минимум выходит раньше. Или хотя-бы просто симпатичней. Но ATI для виндовса полностью порвал мне этот шаблон. Windows версия превосходит OS X версию как президентский лимузин ржавую “копейку”. И то и то доставит вашу пятую точку из пункта А в пункт Б, но на лимузине это будет приятней.

Так вот. ATI для Windows и есть тот самый лимузин. Сравните окно настроек для OS X (честно, я его нашел только после того, как мне виндовс версия ненавязчиво так его подсунула)

ati03-02

И окно настроек для Windows

ati03-03

И да. Данные окна прямо и однозначно указывают на мою ошибку вчера. Acronis True Image является полноценным софтом для резервного копирования и только Android версия ущемленная. Расставив галочки как вам надо, можно получить любую схему копирования. В общем, был категорически не прав, в чем и подписываюсь.

А сколько в Windows-версии опций! Начиная от возможности слать оповещения о проведенном копировании и предупреждения о заканчивающемся месте и заканчивая мелочами типа “при копировании на внешний диск сделай так, что бы с него можно было загрузиться”. Про приятные мелочи типа “разбивай архив так, что бы залез на CD/DVD/BlueRay/Ещекуда” даже не стоит упоминать. Оно там просто есть.

На этом моменте проверяю, что все везде зелененькое …

ati03-04

… все везде копируется и “в облако” и “на диск”. Теперь я насильно “забуду” про софт на некоторое время, а потом посмотрю, что надо будет делать, когда “внезапно” что-нибудь случится.

Пробую ATI 2017 на зуб. День 2. Восстановление …

Прверил в очередной раз, что все статусы везде зелененькие, я решил внезапно вспомнить и попробовать восстановить удаленное. И тут меня ждал грандиозный облом. Но давайте поподробнее.

Если коротко, то опять во всем виноваты мои любимые маркетолухи. Дело в том, что Acronis True Image – это софт не для резервного копирования, а для disaster recovery. Дословный перевод: “восстановление после аварии”. В чем разница?

Классический софт для резервного копирования обеспечивает возможность вернуть состояние чего-либо назад с определенной гранулярностью. Например, в течении дня – на любой час, в течении недели – на любой день, в течении месяца – на любое воскресенье, а в течении года – на любое первое число.

Софт для восстановления после аварии действует по другому. Вся его задача это обеспечить максимально быстрое восстановление системы “как было ДО”. И вот Acronis True Image – именно софт для восстановления после аварии. Остальное по такому же принципу, что и в “облаках”.

Хорошо это или плохо? Для обычного пользователя – однозначно хорошо. Нет никаких заморочек со всякими планами, зато есть уверенность в том, что все будет хорошо.

Решил и я проверить, насколько будет мне хорошо. Беру телефон и сбрасываю его в “заводские” настройки. Прохожу все положенные “далее-далее” и первым делом ставлю ATI. Там сразу же давлю на “восстановление”.

Точно такой же экран, как и при копировании, только про восстановление. И … это было реально быстро. Буквально за 5 минут я получил свой телефон назад. Со всем настроенным и предустановленным софтом. Единственное напоминание, что текущее состояние не забекаплено:

ati02-01

Повторный бекап прошел минуты за две. И опять все зеленое и симпатичное. Это реально впечатляет.

Теперь с десктопным софтом. А вот тут все плохо. Вообще и полностью.

Во-первых, функционал “архива”. Ну это классический dropbox/onedrive/придумайте сами. Выглядит это так

ati02-02

То есть два каких-то диска/шары. “выброс” любого одного ведет к полному выключению функционала. И это не включить назад до перезагрузки. На мой взгляд, это ужасно.

Во-вторых, любая попытка восстановить файл/диск отправляет на веб-страницу. Там может показать что-то полезное, но в 95% вы увидите что-то вроде этого

ati02-03

Пару раз у мне улыбалась удача и я смог добраться до каталога своих файлов. Более того, пару раз мне удалось получить окошко с предложением чуть-чуть подождать и получить свой файл

ati02-04

И даже более того, один раз я все-таки скачал назад свой удаленный файл. Да, я скачал назад удаленное.

Но представьте свое состояние “у меня все упало, все разрушилось”, а тут такое …

Пробую KIS на зуб. День третий, детский

За всеми этими развлечениями я пропустил (ну или специально оставил на вкусное) одну из самых главных штук от “касперского” – Kaspersky Safe Kids.

Ну там “вы знаете, где ваш ребенок, с кем он общается и вообще, злые дяди не дремлют”. На папу в моем лице это действует. Поэтому беру свой андроид и айпад и ставлю туда Safe Kids.

Ставится просто, говоришь пароль от кабинета, потом указываешь, кто пользуется этим устройством. Почему-то нельзя сделать совместное. Или родители или дети.

После установки согласно возрасту ребенка, рейтингу программ и какой-то внутренней базы делается сопоставление, какие программы можно запускать ребенку, а какие – нет. Про те, что не попадают в базу – запрашивается разрешение у родителя.

kis03-01

Если программа однозначно не попадает, то на андроиде ребенку можно попросить разрешения ее запустить. На apple ребенок не сможет – он просто не увидит “вредного”

kis03-02

После прогулки по кабинету я увидел ужасное. Пиарщики “касперского” потеряли офигенный шанс. Чем отличается платная от бесплатной? А фиг его знает – купи, там увидишь.

kis03-03

На самом деле там обещается дать возможность видеть где устройство и если android, то еще и читать смски ребенка (iOS не дает сторонним программам доступа к смс).

Еще в “детях” обещается дать возможность лимитировать время использования устройства и объемы трафика, но это я не исследовал, ибо на мой взгляд это бессмысленно.

Поигравшись еще немного, я с чистой совестью могу вынести вердикт.

Kasperksy Safe Kids for Android – полезная и хорошая штука. Если у вашего ребенка планшет-телефон на андроиде, то рекомендую купить и настроить. Как ни странно мне писать, но в данном случае “касперский” закрывает кучку ляпов гугла и сводит управление в одно место.

Kasperksy Safe Kids for Apple – бесполезная штука. iOS прямо “из коробки” предоставляет полный набор для управления детскими устройствами. Более того, “продвинутый” ребенок спокойно снесет Safe Kids “без шума и пыли”. Да, опять же можно отобрать пароли на установку-удаление программ, но это сводит весь смысл защиты в ноль.

На этом тестирование программ “от Касперского” считаю нужным прекратить. Из всего многообразия предложений для меня мог бы подойти “детский вариант”. Но у моего ребенка айпад, а там все есть давно …

ЗЫ и еще у меня есть две лицензии для “кисы”. если кому горит, могу поделиться.

Пробую KIS на зуб. День 2. Android.

Вообще-то KIS в данном контексте следует звать KISA. Kaspersky Internet Security for Android. Правда для меня лично “Киса” совершенно однозначно ассоциируется с Кисой Воробьяниновым. Но миллионы хомячков ошибаться не могут …

Установка проходит как обычно. Заходим в play store, кликаем, ставим, открываем. Одно неловкое движение и …

kis02-01

… минус 300 рублей. Очень хорошо сделано это место, можно ставить пятерку с плюсом. Ну, хорошо, премиум так премиум.

Проверяюсь от и до. Вдруг у меня уже злобные трояны сидят?

kis02-02

И тут опять отличились маркетолухи. Кнопка ОК никак не подсвечена, зато Recommend Protection нажимается на автомате и вызывает мессенджер, в который засовывается реклама.

kis02-03

Ну ок. Отрекламировались (обратите внимание: на картинке планшет весь в вирусах). Проверили телефон. Теперь я как обычный пользователь, решаю пойти найти приключений на свой смартфон. Скажу сразу, у меня не очень большой опыт в этом деле, но я постарался. Я даже язык для телефона сменил, что бы было понятней.

Пытаюсь скачать классический тест для антивируса.

kis02-04

Провал. Пробую второй тест

kis02-05

Поймал. Ну .. ладно, eicar в принципе для десктопа, ловить особого смысла на смартфоне нет, ибо десктоп должен защищать десктопный антивирус.

А теперь реальная жизнь. Из-за стоимости андроидов и либеральной политики гугла очень значительная часть пользователей любит халяву. Это факт и с этим надо жить.

В общем, я решил поставить какую-то игрушку с одного из порталов. Все мои жопные чуйства говорят о том, что меня будут иметь. Но мне можно, я знаю, как с этим бороться. Но предупреждаю: без подготовки такое кончится плохо!

Первое предупреждение. От браузера.

kis02-06

Второе предупреждение. От андроида.

kis02-07

Третье предупреждение. От андроида же.

kis02-08

… и все. Приложение установилось. И запустилось.

А Киса? А Киса считает, что все хорошо. Даже после полного пересканирования системы. даже когда я подождал (ну вдруг оно сигнатуры отсылает и базы обновляет?)

kis02-09

Я не поверил. Переустановил кису. Снова заплатил еще 300 рублей (да, они молодцы, я же уже говорил?), снова просканировал … Пусто.

Да даже если бы киса где-то бы и возмутилась, пользователь, пропустивший столько предупреждений, точно так же бы проигнорировал и это.

Результат: Kaspersky Internet Security for Android абсолютно бесполезная штука за 300 рублей. И батарейку не жрет.

ЗЫ А тот магазин, как и положено, засунул мне в календарь кучку событий типа “успей скорее скачать” и чего-то еще. Но аккаунт был тестовый, поэтому грохнул и все.

Пробую KIS на зуб. День 1. Десктоп.

У Касперского всегда были хорошие пиарщики. Любую фигню способны преподнести так, что человеку неподготовленному кажется, что еще чуть-чуть и все. На этот раз в мою ленту прорвались стенания о том, что злобный Microsoft ужасно гнусно поступает с белым и пушистым Касперским и вообще, всячески ему не докладывает мяса. А пользователи все поголовно под угрозой и страдают.

Голова у меня была переполнена вопросами по работе, поэтому для “перезагрузки” и “отдупливания” решил взять и посмотреть, что же изменилось с “касперским” за те года, когда я его последний раз удалял с машины благодарного (потом) пользователя.

Пробовать буду на всем доступном мне зоопарке машин и планшетов. Основная цель: выяснить для себя, стоит ли платить за предлагаемое. Цель: проверить насколько Kaspersky Internet Security со товарищами способен защитить меня и моего ребенка от ужасов из интернета. При этом я не буду использовать свои навыки для преодоления препятствий. Ну и кроме “касперского” все защитное будет отключено.

Первым делом примеряю на рабочий ноут. MacBook Pro и прочие ретины. Ставлю, запускаю, обновляю и иду по галочкам.

Первый минус. По умолчанию не включена защита от отслеживания.

kis01-00

И тут же обнаруживается второй минус. В “исключениях” обнаруживаются сайты, которые занесли денег, что бы им было можно. Стыдливо скрыто за “будут проблемы”

kis01-01

Смело снимаем галки, ибо проблем там не будет. Надеюсь, нигде нету третьего списка, в котором вообще самые привилегированные сайты …

Проверяю еще раз, что все включено по максимуму и иду в гугл с запросом “мокрые киски”.

kis01-02

Иду по сайтам, отмеченными как безопасные (зелененький логотип рядом с ссылками). Большинство недоступно из-за включенных фильтров, но буквально пятая или шестая ссылка дают искомое.

kis01-03

Я специально отмотал страницу так, что бы ничего этакого не было видно. Но по кликам там видно все.

Где-то тут я обнаружил, что музыка в iTunes умолкла. Быстрое расследование показало, что “касперский” заблокировал сервис.

kis01-04

Категория конечно, притянута за уши, но ладно. Добавил в исключения, музыка заиграла.

Решил попробовать вести себя как ребенок.

kis01-05

Пара кликов и результат

kis01-06

На скриншоте уже видно, что кусочек заблокирован. Покликав по ссылкам, я выяснил подробности про монастырский чай, морщины и алкоголизм без каких-либо проблем. Но при попытке купить “касперский” немного реабилитировался.

kis01-07

Кстати, а можно почитать про конкурентов?

kis01-08

Странно, при этом сам сайт “касперского” доступен и я прекрасно дошел до стадии “нажми на кнопку и купи”. Попробуем почитать документацию про микроконтроллеры

kis01-09

Или этот сайт

kis01-10

Перехожу на Виндовс. Обычный десктоп, Win10 со всем включенным. Для начала мне предложили поставить шпиона за мной. Не понял, “касперский” защищать меня должен или как?

kis01-11

Опять прошелся по всем галочкам, поснимал “разрешить” и повключал “заблокировать”. Результат превзошел все ожидания. Любое открытие любой страницы превращается в пару минут бульканий от оповещений. Очень информативно, да?

kis01-12

Да, страницы нынче все забиты маяками, счетчиками и шпионами. Но обычный пользователь озвереет от всего этого бульканья очень быстро и тупо разрешит виндовсу заблокировать это приложение. Да, виндовс реально заботится о пользователе и понимает, что когда какое-то приложение начинает спамить, то это явно не то, что ожидает пользователь. А отключение оповещалок в самом “касперском” запрятано настолько далеко и неочевидно, что лично я нашел страницу не с первого раза. Да и вообще, я бы уже удалил “касперского”, но решил досмотреть.

После всех выключений на экран выползло приглашение воспользоваться защищенным соединением. Типа пароли своруют и деньги с карточки тоже. Ну ок, давай. В бесплатной версии можно только “в россии” быть, поэтому на порнохаб зайти не удалось. Да и вообще никуда не удалось.

kis01-13

Как видно по счетчику, какой-то трафик идет, но ничего не открывается. Я как обычный пользователь, попробовав пару раз, закрою эту штуку и больше никогда не открою и не вспомню. Как админ я на соседнем компе запустил tcpdump, поглядел на происходящее в сети, нашел причину и тоже больше никогда не открою и не вспомню про эту штуку.

Что там еще? В настройках меня настойчиво приглашали пройти в “мой кабинет”. Ок. Тыкаюсь.

kis01-14

Странно, да? Мобильных телефонов два, хотя это один и тот же, а десктопа с виндовсом нет. Проверил еще раз и даже попробовал вручную добавить.

kis01-15

Нету. Мало того, этот сайт постоянно желает свернуться в одну колонку, что раздражает неиллюзорно.

Что у нас осталось? Вирусы-квартирусы? Ну ок, открываю папку Junk в почтовом клиенте. У меня много широко известных адресов, поэтому троянов и прочей гадости мне сыпят много и регулярно. Открываю письма и пытаюсь скачать приложенный файл, одновременно поверяя его на virustotal.

Скриншоты мне уже делать лень, ибо лицо болит. Но в общем и целом тотальный провал. Все, что свежее и пришло сегодня, открывается без проблем. Дальше в зависимости от удачливости вирусописателя.

То, что пришло вчера, открывается где-то 50 на 50. Логики не уловил, ибо может пропустить одно письмо и заблокировать другое из одной и той же рассылки.

То, что старше пары дней, ловится 100%.

В принципе, такое поведение ожидаемое и понятное, но почему-то польский (не уверен, но вроде да) ArcaBit и Mcaffe ловят практически все, если судить по отчетам virustotal. Нет, у них тоже есть пропуски, но они единичные.

Что в остатке из рекламируемого? Сходим, почитаем, что вообще он должен уметь.

Расширенный уровень защиты. Контроль интернет трафика. Полный провал.
Анти-Спам и Анти-Баннер. Отфильтровывает опасные и нежелательные электронные письма и блокирует рекламу в виде баннеров. Что? Сбегал на anekdot.ru, как на эталонный “есть всио”.

kis01-16

Провал … Дальше?

Родительский контроль. Позволяет отслеживать, ограничивать или блокировать действия детей в интернете. Ну … ок. Как тупой фильтр по адресам вроде работает.

Защита в реальном времени. Обеспечивает защиту компьютеров от известных и новых угроз. Ну на троечку, защищает да.

Остальное не пробовал, ибо либо бессмысленное, либо является попыткой повторить более успешные программы.

Вердикт: Kasperksy Total Security покупать абсолютно бессмысленно. Есть куча программ либо дешевле, либо с более богатым функционалом.

Kaspersky Internet Security … ну если вам некуда деть денег или не хватает разума не открывать все письма и ссылки подряд, то покупайте. Иначе тоже нет смысла.

О зимней резине замолвлю я слово …

Внимание! Текст далее содержит много нелицеприятных высказываний в разные адреса.

По натуре я технарь и поэтому любые сравнения предпочитаю производить с цифрами в руках. А когда цифры невозможно получить, то опираюсь на собственные ощущения … которые тоже стараюсь подкрепить цифрами. А где еще так сплавляются цифры и ощущения, как не в машинах? И одна из самых животрепещущих тем – это выбор резины. Бои идут жестокие и кровопролитные, со всеми полагающимися атрибутами. А тут внезапно так случилось, что у меня совпало наличие финансов и желание сменить резину на своей машине. Пошел выбирать и обомлел: нормальной зимней резины в москве нет. Пожаловался об этом в фейсбучек, попутно обозвав хаккапелиту дерьмом … Срача не получилось, но мне задали вопрос: а какая нормальная-то? Вот и решил написать, с “чуйством, толком и расстановкой”.

Давным-давно, когда у нас в семье была одна машина, да и та ситроен с5, мы как прилежные автолюбители летом ставили летнюю резину, а зимой – зимнюю. И там и там хорошую, дабы быть полностью уверенными в своей безопасности и так далее. Пару раз нас на липучках срывало в занос, но я все списывал на “ездить надо аккуратней”. А потом у меня появился Д2. На старой зимней резине. Первым делом я проверил соответствие резины требованиям и успокоенный, начал привыкать к машине и ее повадкам. Шло время, я ездил и наконец настало лето. А я на зимней. Почесав затылок, решил просто ездить чуть потише (у зимней летом тормозной путь больше) и копить деньги на полностью новый комплект резины.

И как-то раз я внезапно обнаружил, что пошел дождь. Сильный ливень. Нет, я не потерял управление, это было позже (смаил). Я обнаружил на стоянке большую лужу. Метров 50 длиной и несколькими сантиметрами глубиной. Так как мне было интересно, что происходит в реальности, когда машина влетает в лужу, то я начал старательно её разбрызгивать. Сначала потихоньку, потом все увеличивал и увеличивал скорость, постоянно отслеживая реакции машины. И где-то на 60-70 километрах в час я начал стабильно всплывать. Где-то на 90 километрах в час начали всплывать и задние колеса. Сказать, что это меня впечатлило, значит попросту соврать. Ощущение, которое возникает в тот момент, когда ты понимаешь, что машина едет по инерции и кручение рулем не оказывает практически никакого влияния на траекторию … В общем, рекомендую испытать, но только в контролируемой обстановке.

Ощущение заставило меня начать разбираться, в чем же причина. Зимняя резина, глубина протектора была миллиметров 8-10, должно хватать, а не хватает. Я попытался посчитать “почему”, но сломался на уравнениях. Просто не осилил кучу формул. Просто поставил себе условие “сильный дождь? скорость не больше 60 км/ч!”.

Все было хорошо в моей картине мира, пока я не купил новые покрышки BFG MT KM2. Первые километры я был как на вибростенде: своей пятой точкой я ощущал каждую шашечку на покрышке! Потом прикаталось – привык и я забыл о своих изысканиях на некоторое время. Потом опять прошел дождь и я снова увидел ту же самую лужу. У меня же новая резина, надо понять, когда всплывать начнет! Резина показала всю свою “сучность”: я тупо не смог разогнать машину до “всплывательных” скоростей, ибо мне не хватало места для разгона и остановки. Но до 120км/ч я разгонялся. Она не всплывала. Напрочь. Запомнив этот факт, я просто продолжил ездить дальше.

Наступила зима. Все вокруг буквально кричали: “ты чего, зимой на мудах? Идиот! Покупай зимнюю!”. А у меня снова денег не было и я продолжал ездить. Но опять включил “автобусный” режим, ведь муды не для зимы и все такое. И как-то внезапно обнаружил, что вообще-то машина на дороге чувствует себя значительно уверенней, чем ситроен на зимних липучках. То есть с одной стороны везде все говорили и писали, что грязевая резина зимой – практически верный трындец, а я ощущал и видел совершенно другое. Я просто и тупо ехал там, где другие джипы, кроссоверы и прочие пузатерки на “настоящей зимней резине” елозили и буксовали. А однажды, когда я поехал по нечищенной полосе (ну чего, всего сантиметров 20 снега, из них плотного, собранно с других полос, сантиметров 15) в обход пробки, то буквально спиной почувствовал “лучи добра”, отправляемые другими водителями в мой адрес.

И я снова стал разбираться, в чем-же разница и кто прав и виноват.

Для начала я забурился в шинный магазин и начал банально щупать все попавшееся под руку.

Первым выводом стало очевидное: зимняя резина мягче, чем летняя. В принципе, все логично и никем не подвергается сомнению. Разный состав и прочее. Из видимых последствий: на летней резине зимой колеса после стоянки “квадратные”, а на зимней летом – большая дистанция торможения. Тут все ок.

Второй вывод стал неожиданным: зимние “липучки” отличаются от “злых летних” только глубиной протектора. Ну может быть чуть большими канавками. Это я обнаружил случайно, когда сравнивал кучу покрышек и попросту запутался. Казалось, я вот нашел коренное отличие летней резины от зимней, как тут же обнаруживался выбивающийся из этого правила. Я сам себе не поверил и начал делать “слепое тестирование” среди знакомых. Это когда показывается что-то, лишенное всяких лишних признаков и задается вопрос. У меня был простой: какая покрышка летняя, а какая зимняя? Вот вам для примера, что бы было понятней.

Screen Shot 2013-12-12 at 11.43.27

Думаю, смысл эксперимента понятен. Как и результаты: большинство ошибалось.

Последний вывод получился чуть попозже, но он уже был ожидаемым: нас разводят. Как обычных лохов. Сейчас объясню. И что бы не быть голословным, можете глянуть в любой шинный тест. В более-менее приличных еще и публикуют фотографии с тестов. Для примера я взял первую попавшуюся из журнала “зарублем”. Вот типичная картинка (За такие картинки надо прямо-таки спасибо сказать всяким маркетолухам и журнашлюшкам, которые считают, что так покрышка выглядит красивей и привлекательней)

Screen Shot 2013-12-12 at 12.02.41

А теперь типичная картинка с тестов грязевых шин зимой

OLYMPUS DIGITAL CAMERA

Ничего этакого не замечаете? Вот прямо-таки бросающегося в глаза?

А теперь задайте сами себе вопрос “как эти покрышки могут работать, если они все забиты снегом?”. Куда маркетолухи могут засунуть всякие водоотводящие канавки, вы думаю догадаетесь сами.

И снова задайте себе еще один вопрос: “чем кардинально отличается снег от грязи, кроме температуры?”. Ответ будет “да практически ничем”. Ибо и снег можно найти рассыпчатый и слипшийся, и грязь бывает разной. Этот же ответ сразу же и объяснит, почему грязевые колеса зимой легко и спокойно дают фору практически всем зимним покрышкам с инновационными протекторами. Там, где обычные покрышки зарастают снегом и превращаются в слики, грязевые только-только начинают ощущать сопротивление снега. Вспомните об том, что “хакка рулит”, когда увидите помигивающие значки антипробуксовочных систем при разгоне или обгоне. Если увидите.

“У грязевой состав резины летний и зимой они дубеют и не работают!”. Прокатитесь на любой резине достаточное количество километров и потрогайте ее рукой. Сразу поймете, почему всякие кремнеорганические смеси должны уместиться рядом с водоотводящими канавками.

Но почему же тогда все не ездят на грязевой резине, ведь она такая клевая?

По порядку:

Во-первых, грязевая резина тяжелее обычной. А это значит хуже разгон, больше потребление горючего, больше нагрузка на подвеску. В наш век, когда бабахнутые на всю голову экологи вместе с маркетологами портят все, до чего смогут дотянуться, это очень немаловажный факт. Например, я был очень удивлен, узнав, что у то ли ауди, то ли бмв, подвеску стали делать из аллюминия!

Во-вторых, грязевая резина гораздо шумней и вибронагруженней. А нынче водители пошли изнеженные, им подавай комфорт и прочие прелести жизни. А если температура будет ну очень низкой, то первое время колеса будут квадратными и в салоне будет не так уютно …

И наконец, грязевая резина просто отвратительно ведет себя на льду. Говоря другими словами, если вы внезапно выехали на лед, то можете делать что угодно: машина будет скользить по старой траектории. И на льду спасут только шипы …

Кстати, шипы. Еще один повод нагреть нам уши. Нет, я совершенно не спорю с тем фактом, что резина с шипами лучше резины без шипов. Но (опять это мерзкое но, да?) давайте вспомним основные посылы, тренды и прочую шелуху прошлых лет? “Смесь сделана более мягкой, что бы шипы при езде по асфальту не портились”, “смесь сделана более жесткой, что бы шипы лучше вгрызались в лед”, “смесь сделана адаптированной” и наконец, то, что толкают в этом сезоне “мы начали делать меньше шипов, что бы не уродовать дорогу. но шипы у нас стали настолько крутые, что ничего не изменилось или даже стало лучше”. Да и придумано попутно много всякого, вплоть до законов, ограничивающих число шипов на метр. Почитайте обзоры шин и сравните с обзорами от аудиофилов. Слова и выражения практически повторяют друг друга и основным признаком является куча текста с минимумом цифр.

Сначала мне казалось, что я один такой Д’Артаньян, а все вокруг дураки. Даже начал готовить шапочку из фольги и асбестовую прокладку на стул. Ведь все вокруг сравнивают поведение 5й хакии с 7й и обсуждают, что круче: континенталь или мишлен при езде на снегу.

Но постепенно поиск стал приводить к производителям, которые просто не имеют шанса продавить лобби всяких гандурасов, а значит, просто мало известны на нашем рынке.

Сначала проявился Maxxis, который штатно предусматривает ошиповку некоторых своих “грязевых шин”. МТ-754 и МТ-762 – готовые к ошиповке прямо с завода.

Screen Shot 2013-12-12 at 13.04.03

Потом проявился Kumho c Road Venture 834. И теперь я наблюдаю робкие попытки других производителей “расширить канавки” на зимних покрышках. У данлопа появились более-менее прилично смотрящиеся модели, еще кто-то мелькал …

В общем, изготовление шапочки из фольги я решил отложить. Теперь задача перешла в статус “где бы урвать комплект колес целиком” …

А остальным, у кого колеса “прекрасно очищаются” и “они не чувствуют разницы”, могу только посочувствовать, ведь лучше плохая зимняя, чем никакой.

Ура, первый повод обратиться на сервис?

(включая мимишечность) Уаз, он такой, все делает по писанному, даже если это не описано (мимими выключено). Но всё по порядку.

Вчера по какому-то наитию решил открыть Дрынь третьим ключом (тем, который без кнопочек). Специально взял только один ключ, что бы сымитировать полный абзац с гламурными ключами. Как и положено неофиту, по подходу к машине, я тупо начал вставлять ключ в замок. Не счистив с замка снег и лед. Какой я молодец я понял только тогда, когда ключ уперся в ледяную подушку внутри замка. Мне повезло, на улице было не так холодно и после серии отогреваний ключа руками я смог повернуть замок. И тут началось самое интересное.

Во-первых, сигналка заорала. Немного опешив, я решил что это правильно: вдруг замок свернули воротком. Открываю дверь, вставляю ключ в замок зажигания и завожу машину. Машина заводится, но сигналка орет. Сажусь, закрываю дверь, сигналка где-то секунд через 10 затыкается.

Во-вторых, сигналка “не снялась”. Вообще. То есть двигатель работает, я покатался взад-вперед, а индикатор замочка (не иммобилайзера) мигает. Стоит открыть дверь или подергать замок – снова начинает орать. Причем дергаем водительский замок – остальные тоже открываются-закрываются. Чудесно!

И наконец, у меня уже начали залипать концевики дверей. Спокойно, не торопясь, можно открыть дверь и протянув руку, прижать концевик.

Охренев мрачно, закрыл машину, послушав в очередной раз пипикалку и пошел домой.

Сегодня первым делом открыл инструкцию по эксплуатации, третью редакцию от 2013 года. Прямо с сайта уаза.

Охренел мрачно во второй раз.

В инструкции нет ни слова про открытие машины третьим ключом. И вот теперь гадаю, как машина должна себя вести при открытии “с ключа”. Может, кто подскажет?

ЗЫ В одном месте инструкции написано, что система поддерживает восемь ключей, а в другом – только четыре. Красота.
По крайней мере, если судить по инструкции, то с иммобилайзером все хорошо: без 3х обученных ключей машина не должна была вообще завестись. Или наоборот, все еще лучше и иммобилайзер отключен. Сегодня буду смотреть за всякими индикаторами.

ЗЫЫ Я в курсе про замену концевиков на нексиевские. Опять же сделаю отдельную тему.

Update: Добрый день, Вячеслав! Благодарим за обращение! Если сигнализация активирована при помощи пульта дистанционного управления (ПДУ), то и отключить её возможно только с помощью пульта. Обычный ключ механически открывает двери, встроенный в нём транспондер позволяет запускать двигатель, но деактивировать работу сигнализации возможно только с помощью ПДУ.
С уважением,

Клиентская Служба Ульяновского Автомобильного Завода

Время от заявки до ответа – 1,5 часа. Поверьте мне, как давно занимающемуся поддержкой – это охренненно быстрый ответ. И полный.

В общем, можно сказать, что сигналки в УАЗике нет. Это радует, меньше выкусывать будет надо.

A7510 или мучения

Старый видеорегистратор ушел вместе с машиной, а значит у меня появилась необходимость в новом. Недолго думая, купил по ранее описанной методике StreetStorm CVR-A7510.

e8e982f69b80a34ae52ccfdf01d113eb

Ну-с, в руке лежит хорошо, по описанию вроде ничего, приступим к длительному тесту за свои деньги. На данный момент этот видеорегистратор отъездил со мной на патриоте полторы тыщи километров или три недели, поэтому скоропалительных выводов уже не будет.

Крепление. На твердую четверку. Несмотря на “шариковую” фиксацию, дрожь от машины на регистратор не передается. Плюс питание от прикуривателя можно воткнуть прямо в подставку, поэтому вокруг регистратора не будет болтаться лишних проводов. Основной минус тут в конструкции быстросъемного крепления: одной рукой не отстегнуть, а когда отстегиваешь, сохранить “наведение” регистратора совершенно невозможно. Присоска крепкая, все мои покатушки, тряски и прочее выдержала.

Сам видеорегистратор. Тройка с минусом. Только из-за кнопок, которые не видно, не понятно как нажимать и зачем. Самая нужная кнопка (блокировка записи от стирания) находится в самом неудобном месте (самая правая нижняя). Зато кнопка включения-выключения записи находится на самом видном месте и нажимается легко. Радует только то, что обычно регистратор ставят один раз и больше к нему не прикасаются.

К небольшим плюсам регистратора можно отнести довольно часто обновляющиеся прошивки. Скорость обновления можете оценить сами

Screen Shot 2013-12-03 at 13.32.32

А теперь самое важное: те самые супер-фишки, которые маркетологи и рекламщики StreetStorm вытаскивают нам под нос:
– Формат SuperHD, Функция WDR для безупречной детальности при малых уровнях освещенности, Электронная стабилизация изображения, Активное шумоподавление, Auto ISO
Как бы сказать помягче … В общем, всё это разбивается о крайне низкое качество картинки, которое даже при ярком дневном освещении покрыто муаром. То есть картинка с офигенным разрешением, но вся расплывчатая. У меня очень большое подозрение, что внутри регистратор тупо увеличивает разрешение где-то с 1200х700, но миру печатать лень. На мой взгляд, качество картинки находится на уровне средненьких регистраторов, не выше. Мой старый снимал точно лучше. Что бы не быть голословным, вот видео, снятое в самых сложных для регистратора условиях.

Попробуйте разобрать хотя бы один номер на стоп-кадре. Не получается? А теперь смотрите, что в стоп-кадре, снятым при отличном освещении и небольшом движении (чуть-чуть побольше обычного тремора рук). Один-к-одному и все такое

Screen Shot 2013-12-03 at 13.45.22

Обратите внимание на размытие вокруг ровных границ. И это же место, при том же самом освещении и так далее, но снятое на Samsung Galaxy S4 Active.

20131203_134747

Думаю, разницу вы увидите сами … Остальные завлекалки на том же уровне. Особенно отличается LWDS – он пипикает когда угодно, но не когда я пересекаю сплошную полосу (каюсь, на съезде на заправку экперементировал)

Что еще осталось? Штука, которая втыкается в прикуриватель. Плюс: прямо на штуке есть usb порт для всяких смартфонов. Минус: эта штука постоянно вываливается из прикуривателя. Сначала я думал, что это особенность прикуривателя патриота (где-то когда-то читал, что наши прикуриватели от импортных отличаются. То ли глубиной, то ли еще чем). Купил разветвитель. Тоже самое. Вышел из положения подпиранием всяким валяющимся хламом.

И наконец что бы добавить пикантности получившейся неприглядной картинке: служба технической поддержки у StreetStorm тоже фикция. На телефоны не отвечают, на посланное в формочку с сайта тоже. Прошивка крайне сырая, постоянно что-то меняется (скажем, V5 вроде ничего, а V5.1 подключается к компу через USB только один раз, дальше надо искать что-нибудь тонкое и сбрасывать регистратор).

Вывод: в данный момент (3 декабря 2013) крайне НЕ рекомендую к покупке. CVR-A7510 совершенно не стоит своих денег.

Никто не останется без снимка на память …

Для некоторых первые километры на машине сродни первым шагам ребенка – точно такие же незабываемые и волнующие. А для кого-то наоборот, очень волнующими являются последние метры.

Когда я анализировал свою последнюю аварию, совершенную еще на Д2, то я очень огорчался, что у меня не стоял видеорегистратор. Человеческая память крайне избирательная и не желает хранить самые неприглядные моменты жизни, а надо. В последующем я подобные промахи не повторял: у меня всегда в машине стоял видеорегистратор. Кстати, видеорегистраторы не всегда используются для записи аварий – ингда на них попадают и просто смешные моменты, особенно если регистратор поддерживает функцию “детектор движения”. Опять же некоторые утверждают, что вид стоящего видеорегистратора дисциплинирует представителей полиции, но тут утверждать не берусь, ибо как-то у меня с ними получается ладить и без применения подобных средств массового поражения.

Итак, в машину необходим видеорегистратор. И он должен быть включен постоянно. Это дальше даже обсуждаться не будет.

Какие же регистраторы бывают и чем различаются?

Регистраторы бывают стационарные – когда блок, где происходит запись размещается отдельно и мобильными – когда сам блок объединен с камерами. Стационарные обычно ставят на коммерческий транспорт, когда необходимо регистрировать картинку с 3-4 камер, попутно обрабатывая данные от нескольких датчиков. Нам они не интересны. А вот мобильные, которые включаются в прикуриватель, крепятся на стекло и ведут съемку с 1-2 камер, нам и нужны. А различий у них море. Скажем, вот вы пришли в магазин, потерялись в море моделей регистраторов и жаждете помощи от продавца …

Первое, на что обычно обращают ваше внимание продавцы, это разрешение картинки. В принципе чем больше разрешение, тем лучше, тут спорить тяжело (четче картинка, можно разобрать больше мелких деталей, таких как номер машины вдали). Но как в большинстве других случаев, есть “честное” разрешение, а есть “китайское” (оно же интерполированное). В чем разница? В первом случае на карточку записывается именно та картинка, которую сняла камера. Во втором – “растянутая” по горизонтали и вертикали та же самая картинка. резкость картинки меньше, занимаемое на карточке место больше, а толку меньше. Сейчас с таким можно столкнуться только на откровенно дешевых и старых регистраторах.

Второй момент, к которому обычно привлекают внимание: наличие ИК подсветки. Дескать, это помогает лучше снимать в темноте. 100% обман. Ибо регистратор обычно находится близко к лобовому стеклу и все излучение ИК-светодиодов просто отражается от стекла. И хорошо, если не назад в объектив … Нет, конечно бывают случаи когда видеорегистратор снимают с крепления и идут с ним снимать куда-то в темноту. Но я ни разу не видел такой вариант использования.

И наконец, наличие GPS приемника. Без него регистратор – не регистратор, а так, камера на лобовом стекле. Опять же из личного опыта могу сказать, что GPS приемники в регистраторы ставят очень слабые и получить с ними “картинку со скоростью” получается не всегда. Плюс в спорных ситуациях показания GPS помочь не могут (у вас же нет сертификата точности на измеритель скорости?), а вот испортить отношение судьи – легко (кто из нас 100% соблюдает скоростной режим?).

На что же надо реально смотреть?

Во-первых, на наличие дисплея. Без него будет крайне сложно проконтролировать правильность установки регистратора и в дальнейшем контролировать запись. Но не гонитесь за размерами дисплея: вы покупаете не камеру. Размера в один дюйм достаточно.

Во-вторых, на механизм крепления. Если вы оставляете машину не только на охраняемых стоянках, то наверняка пожелаете убирать регистратор с глаз долой или вовсе забирать с собой. И рассматривая крепление, представьте, что перед каждой поездкой надо достать регистратор, прикрепить, включить и так далее и тому подобное. Думаю не будет откровением, что вскоре регистратор будет доставаться и включаться очень редко. И наконец, он будет выключен тогда когда он будет нужнее всего.

Следующий аспект, на который надо обратить внимание – это жесткость крепления. У нас не идеально ровные дороги. И если крепление будет хлипким, то к вибрации машины добавится еще и собственная вибрация регистратора, болтающегося на креплении. В результате даже самая лучшая камера запишет очень посредственную картинку. По моим наблюдениям, особенной хлипкостью отличаются крепления, где фиксация положения осуществляется “гайкой на шаре”.

И наконец, то самое разрешение и частота кадров, которые способен записать регистратор. Как я уже писал, чем эти числа больше и чем они “честнее”, тем лучше. Проверить это в магазине практически не возможно, поэтому придется принять декларируемое производителем.

“Но что же всё-таки купить?” – делюсь своим правилом, которое меня ни разу не подводило: мысленно выстраиваем понравившиеся регистраторы в порядке возрастания цены. И предпоследний (или предпредпоследний) – ваш. Последний обычно самый навороченный, с самыми большими возможностями. А предпоследний это обычно свергнутая с пьедестала бывшая топовая модель. Поверьте, для вас её возможностей хватит. (маленький совет: если выбираете регистраторы из средней ценовой категории, то наверняка эти регистраторы сделаны в китае. И чем более популярней регистратор, тем больше у него клонов и копий. Этот показатель тоже можно рассматривать как один из факторов)

“А еще?”. Если ваш выбор сократился до нескольких моделей, можно обратить внимание на другие, менее важные возможности регистраторов.

Запись звука. Очень полезно при конфликтах на дороге. Представьте себе “картинку с регистратора”: перед вами резко останавливается машина, из нее выходит водитель, подходя к водительской двери исчезает из поля зрения камеры, а через некоторое время прямо перед капотом происходит “битва нанайских мальчиков”, доведенная в последствии до суда. Без звука ваша версия может быть “остановился, он вышел, словесно оскорбил меня, я решил не спускать на тормозах”. А версия оппонента будет “вышел спросить как проехать в библиотеку, а он как кинется на меня”. Согласитесь, со звуком такие разбирательства пойдут гораздо продуктивней.

Вторая-третья камера. Некоторые регистраторы могут писать одновременно с двух или трех камер. У одних моделей одна камера смотрит вперед, а другая на водителя. У других вперед смотрят обе камеры, но у них разные объективы. В результате одна камера снимает дорогу как ее видит водитель, а другая – широко, но с искажениями. Возможность наверняка полезная, но в реальности я ни разу не видел удачного применения.

Форматы записей. Чем формат распространенней, тем больше шансов, что инспектор или судья увидят видео без лишних телодвижений.

“А можно дешево, но не сердито?”. Можно, хоть “кроилово и ведет к попадалову”. Самый простой вариант – использование специальных программ для смартфонов. Они используют встроенную камеру и пишут видео. Сам так ездил наверное с год.

Основные проблема заключается вовсе не в том, что смартфон надо включать-выключать. Проблема в том, что смартфон хочется поиспользовать еще для чего-то. Для карт с пробками, для звонков … Одновременную работу регистратора и навигатора тянут только современные смартфоны. Но есть и неочевидные проблемы. Например, когда я использовал Samsung Galaxy S для работы в качестве регистратора, то в солнечные дни смартфон выводил сообщения о недопустимо высоком уровне температуры батареи и прекращении заряда. Просто солнце нагревало. И ладно бы он прекращал заряжать батарею, так это окошко висело прям посредине экрана и при попытке закрыть его выскакивало снова.

Но рано или поздно может наступить момент, когда запись с регистратора запечатлеет момент аварии. Что делать? По этому поводу в интернете гуляет куча рассуждений про цифровую подпись и прочие ужастики. Но все проще. 

Для начала если есть возможность заблокируйте запись от удаления. У каждого видеорегистратора это делается по разному, но обычно удержанием какой-либо кнопки. Если не помните про кнопки, то просто выключите регистратор.

Если в аварию попали не вы, то обязательно оставьте свой телефон участникам. Существует очень большая вероятность, что этот шаг поможет невиновному отстоять свою правоту. А если есть возможность, то скопируйте ролик на запасную карточку  и отдайте (или просто отдайте свою). Деньги не большие, а хорошие дела обязательно вернулся сторицей.

Если к сожалению в аварию попали вы, то помимо обычных действий по вызову полиции, прикидыванию суммы убытков и прочего вы должны сделать только одно: максимально быстро легализовать свою запись.

Особенности российского законодательства таковы, что суду абсолютно пофиг на цифровые подписи видео, модель регистратора и остальные технические параметры. В случае каких-либо вопросов судья просто отправляет запись эксперту с вопросом: могла ли быть запись изменена/модифицирована/ещечто, при условии, что она сделана на дату Х.У.З, а легализована на дату З.Х.У?  И эксперт обязан предположить, что у потерпевшего/истца за спиной голливудская киностудия с кучей техники и аппаратуры. Да, это маразм, но это так.

В результате если запись легализована быстро, то ответ эксперта будет отрицательным и запись будет принята судом во внимание. А если вы притащили запись через месяц после аварии, на слушанье … В общем, суд даже не будет рассматривать запись, какой бы подлинной она не была бы.

Как легализовать? Самое простое: прямо на месте составления протокола указать, что у вас есть видеозапись и сделав конвертик, отправить флешку прямо с инспектором. Минус тут один: обычно конвертик сделать не из чего, инспектор открещивается от такого подарка, на флешке могут быть другие фрагменты, которые характеризуют вас с отрицательной стороны …

Алгоритм действий меняется незначительно: выясняете у инспектора его территориальную принадлежность и уже подготовившись (написав заявление, приложив флешку) сдаете все это в дежурку. В ответ вам должны будут (обязаны! они реально должны проверить каждое заявление) выдать талон, который и будет аргументом для суда.

Если по каким-то причинам вы профукали все время в полиции, то тогда уже надо подавать ходатайство в суд, что бы прикрепили видеодоказательства к делу. Но тут уже лучше подключать адвоката, он знает всякие умные слова и формулировки.

Стоит ли делать копии записи? На мой взгляд стоит, как и стоит об этом указать в протоколе, хотя я ни разу не слышал, что бы полиция “потеряла” правильно оформленные флешки. Обычные записи – да, “теряет” с завидной регулярностью.

Но лучше всего, что бы регистратор вам вообще не пригодился. Будьте аккуратней на дорогах!

PS Я специально не стал описывать версию программы для смартфона и модель регистратора, стоящего у меня. Хотя это DailyRoads Voyager и Street Storm CVR-A7510.