В далеком 2003-м году еще во времена первого «груба» один предприимчивый китаец с никнеймом Tinybit сделал форк с названием grub4dos — с целью адаптировать изначально линуксовый загрузчик для работы в среде MS-DOS. Одним MS-DOS дело не ограничилось, загрузчик прекрасно загружал системы под управлением Windows, а поддержка им NTFS и возможность загрузки из ISO-образов сделали grub4dos моим верным спутником на долгие годы для организации мультизагрузки на системах BIOS\MBR. Но шло время и UEFI потеснил BIOS, для линуксов с нуля был написан GRUB 2 и, казалось бы, для grub4dos наступил закат. К счастью (или к сожалению) мне не по нраву мигрировать на другие продукты только лишь потому, что «ну, пришло время обновиться», а это значит, что grub4dos наносит ответный удар.
Установка иконки раздела через реестр
В одной из своих прошлых записей я рассказал о том, как принудительно через реестр поменять название раздела локального диска, а сегодня я хочу дополнить эту заметку и рассказать о том, как можно назначить свою иконку (без костылей вроде создания autorun.inf в корне раздела). Если кратко, то принцип очень простой, нужно отредактировать реестр следующим образом:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\<буква_диска>\DefaultIcon
Имя: (По умолчанию)
Тип: REG_SZ
Значение: %Path%\to\icon.ico
Для применения изменений может потребоваться перезагрузка. Кстати, таким образом можно изменять иконки не только для локальных разделов, но и для подключенных сетевых дисков.
Отключаем создание System Volume Information на флешках
Опытные пользователи давно могли заметить, что в корневых каталогах накопителей обычно присутствует директория «System Volume Information». Если включены соответствующие службы, то эта директория служит для хранения данных точек восстановления, индексирования, теневых копий тома. Но даже если эти службы отключить, то директория всё равно будет создаваться. Даже на системном разделе я готов поставить целесообразность её наличия под вопрос, особенно — если используются сторонние решения для резервного копирования. Ну а на флеш-картах (или иных съемных накопителях) этой директории вообще не место, благо отключить её создание можно через реестр:
HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search
Имя: DisableRemovableDriveIndexing
Тип: REG_DWORD
Значение: 1
Единственный нюанс — при подключении накопителя к другому ПК директория «System Volume Information» будет создаваться вновь, т.е. понадобится провести подобную операцию на каждом компьютере, к которому предполагается подключать накопители. Более-менее разумный компромисс — это замещение на флешке директории «System Volume Information» файлом с тем же именем.
Работа с локальными смарт-картами по RDP
Когда-то давно (во времена Windows 2000 и Windows XP) пользователь мог без проблем работать с локальными смарт-картами (ЭЦП, токенами) рабочей станции или терминального сервера, подключившись по RDP. В Windows Vista механизм изменился, теперь в терминальный сеанс «пробрасывалась» смарт-карта клиента, а работать с подключенными к серверу смарт-картами стало нельзя. Так дела обстоят и поныне, кто-то использует альтернативные механизмы удаленных сеансов (VNC или даже какой-нибудь AnyDesk), в организациях часто встречаются аппаратные решения USB-over-IP, продвинутые пользователи могут использовать аналогичную программную реализацию. Ещё сюда можно приплести КриптоПро CSP, последние билды которого реализуют собственную службу локальных смарт-карт, но это уже что-то из разряда крайне сомнительных решений. Как обычно я предлагаю решение проще, лучше, радикальнее.
UEFI загрузка через PXE на Mikrotik
Всё чаще и чаще в мне руки попадают устройства без режима совместимости с BIOS (он же CSM). Ранее я уже делал заметку относительно организации PXE загрузки по сети на Mikrotik, сегодня же я хочу рассказать о том, как сделать загрузку гибридной — не только для систем на базе BIOS, но и для UEFI без CSM. Те читатели, кто уже успел поработать с UEFI, наверняка знают о принципе загрузки по умолчанию — если заранее не создавались пункты загрузочного меню, то UEFI будет пытаться найти загрузчик по следующему пути:
/EFI/Boot/bootx64.efi
Как это работает на практике: если скачать, например, EFI-версию утилиты Memtest86+ и переименовать извлеченный из архива бинарник mt86p_800_x86_64 в bootx64.efi, а затем расположить его по вышеуказанному пути, то система на базе UEFI самостоятельно его загрузит после включения. Общий концепт, надеюсь, понятен. Теперь же давайте откроем WinBox.
Черный список посетителей сайта на Mikrotik
Сегодня я хочу описать в некотором роде специфическую схему — которая, впрочем, может оказаться полезной для владельцев собственных интернет-ресурсов, размещенных за маршрутизатором Mikrotik. Не секрет, что практически все сайты непрерывно подвергаются сканированию с самыми нехорошими намерениями. Если открыть лог обращений, то в глаза бросятся запросы на предмет получения доступа к файлам конфигураций веб-движков, админок, личных кабинетов и прочего. Конечно, можно просто оставить доступ к значимым страницам только для определенных адресов (хоть бы и посредством .htaccess), но я предлагаю предпринять несколько более серьёзные меры. Если для простых заблудившихся посетителей достаточно показать обычную 404-ю страницу, то для всяких проходимцев нужно показать страницу не столь обычную — а какую именно я сейчас объясню.
Работа Firewall на Mikrotik по расписанию
Небольшое дополнение к предыдущей заметке относительно порта 80 — предполагается, что на маршрутизаторе настроены пробросы портов 80 и 443 до веб-сервера. При этом, фактически, доступность интернет-ресурсов по HTTP не нужна — за исключением работы с ACME, а она происходит по определённому расписанию. Следовательно, для полноты картины можно тоже включать и отключать правило проброса порта 80 по расписанию. Открываем WinBox и переходим в раздел «System», там выбираем пункт «Scheduler» и создаём новую задачу. В теле задачи пишем следующее:
/ip firewall nat set [find comment="HTTP"] disabled=no
Как нетрудно догадаться, вместо обозначения конкретного номера правила раздела «NAT» в «Firewall» мы ищем правило с определенным комментарием, в нашем случае это слово «HTTP». Это сделано для удобства работы — при таком подходе можно «тасовать» правила как угодно, это не затронет работу задачи в планировщике. В качестве альтернативы можно оперировать правилами не «NAT», а «Filter Rules»:
/ip firewall filter set [find comment="HTTP"] disabled=no
По образу и подобию создаются задачи на отключение правил. Имейте только в виду, что лучше задавать время с запасом — даже если вы уверены, что ACME отработает быстро и без задержек, нужно учитывать возможный «люфт» времени на Mikrotik относительно веб-сервера. А вообще, конечно, за временем нужно следить, синхронизация должна отрабатывать правильно и своевременно.
-
Свежие записи
Свежие комментарии
- Gabe Logan Newell к записи Редактор файла Hosts
Архивы
- Апрель 2026
- Март 2026
- Февраль 2026
- Январь 2026
- Декабрь 2025
- Ноябрь 2025
- Октябрь 2025
- Сентябрь 2025
- Август 2025
- Июль 2025
- Июнь 2025
- Май 2025
- Апрель 2025
- Март 2025
- Февраль 2025
- Январь 2025
- Июль 2024
- Ноябрь 2023
- Сентябрь 2023
- Август 2023
- Июль 2023
- Март 2023
- Ноябрь 2022
- Октябрь 2022
- Сентябрь 2022
- Июль 2022
- Июнь 2022
- Май 2022
- Март 2022
- Декабрь 2021
- Октябрь 2021
- Сентябрь 2021
- Август 2021
- Июль 2021
- Февраль 2021
- Январь 2021
- Апрель 2020
- Январь 2019
- Декабрь 2018
- Июнь 2018
- Январь 2018
- Ноябрь 2017
- Октябрь 2017
- Сентябрь 2017
- Август 2017
- Июнь 2017
- Май 2017
Рубрики
Мета