В комментариях к статье с настройкой OpenVPN читатель задал странный вопрос. Он обратил внимание, что в логах подключения клиента к серверу фигурирует пароль от закрытого ключа CA:

Mon Jun 16 16:25:21 2025 VERIFY OK: depth=0, CN=пароль_на_ca.key

Я сначала призадумался, прикинул, что такого не может быть. Сколько использую OpenVPN, никогда такого не видел. Следующим комментарием автор сам же и ответил на свой вопрос. Он по ошибке загнал пароль от CA в CN сертификата сервера, когда его создавал. А там должно быть имя сервера, CN = Common Name. Пароль надо вводить уже в самом конце, когда подписываешь сертификат.

Интересная ситуация, поэтому решил сделать по мотивам заметку. Такие ошибки на самом деле не редкость. Расскажу, на мой взгляд, одну из самых популярных ситуаций, когда невольно раскрывается важный пароль. Я и сам на такое натыкался, и от других видел не раз.

Когда торопишься и логинишься по SSH к серверу, особенно если не к своему и первый раз это делаешь, учётные данные ещё не сохранены, то можно в окно приветствия вместо логина сразу же вставить из буфера пароль. Тут же становится понятно, что ты ошибся, и со второй попытки ты всё делаешь правильно.

Но при этом твой введённый пароль вместо логина улетает в открытом виде в лог auth.log или какой-то другой и остаётся там. А если настроено какое-то хранилище логов, то он улетает дальше туда. Если так ошиблись, то сразу же зайдите в логи и подчистите за собой. А если это невозможно, то меняйте пароль, если есть вероятность, что логи может посмотреть кто-то, кому этот пароль знать не положено.

Ещё часто пароли светятся вот в таких конструкциях:

# mysqldump --opt -v --no-create-db db01 -u'root' -p'pass01' > ~/db01.sql'

Если вводите что-то подобное в консоль, то не указывайте пароль явно. Оставьте только ключ -p, тогда пароль у вас спросят интерактивно и он не попадёт в history. Ну а если попал, то удалите его после себя. Либо при запуске команды поставьте перед ней пробел. Но это не обязательно спасёт от сохранения команды. Данная возможность может быть отключена.

Палили так свои пароли? Я и по ssh, и в консоли палил. Благо это было не особо критично, так как чаще всего работаю со своими серверами я один, и чтобы всё это прочитать потом, надо быть рутом. А root это я и есть. Но о таких вещах стоит всегда помнить и следить за собой.

#security

Среди бесплатных панелей управления веб приложениями наиболее популярные и функциональные следующие:

▪️Hestiacp
▪️aaPanel
▪️Fastpanel

Из платных наиболее известные:

◽️Ispmanager
◽️Plesk

Я видел в работе уйму этих панелей, как и проблем с ними. Поэтому прежде чем идти дальше скажу важную вещь. Если вы можете обойтись без готовой панели, то сделайте это. Тем не менее, этот класс продуктов находит своих пользователей, поэтому продолжаем.

Не так давно, буквально пару лет назад, появился очередной представитель этого класса продуктов - 1Panel. Я где-то год назад увидел её, посмотрел бегло репозиторий. Решил подождать немного и посмотреть на развитие, прежде чем пробовать.

Продут активно развивается компанией из Гонконга, уже появилась коммерческая версия с дополнительной функциональностью. Про панель почти нет обзоров в ютубе и в тексте на русском языке, поэтому решил попробовать и написать своё мнение о ней.

Для установки есть готовый скрипт:

# curl -sSL https://resource.1panel.pro/quick_start.sh -o quick_start.sh && bash quick_start.sh

Он выполняет несколько простых действий:

◽️Скачивает архив с исходниками: https://resource.1panel.pro/stable/v1.10.30-lts/release/1panel-v1.10.30-lts-linux-amd64.tar.gz
◽️Устанавливает Docker и Docker Compose. Причём использует разные зеркала в зависимости от страны. Для Китая у него свои ссылки. Там уже привыкли, что тот же get.docker.com может быть заблокирован.

Понравился установщик. Он для каждой установки выбирает произвольный TCP порт, на котором будет работать панель, произвольный URL админки, пользователя и пароль. У меня получилось так:

[1Panel Log]: Internal address: http://85.145.174.199:34863/e6ec34009b 
[1Panel Log]: Panel user: 3b8e969cf7 
[1Panel Log]: Panel password: 4d96ac7542 

Разумный подход, который сразу решает проблему с перебором паролей и открытым доступом к панели через стандартную учётку.

Панель выглядит аккуратно и добротно, как по внешнему виду, так и по возможностям. Но увы и ах, я сразу же столкнулся с серьёзной проблемой. Магазин приложений этой платформы живёт по адресу apps.1panel.pro и закрыт через CloudFlare. А что у нас сейчас с CloudFlare? Правильно, его блочит РКН. В итоге магазин не работает :( Точнее он то работает, то нет. Не знаю, как там реализуется блокировка. Иногда что-то скачать удаётся, иногда ошибка: "timeout awaiting response headers". При этом через VPN работает нормально.

В итоге я даже не знаю, что сказать. Из-за блокировок CF для нас треть интернета отвалилось. Сама панель вполне ничего. После установки панели, надо в магазине приложений установить OpenResty. Это форк Nginx, который панель использует как веб сервер для остальных приложений.

Панель умеет плюс-минус то же самое, что и все остальные:

🔹Создание сайтов сразу с готовыми движками, типа Wordpress, RoundCube, Wiki.js и т.д.
🔹Установка популярных веб приложений, типа Gitea, UptimeKuma, Prometheus, Ollama, Portainer, Adminer и т.д.
🔹Сама себя бэкапит в разные хранилища: S3, WebDAV, SFTP, OneDrive
🔹Встроенное управление базами данных
🔹Управление контейнерами, можно свои запускать из Docker Compose
🔹Управление заданиями cron
🔹Управление файрволом на базе firewalld или ufw
🔹Управление LLMs, установленных тут же через Ollama
🔹Управление контейнерами и прочими настройками Docker через веб интерфейс. Есть почти всё, что нужно. Мне ни разу не пришлось лезть в консоль, чтобы что-то посмотреть или изменить.

По итогу, чтобы использовать эту панель, надо подключать сервер к какому-то VPN и адреса CF, благо они известны, роутить в VPN туннель. Чувствую, скоро это станет нашей обыденностью. Хотя в браузере у меня это давно обыденность. Если сайт не открывается, я тут же его с помощью плагина через прокси запускаю, который, соответственно, подключен через VPN.

Явный минус панели заметил только один – она работает только в однопользовательском режиме. Этот пользователь создаётся во время установки.

⇨ 🌐 Сайт / Исходники / Demo

#hosting_panel

Вчера обновился популярный онлайн редактор документов ONLYOFFICE DocumentServer 9.0. Давно знаю и работаю с этим продуктом. Он нравится больше любого другого бесплатного аналога. Хотя аналогов особо и нет. Есть только Collabora Online на базе LibreOffice.

Изменений не сказать, что много. Самое заметное - новый интерфейс. Он существенно отличается от старого, так что можно не узнать продукт, если мельком увидеть. Появилась тёмная тема. Не уверен, что именно в этом обновлении, но раньше я не обращал на неё внимание. Ещё много обновлений на тему внедрения AI в разные места.

Для тех, кто не знает, поясню, что это за продукт и какие вопросы закрывает. У компании целая линейка различных продуктов и сразу неочевидно, какой за что отвечает.

🔹DocumentServer - непосредственно редактор документов. Он полностью open source, но есть в платной и бесплатной редакциях. Ограничение бесплатной версии - 20 одновременно открытых вкладок на редактирование. Если их превышаешь, то документ открывается только на чтение. В целом, это комфортное ограничение для небольших коллективов. Не всем и не всегда нужно открывать документы на редактирование. DocumentServer интегрируется с множеством других популярных продуктов - NextCloud, OwnCloud, есть плагин для Wordpress и многих других продуктов. Так как это open source, есть исправленные версии сервера, где ограничение снято. Я лично их не использовал, но они легко гуглятся.

🔹Workspace - портал для совместной работы, который включает в себя помимо работы с документами через DocumentServer, почтовый клиент, CRM систему, управление проектами, календарь, wiki, чат, форумы. Сам портал полностью бесплатен. Есть коммерческие версии, где в состав включены лицензии на некоторые другие продукты.

🔹Desktop Editors - полностью бесплатные десктопные редакторы документов.

🔹DocSpace - ещё один продукт на базе DocumentServer, который организует отдельные комнаты с набором документов для совместной работы. Для него тоже есть бесплатная версия, но не смог найти описание ограничений. Раньше было главное ограничение - только одна учётная запись администратора, который всем управляет. Я лично этот продукт не использовал и нигде не внедрял. Не увидел применения.

Продукты Onlyoffice - пример качественного бесплатного ПО. Он легко ставится и настраивается. Ограничения лояльные и позволяют активно им пользоваться. Поставить и попробовать продукт очень просто (но в документации всё запутано, фиг найдёшь эти ссылки):

# wget https://download.onlyoffice.com/install/workspace-install.sh
# bash workspace-install.sh

Выбирайте установку через Docker. Скрипт workspace-install.sh скачает ещё один скрипт для установки через Docker - http://download.onlyoffice.com/install/install.sh. В этом скрипте есть проверка на наличие 8 GB оперативной памяти и 40 GB доступного места на диске. Для тестов можно урезать осетра и вручную подправить требования по памяти до 4 GB. Стек запустится и будет неспешно работать. Для комфортной работы памяти, конечно, лучше побольше отдать.

Скрипт всё сделает сам. Дальше нужно будет пойти в браузере по IP адресу сервера и выполнить начальную настройку. Всю настройку и обслуживание можно делать через веб интерфейс. В целом, там всё нормально работает. Но лично я для бэкапов пишу свои костыли на bash, не использую встроенные средства. Там необходимо скопировать непосредственно файлы (/app/onlyoffice) и дамп базы данных.

Если ищите себе продукт для совместной работы с документами, то обязательно попробуйте Onlyoffice. На его базе работает сервис документов Яндекса. Сейчас они запустили версию beta нового интерфейса. Не знаю, на базе чего он работает. На Onlyoffice уже не похож внешне. А текущая версия точная копия 1 в 1.

❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.

#onlyoffice #docs #управление_проектами