Scenariusz 1: Zabbix na LAN — wszystko w jednej sieci

To najprostszy i najczęstszy model. Serwer Zabbix stoi w tej samej sieci co monitorowane hosty. Agenty na serwerach raportują bezpośrednio do serwera Zabbix, który zbiera dane, przetwarza triggery, wysyła alerty i wyświetla dashboardy.

Jak to wygląda w praktyce

[Host 1] ──┐
[Host 2] ──┤── LAN ──── [Zabbix Server + Frontend + DB]
[Host 3] ──┘

Serwer Zabbix odpytuje agentów (passive checks) lub agenty same wysyłają dane (active checks). Wszystko dzieje się w jednym segmencie sieci. Nie ma firewalli po drodze, nie ma NAT-u, nie ma opóźnień WAN.

Konfiguracja

Minimalna. Instalujesz serwer Zabbix, stawiasz bazę (PostgreSQL lub MySQL), wdrażasz agentów na hostach. W zabbix_agentd.conf ustawiasz:

ini

Server=192.168.1.10          # IP serwera Zabbix (passive checks)
ServerActive=192.168.1.10    # IP serwera Zabbix (active checks)
Hostname=web-server-01       # unikalna nazwa hosta

I gotowe. Agent raportuje, serwer zbiera. Żadnego proxy, żadnych tuneli, żadnych komplikacji.

Zalety

• Prostota — jeden serwer, jedna baza, jedna instancja do zarządzania.
• Niskie opóźnienia — dane z agentów trafiają do serwera natychmiast, bo wszystko jest na LAN-ie.
• Passive i active checks bez ograniczeń — serwer ma bezpośredni dostęp do agentów, więc działają oba tryby. Możesz korzystać z remote commands do automatycznego restartowania usług.
• SNMP, IPMI, HTTP bez problemów — serwer odpytuje urządzenia sieciowe bezpośrednio, bez pośredników.
• Łatwy troubleshooting — jedna maszyna, jeden log, jedno miejsce do sprawdzenia.

Wady

• Skala ograniczona do jednej lokalizacji — jeśli masz drugi oddział albo sieć klienta, ten model nie wystarczy.
• Brak redundancji — padnie serwer Zabbix, padnie monitoring. W małych środowiskach to akceptowalne, w większych — nie.
• Brak separacji — serwer Zabbix widzi wszystko i ma dostęp do wszystkiego. W kontekście bezpieczeństwa i segmentacji sieci to niekoniecznie pożądane.

Kiedy stosować

Jedna firma, jedna serwerownia, jeden LAN. Monitorujesz swoje serwery, switche, NAS-y, UPS-y. Masz pełną kontrolę nad siecią. Nie musisz monitorować niczego zdalnie. To scenariusz dla 80% małych i średnich wdrożeń.

Scenariusz 2: Zabbix z active proxy u klienta

Tu zaczyna się ciekawiej. Masz centralny serwer Zabbix — np. w swoim DC albo na VPS-ie. Klient ma swoją sieć, za NAT-em, za firewallem, do której nie masz (i nie chcesz mieć) bezpośredniego dostępu. U klienta stawiasz Zabbix proxy w trybie active. To proxy inicjuje wszystkie połączenia do serwera — serwer nigdy nie łączy się do proxy. Serwer nawet nie musi znać IP proxy.

W tym modelu Serwer zabixa sam nigdy nie komunikuje się z Proxy u klienta. To Proxy wysyła dane na ip serwera w świat (czśto na wysokim porcie), a jeśli np firewall na serwerze przyjmuje dane tylko z podanych ip to to jest najbezpieczeniejsze co można wymyślić poza VPN .

Jak to wygląda w praktyce

Sieć klienta (za NAT/firewall):                    Twój DC:
┌──────────────────────────┐                ┌──────────────────┐
│ [Host 1] ──┐             │                │                  │
│ [Host 2] ──┤── LAN ── [Zabbix Proxy] ──────────► [Zabbix Server]  │
│ [Host 3] ──┘   (active)  │   port 10051   │  + Frontend + DB │
│ [Switch] ──┘             │                │                  │
└──────────────────────────┘                └──────────────────┘
         ← proxy inicjuje połączenie →
         ← serwer NIE łączy się do proxy →

Kluczowa sprawa: active proxy sam puka do serwera. Pobiera konfigurację (jakie hosty monitorować, jakie itemy zbierać) i odsyła zebrane dane. Serwer nie musi mieć routingu do sieci klienta. Firewall u klienta musi przepuścić tylko jeden port wychodzący (domyślnie 10051 TCP) do serwera Zabbix.

Konfiguracja proxy

Na maszynie u klienta instalujesz Zabbix proxy. W zabbix_proxy.conf:

ini

ProxyMode=0                          # 0 = active (domyślne)
Hostname=klient-abc-proxy            # musi się zgadzać z nazwą w frontendzie
Server=zabbix.twojafirma.pl:10051   # adres Twojego serwera Zabbix
DBName=/tmp/zabbix_proxy.db          # SQLite wystarczy dla małych wdrożeń
ConfigFrequency=120                  # co ile sekund pobierać konfigurację
DataSenderFrequency=5                # co ile sekund wysyłać dane
ProxyOfflineBuffer=72                # ile godzin trzymać dane przy braku łączności

Na frontendzie serwera Zabbix: Administration → Proxies → Create proxy — wpisujesz nazwę klient-abc-proxy, tryb Active. Nie musisz podawać żadnego IP proxy.

Konfiguracja agentów u klienta

Agenty wskazują na lokalne IP proxy, nie na serwer Zabbix:

ini

Server=192.168.10.50           # IP proxy w sieci klienta
ServerActive=192.168.10.50     # IP proxy w sieci klienta
Hostname=klient-abc-dc01       # unikalna nazwa hosta

Agent nie wie, że rozmawia z proxy a nie z serwerem — protokół jest identyczny.

Przepływ danych

1. Proxy → Serwer: Proxy łączy się z serwerem co ConfigFrequency sekund i pobiera konfigurację (lista hostów, itemów, triggerów do monitorowania).
2. Agenty → Proxy: Agenty w sieci klienta raportują dane do proxy (LAN, bez wychodzenia na zewnątrz).
3. Proxy → Serwer: Proxy buforuje dane lokalnie i wysyła je do serwera co DataSenderFrequency sekund.
4. Serwer przetwarza: Triggery, eventy, alerty — to wszystko dzieje się na serwerze. Proxy jest tylko kolektorem danych.

Serwer nigdy nie inicjuje połączenia do proxy. Proxy puka do serwera. To fundamentalna różnica, która rozwiązuje problem NAT-u, firewalli i braku bezpośredniego dostępu do sieci klienta.

Co się dzieje, gdy padnie łącze?

Proxy buforuje dane lokalnie. Parametr ProxyOfflineBuffer (domyślnie 1 godzina) określa, jak długo proxy trzyma dane, gdy nie może połączyć się z serwerem. Ustawiasz np. 72 godziny — i proxy przeżyje weekend bez łączności. Gdy połączenie wróci, proxy wyśle zaległe dane i serwer je przetworzy.

W trybie ProxyBufferMode=hybrid (od Zabbix 7.0) proxy trzyma dane w pamięci dla szybkości, a gdy pamięć się zapełni — zrzuca na dysk. Najlepsze z obu światów.

Zalety

• Firewall-friendly — jedyne wymaganie: port wychodzący z proxy do serwera. Żadnych portów przychodzących u klienta, żadnego VPN-a, żadnego otwierania dziur.
• Serwer nie ma dostępu do sieci klienta — i to jest feature, nie bug. Separacja jest pełna. Serwer nie może skanować sieci klienta, nie może łączyć się z hostami. Dane płyną tylko w jedną stronę: od proxy do serwera.
• Buforowanie offline — awaria łącza nie oznacza utraty danych. Proxy trzyma metryki lokalnie i dosyła je po przywróceniu połączenia.
• Skalowalność — jeden serwer Zabbix, dziesiątki proxy u różnych klientów. Każde proxy zbiera dane ze swojego segmentu, serwer centralizuje wszystko.
• Odciążenie serwera — proxy wykonuje preprocessing danych i skanowanie sieci (discovery) lokalnie. Serwer dostaje gotowe dane.
• Prosta konfiguracja sieciowa — nie musisz znać publicznego IP proxy, nie musisz konfigurować port forwarding u klienta. Proxy samo się łączy.

Wady

• Brak remote commands — serwer nie może wysłać komendy do hosta przez active proxy, bo nie ma do niego bezpośredniego połączenia. Od Zabbix 7.0 active agent potrafi odbierać remote commands, ale wymaga to dodatkowej konfiguracji.
• Opóźnienie w danych — dane nie trafiają na serwer natychmiastowo. Jest bufor, jest DataSenderFrequency. W praktyce opóźnienie to kilka sekund, ale nie jest zerowe.
• Opóźnienie w konfiguracji — po zmianie itemów na serwerze proxy musi pobrać nową konfigurację. Domyślnie ConfigFrequency=3600 (1 godzina!). Warto zmniejszyć do 120-300 sekund. Można też wymusić ręcznie: zabbix_proxy -R config_cache_reload.
• Dodatkowy komponent — proxy to kolejna maszyna do utrzymania, kolejna baza danych, kolejny serwis do monitorowania (tak — monitoruj swoje proxy).
• Brak passive checks z serwera — serwer nie może odpytać agenta przez proxy w trybie active. Agenty muszą pracować w trybie active checks.

Kiedy stosować

Monitorujesz infrastrukturę klientów jako usługę (MSP/MSSP). Masz wiele oddziałów za NAT-em. Klient nie chce (słusznie) otwierać VPN-a do Twojego serwera. Potrzebujesz centralnego dashboardu dla wielu lokalizacji. Chcesz separacji — serwer nie powinien mieć dostępu do sieci klienta.

Porównanie: LAN vs Active Proxy

Cecha	Zabbix na LAN	Zabbix + Active Proxy
Złożoność wdrożenia	Niska	Średnia
Firewall/NAT	Nie przeszkadza	Rozwiązany — proxy łączy się na zewnątrz
Serwer ma dostęp do sieci klienta	Tak (pełny)	Nie (zero)
Kierunek połączenia	Serwer Agent	Proxy → Serwer (jednokierunkowy)
Passive checks	Tak	Nie (tylko active)
Remote commands	Tak	Ograniczone
Buforowanie offline	Nie	Tak (do 72h+)
Skalowalność lokalizacji	Jedna	Wiele
Opóźnienie danych	Brak	Kilka sekund
Koszt	1 serwer	1 serwer + N proxy
Monitoring SNMP/IPMI	Bezpośredni z serwera	Przez proxy (lokalnie)

Który model wybrać?

To nie jest kwestia „lepszy/gorszy”. To kwestia kontekstu.

Jeśli monitorujesz swoją infrastrukturę, w jednej lokalizacji, na jednym LAN-ie — stawiasz serwer Zabbix i nie komplikujesz sobie życia. Proxy jest zbędne.

Jeśli monitorujesz infrastrukturę klientów, zarządzasz wieloma lokalizacjami, albo potrzebujesz monitoringu bez VPN-a i bez otwierania portów u klienta — active proxy to jedyna sensowna droga. Proxy puka do Twojego serwera, wysyła dane, a serwer nigdy nie widzi sieci klienta. Bezpiecznie, skalowalne, firewall-friendly.

W praktyce oba modele mogą współistnieć. Serwer Zabbix monitoruje lokalny LAN bezpośrednio, a jednocześnie odbiera dane z proxy rozsianych po lokalizacjach klientów. To nie jest albo-albo — to kwestia dopasowania architektury do potrzeb.

Artykuł Zabbix na LAN vs Zabbix Proxy – dwa modele, które warto znać pochodzi z serwisu Z IT Wzięte.

Ustawiasz uprawnienia na folderach QNAP, wszystko działa, a na drugi dzień znowu masz problem z dostępem? Użytkownicy nie mogą zapisywać plików do folderów, w których wczoraj jeszcze mogli? Klasyczny scenariusz – ustawiasz RW na Folder, wychodzisz, wracasz rano i uprawnienia wróciły do stanu wyjściowego.

Zanim zaczniesz resetować NAS-a, przeinstalowywać firmware albo grzebać w ACL-ach – sprawdź crontab. Bardzo prawdopodobne, że winowajcą jest systemowe zadanie ImR_all, które co noc nadpisuje Twoje uprawnienia.

Co to jest ImR_all i dlaczego psuje uprawnienia

W domyślnej konfiguracji QNAP w crontabie znajdziesz wpis:

0 3 * * * /usr/local/sbin/ImR_all -soft /Qmultimedia

To zadanie uruchamia się codziennie o 3:00 w nocy i wykonuje „miękki” reset indeksowania oraz uprawnień na folderze /Qmultimedia (alias do /share/MD0_DATA/Multimedia). Jest to element systemu Multimedia Console, który odpowiada za indeksowanie plików multimedialnych – zdjęć, filmów, muzyki.

Problem polega na tym, że ImR_all potrafi nadpisać uprawnienia, które ręcznie ustawiłeś na folderach i podfolderach w obrębie Multimedia. Efekt – Twoje niestandardowe ACL-e i ustawienia dostępu wracają do stanu „domyślnego” każdej nocy.

Objawy problemu

Jeśli widzisz którykolwiek z tych objawów, prawdopodobnie ImR_all jest winowajcą:

• Uprawnienia na folderze Multimedia resetują się po nocy
• Użytkownicy tracą dostęp do podfolderów, który dzień wcześniej działał
• Zmiana uprawnień w panelu QTS nie „trzyma się” dłużej niż kilka godzin
• W File Station lub przez SMB nagle pojawia się „Access Denied” na folderach, które wcześniej były dostępne
• Po ręcznym ustawieniu uprawnień przez SSH (chmod, setfacl) zmiany znikają następnego dnia

Rozwiązanie – wyłączenie ImR_all w crontabie

Rozwiązanie jest proste – trzeba zakomentować lub usunąć wpis ImR_all z crontaba. Wymaga to dostępu SSH do NAS-a.

Krok 1: Włącz SSH na QNAP

1. Zaloguj się do panelu QTS jako administrator
2. Przejdź do Panel sterowania → Usługi sieciowe i plików → Telnet/SSH
3. Zaznacz Zezwalaj na połączenie SSH
4. Ustaw port (domyślnie 22, ale rozważ zmianę na niestandardowy, np. 2222, jeśli NAS jest dostępny z internetu)
5. Kliknij Zastosuj

Krok 2: Połącz się z NAS przez SSH

Z komputera z Windows użyj PuTTY lub wbudowanego terminala:

bash

ssh admin@ADRES_IP_QNAP

Na macOS / Linux po prostu otwórz terminal i wpisz powyższe polecenie. Zaloguj się danymi administratora QNAP.

Krok 3: Zrób backup crontaba

Zanim cokolwiek zmienisz – kopia zapasowa:

bash

cp /etc/config/crontab /etc/config/crontab.backup

Krok 4: Edytuj crontab

Otwórz plik crontaba w edytorze:

bash

vi /etc/config/crontab

Znajdź linię:

0 3 * * * /usr/local/sbin/ImR_all -soft /Qmultimedia

Zakomentuj ją, dodając # na początku linii:

#0 3 * * * /usr/local/sbin/ImR_all -soft /Qmultimedia

Szybka ściągawka vi:

• Naciśnij i żeby wejść w tryb edycji
• Dodaj # na początku linii
• Naciśnij Esc
• Wpisz :wq i naciśnij Enter żeby zapisać i wyjść

Krok 5: Załaduj nowy crontab i zrestartuj cron

To kluczowy krok – samo zapisanie pliku nie wystarczy. QNAP wymaga jawnego załadowania crontaba:

bash

crontab /etc/config/crontab && /etc/init.d/crond.sh restart

Krok 6: Zweryfikuj zmianę

Sprawdź, czy Twoja zmiana została zastosowana:

bash

crontab -l | grep ImR_all

Jeśli wszystko poszło dobrze, powinieneś zobaczyć zakomentowaną linię z # na początku lub brak wyniku (jeśli usunąłeś linię zamiast komentować).

Dlaczego zmiana w crontabie wymaga dodatkowego kroku

Na standardowym Linuxie edytujesz crontab poleceniem crontab -e i zmiany od razu działają. Na QNAP jest inaczej – system trzyma „źródło prawdy” w pliku /etc/config/crontab i trzeba je jawnie załadować poleceniem crontab /etc/config/crontab.

Co więcej – nie używaj crontab -e na QNAP. Zmiany wprowadzone tą komendą są tymczasowe i znikną przy następnym restarcie lub aktualizacji systemu, bo QTS nadpisze je zawartością z /etc/config/crontab.

Poprawna procedura to zawsze:

1. Edytuj /etc/config/crontab
2. Załaduj: crontab /etc/config/crontab
3. Restart crona: /etc/init.d/crond.sh restart

Czy wyłączenie ImR_all jest bezpieczne?

Tak, z jednym zastrzeżeniem. ImR_all odpowiada za odświeżanie indeksu multimediów. Jeśli korzystasz z wbudowanych aplikacji QNAP do przeglądania multimediów (Multimedia Station, Photo Station, Video Station), wyłączenie tego zadania sprawi, że nowo dodane pliki nie będą automatycznie indeksowane w nocy.

Praktycznie nie ma to żadnego znaczenia, jeśli:

• Używasz Multimedia Console z włączonym automatycznym indeksowaniem (to osobny mechanizm)
• Korzystasz z Plex, Jellyfin lub innego zewnętrznego serwera mediów (mają własne indeksowanie)
• Nie korzystasz z wbudowanych aplikacji multimedialnych QNAP
• Multimedia Console jest wyłączona

Nawet jeśli korzystasz z natywnych aplikacji QNAP – ręczne indeksowanie jest dostępne z poziomu Multimedia Console (przycisk „Reindex”).

Dodatkowe porady – naprawianie uprawnień po szkodach

Jeśli ImR_all zdążył już namieszać w Twoich uprawnieniach, oto jak je naprawić.

Sprawdzenie aktualnych uprawnień z SSH

bash

getfacl /share/MD0_DATA/Multimedia
ls -la /share/MD0_DATA/Multimedia/

Reset uprawnień na folderze Multimedia

Jeśli uprawnienia są kompletnie rozwalone, możesz je zresetować:

bash

# Usuń wszystkie ACL
setfacl -R --remove-all /share/MD0_DATA/Multimedia/*

# Ustaw właściciela i grupę
chown -R admin:administrators /share/MD0_DATA/Multimedia

# Ustaw uprawnienia
chmod -R 770 /share/MD0_DATA/Multimedia

Następnie w panelu QTS przejdź do Prawa dostępu → Foldery współdzielone → Multimedia → Edytuj uprawnienia i ponownie ustaw dostęp dla użytkowników/grup. Zaznacz opcję „Zastosuj i zastąp wszystkie istniejące uprawnienia”.

Użycie set_volume_mode

QNAP ma też wbudowane narzędzie do resetowania trybu uprawnień na wolumenie:

bash

/sbin/set_volume_mode

Uruchom je bez parametrów, żeby zobaczyć dostępne opcje. Pozwala to przełączyć wolumin między trybem uprawnień Linuxowych a Windows ACL.

Co jeszcze warto sprawdzić w crontabie

Skoro już jesteś w crontabie, rzuć okiem na inne wpisy, które mogą wpływać na działanie NAS-a. Domyślny crontab QNAP zawiera kilka ciekawych pozycji:

Nie wyłączaj tych zadań bez dobrego powodu – są potrzebne do prawidłowego działania systemu.

Podsumowanie

Problem z samoczynnie zmieniającymi się uprawnieniami na QNAP to klasyczny przypadek „nic nie ruszałem, a samo się zepsuło”. W rzeczywistości QNAP co noc uruchamia zadanie ImR_all, które resetuje uprawnienia na folderze Multimedia.

Rozwiązanie:

1. Włącz SSH
2. Edytuj /etc/config/crontab
3. Zakomentuj linię z ImR_all
4. Załaduj crontab: crontab /etc/config/crontab && /etc/init.d/crond.sh restart
5. Gotowe – uprawnienia zostaną takie, jakie ustawisz

Artykuł QNAP – uprawnienia folderów zmieniają się same? pochodzi z serwisu Z IT Wzięte.

Ransomware nie szyfruje tego, czego nie widzi

Zacznijmy od podstaw. Ransomware to program, który szyfruje pliki na dyskach, do których ma dostęp. Klucz do zrozumienia tego zdania: do których ma dostęp.

Jeśli Twój backup leży na udziale sieciowym, na NAS-ie zamontowanym przez SMB, na dysku podpiętym 24/7 do serwera — ransomware zaszyfruje go razem z resztą. Nie dlatego, że jest „sprytny”. Dlatego, że ma do niego ścieżkę sieciową. Dokładnie tak samo, jak Ty otwierasz ten udział w Eksploratorze plików.

I to jest dokładnie to, co dzieje się w większości ataków. Według danych branżowych, 94% ataków ransomware obejmuje próbę zniszczenia kopii zapasowych. Atakujący wiedzą, że backup to jedyna rzecz, która stoi między nimi a okupem. Więc celują w niego jako pierwszy krok.

W przypadku ataków w 2026 — najprawdopodobniej przywracanie systemów trwało tygodniami. Tysiące komputerów do postawienia od zera. Gdyby istniała kopia odłączona od sieci, czas odtworzenia liczyłby się w godzinach, nie tygodniach.

Czym jest backup air-gapped i dlaczego działa

Air-gapped backup to kopia zapasowa, która jest fizycznie odłączona od infrastruktury — nie ma do niej ścieżki sieciowej, nie jest zamontowana jako dysk, nie jest widoczna dla żadnego systemu w sieci. Ransomware nie może zaszyfrować czegoś, do czego nie ma połączenia. Proste.

Jak to wygląda w praktyce? Kilka wariantów od najprostszego do najbardziej zaawansowanego:

Dysk zewnętrzny USB z rotacją

Najprostsza forma air-gap. Dwa lub trzy dyski zewnętrzne USB, podłączane na czas backupu i fizycznie odłączane po zakończeniu. Rotacja codzienna lub tygodniowa — jeden dysk podłączony, reszta w szafie (najlepiej w innym pomieszczeniu lub budynku).

Koszt: 200–500 zł za dysk. Skuteczność: 100% ochrony przed ransomware sieciowym.

Taśmy LTO

Klasyka w większych środowiskach. Taśma po zapisaniu trafia na półkę — fizycznie nie ma połączenia z niczym. LTO-9 to 18 TB na taśmę (45 TB po kompresji). Droższa inwestycja początkowa (napęd LTO-9 to kilkanaście tysięcy złotych), ale koszt nośnika niski i niezawodność ogromna.

Dedykowany serwer backupowy z izolacją sieciową

Serwer backupowy, który łączy się z infrastrukturą produkcyjną tylko w oknie backupowym — przez ściśle kontrolowane reguły firewalla. Poza oknem backupowym: zero połączeń. Bardziej zaawansowane rozwiązanie, wymaga kompetencji sieciowych, ale daje wygodę automatyzacji przy zachowaniu izolacji.

Backup w chmurze z immutability

Usługi takie jak Backblaze B2, Wasabi czy AWS S3 z Object Lock pozwalają ustawić niezmienność (immutability) — zapisane dane nie mogą być nadpisane ani usunięte przez określony czas, nawet jeśli atakujący przejmie klucze dostępowe. To nie jest klasyczny air-gap, ale daje podobny efekt: ransomware nie jest w stanie zniszczyć tych kopii.

Reguła 3-2-1-1-0 — minimum, nie ideał

Branżowy standard to reguła 3-2-1-1-0:

• 3 kopie danych (produkcja + dwie kopie zapasowe)
• 2 różne typy nośników (np. dysk + taśma, dysk + chmura)
• 1 kopia off-site (poza lokalizacją główną)
• 1 kopia air-gapped lub immutable
• 0 błędów przy weryfikacji odtwarzalności

Ten ostatni punkt jest krytyczny i najczęściej pomijany. Backup, którego nigdy nie testowałeś, nie jest backupem. Jest obietnicą, która może się nie spełnić. Testuj odtwarzanie regularnie — minimum raz na kwartał.

Kopia na NAS-ie podłączonym do tej samej sieci co reszta infrastruktury nie spełnia żadnego z tych punktów, poza byciem „drugą kopią”. To nie jest backup — to złudzenie bezpieczeństwa.

Antywirus: dlaczego „jakiś darmowy” nie wystarczy

Druga warstwa, która regularnie zawodzi w atakowanych organizacjach, to ochrona endpointów. Statystyki za 2025 rok mówią jasno:

• 41% udanych ataków na placówki medyczne wynikało ze znanych, ale niezałatanych luk bezpieczeństwa
• 33% ataków wykorzystywało exploity na znane podatności
• 42% placówek nie miało odpowiedniej liczby specjalistów monitorujących systemy

To nie jest historia o superzaawansowanych hakerach. To historia o Windows Server bez aktualizacji od pół roku, o koncie admina z hasłem „admin123″, o antywirusie, którego nikt nie otworzył od dnia instalacji.

Co powinien robić porządny system ochrony endpointów

Profesjonalny antywirus klasy endpoint protection (np. ESET PROTECT, Bitdefender GravityZone, Microsoft Defender for Endpoint) to nie jest „skanowanie plików jak w 2005 roku”. To wielowarstwowy system, który:

• Analiza behawioralna — wykrywa ransomware po zachowaniu (masowe szyfrowanie plików, zmiana rozszerzeń), nawet jeśli sam plik jest zupełnie nowy i nieznany
• Ochrona przed exploitami — blokuje techniki wykorzystywane do przejmowania kontroli nad systemem przez luki w oprogramowaniu
• Sandboxing — podejrzane pliki uruchamiane są w izolowanym środowisku zanim dotrą do użytkownika
• Centralna konsola zarządzania — widoczność na całą infrastrukturę z jednego miejsca, alertowanie, wymuszanie polityk
• EDR (Endpoint Detection & Response) — ciągłe monitorowanie aktywności na endpointach, możliwość retrospektywnego przeszukiwania zdarzeń, izolowanie zainfekowanych maszyn

Ale nawet najlepszy antywirus nie pomoże, jeśli…

• …nikt nie patrzy na alerty. Średni czas wykrycia incydentu w ochronie zdrowia to ponad 200 dni. Dwieście dni, w trakcie których atakujący swobodnie eksplorują sieć.
• …nie ma segmentacji sieci. Jeśli jeden zainfekowany komputer w rejestracji ma dostęp do serwera z bazą pacjentów, to atak na stację roboczą = atak na krytyczne dane.
• …systemy nie są aktualizowane. Exploit na podatność sprzed 6 miesięcy to nie jest „zaawansowany atak”. To odpalenie gotowego narzędzia.

Segmentacja sieci — trzecia warstwa, o której nikt nie mówi

Segmentacja to podział sieci na odizolowane strefy, tak żeby kompromitacja jednego segmentu nie oznaczała kompromitacji całej infrastruktury.

W praktyce: komputer w rejestracji nie powinien mieć dostępu do serwera z backupami. Drukarka sieciowa nie powinna widzieć kontrolera domeny. Sieć Wi-Fi dla gości nie powinna mieć żadnej ścieżki do sieci wewnętrznej.

Jak to zrobić tanio? VLAN-y na zarządzalnym switchu i reguły firewalla. Zarządzalny switch to koszt od kilkuset złotych. Konfiguracja VLAN-ów to kwestia kilku godzin dla kompetentnego informatyka.

Segmentacja sprawia, że nawet jeśli ransomware dostanie się do jednej stacji roboczej, jego rozprzestrzenienie się na resztę sieci jest zablokowane lub znacząco utrudnione.

Plan odtwarzania — bo kiedy, nie czy

Disaster Recovery Plan (DRP) to dokument, który odpowiada na jedno pytanie: co robimy, kiedy wszystko padnie?

Nie musi to być 50-stronicowy elaborat. Minimum, które ma sens:

1. Lista systemów krytycznych z kolejnością przywracania (co najpierw? Serwer DHCP/DNS? Kontroler domeny? System ERP? Poczta?)
2. Lokalizacja backupów — gdzie fizycznie leżą nośniki, kto ma do nich dostęp, jakie są dane logowania
3. Procedura odtwarzania krok po kroku dla każdego krytycznego systemu
4. Lista kontaktowa — kto dzwoni do kogo, kto ma uprawnienia do podjęcia decyzji
5. Regularne testy — minimum raz na kwartał odtwórz coś z backupu. Najlepiej cały system na maszynie testowej

Szpital z DRP przywraca krytyczne usługi w godzinach. Szpital bez DRP wzywa Wojska Obrony Terytorialnej i spędza tygodnie na stawianiu tysiąca komputerów od zera. To nie hipoteza — to dokładnie to, co się wydarzyło w Szczecinie w marcu 2026.

Double extortion — dlaczego prewencja ma znaczenie

Od 2024 roku standardem w atakach ransomware jest podwójne wymuszenie (double extortion): atakujący najpierw kradną dane, potem je szyfrują. Nawet jeśli masz backup i odtworzysz systemy w godzinach, grożą wyciekiem wykradzionych danych.

To jest argument za inwestowaniem w ochronę, nie przeciw. Air-gapped backup chroni przed utratą danych i długim przestojem. Ale przed kradzieżą danych chroni tylko prewencja: porządny antywirus z EDR, segmentacja sieci, szybka detekcja anomalii, monitoring.

Wielowarstwowe podejście (defense in depth):

• Warstwa 1: Prewencja — antywirus, aktualizacje, segmentacja, szkolenia użytkowników
• Warstwa 2: Detekcja — EDR, monitoring, alerty, SIEM
• Warstwa 3: Odtwarzanie — backup air-gapped, DRP, testowane procedury

Żadna warstwa nie jest niezawodna sama w sobie. Ale ich kombinacja sprawia, że atak ransomware staje się incydentem do obsłużenia, a nie katastrofą na tygodnie.

Checklist: co sprawdzić u siebie

Trzy pytania, na które Twój informatyk (lub Ty sam) powinien umieć odpowiedzieć natychmiast:

1. Gdzie jest kopia zapasowa odłączona od sieci? Jeśli odpowiedź brzmi „na NAS-ie” albo „na dysku podłączonym do serwera” — nie masz backupu air-gapped. Masz drugą kopię danych, która padnie razem z resztą.
2. Jaki system ochrony endpointów jest wdrożony i kto monitoruje alerty? Jeśli odpowiedź brzmi „Windows Defender z domyślnymi ustawieniami” albo „nie wiem” — masz problem. Nie chodzi o markę, chodzi o to, czy ktoś aktywnie zarządza ochroną i reaguje na incydenty.
3. Kiedy ostatnio testowaliśmy odtwarzanie z backupu? Jeśli odpowiedź brzmi „nigdy” albo „nie pamiętam” — Twój backup to Schrödingerowska kopia: jednocześnie działa i nie działa, dopóki nie sprawdzisz.

Podsumowanie

Ransomware nie musi oznaczać tygodni przestoju. Trzy rzeczy decydują o tym, czy atak będzie incydentem czy katastrofą:

1. Backup odłączony od sieci — bo ransomware nie zaszyfruje tego, czego nie widzi
2. Porządny antywirus z aktywnym zarządzaniem — bo większość ataków wykorzystuje znane podatności i banalne wektory
3. Przetestowany plan odtwarzania — bo w trakcie kryzysu nie ma czasu na improwizację

Dobrą wiadomością jest to, że zabezpieczenie się nie wymaga milionowego budżetu. Dysk USB z rotacją, profesjonalny antywirus, segmentacja na VLAN-ach, przetestowany plan odtwarzania. To są rzeczy, które kompetentny informatyk wdroży w każdej firmie — od gabinetu lekarskiego po średnie przedsiębiorstwo.

Zrób to zanim będzie za późno.

Artykuł Dlaczego Twój backup jest bezwartościowy, jeśli jest podłączony do sieci pochodzi z serwisu Z IT Wzięte.

Problem: amnezja w połowie zadania

Jeśli używałeś Claude Code na większym projekcie, znasz ten scenariusz. Ładujesz codebase, odpalasz łańcuch tool calli – czytanie plików, analiza, edycja, testy. Claude radzi sobie świetnie. Aż nagle w terminalu pojawia się komunikat:

Claude is compacting the conversation...

I od tego momentu zaczyna się jazda. Claude „zapomina” decyzje architektoniczne podjęte 20 minut temu. Czyta te same pliki ponownie. Czasami wręcz sprzecza się sam ze sobą – implementacja z kroku 5 nie pasuje do tego, co zrobił w kroku 2, bo krok 2 wyleciał z kontekstu.

To był prawdziwy ból dupy przy dłuższych sesjach. Przy oknie 200K tokenów użyteczna przestrzeń to jakieś 150K po odjęciu bufora na kompakcję. Dla małego projektu – ok. Dla repo z backendem, frontendem i testami? Za mało.

Rozwiązanie: 1M tokenów kontekstu – bez dopłat

13 marca 2026 Anthropic ogłosił, że okno kontekstowe o wielkości 1 miliona tokenów jest teraz ogólnie dostępne dla modeli Opus 4.6 i Sonnet 4.6. Bez beta headerów, bez specjalnych flag, bez dopłat za długi kontekst.

Najważniejsze fakty:

• Standardowa cena – za 900K tokenów płacisz dokładnie tyle samo za token co za 9K. Opus 4.6: $5/$25 za milion tokenów (input/output). Sonnet 4.6: $3/$15.
• Pełne rate limity – długie requesty mają taki sam throughput jak krótkie. W becie było inaczej.
• 600 plików multimedialnych per request – wcześniej limit wynosił 100 obrazów lub stron PDF. Teraz 6x więcej.
• Bez beta headera – jeśli wcześniej go używałeś, API go po prostu ignoruje. Nie musisz nic zmieniać w kodzie.
• Dostępne na Claude Platform, Azure Foundry i Google Cloud Vertex AI.
• Claude Code na planach Max, Team i Enterprise – Opus 4.6 automatycznie dostaje 1M kontekstu. Bez konfiguracji.

Co to oznacza w praktyce?

Przy 200K tokenów użyteczna przestrzeń to ~150K. Przy 1M masz ~830K tokenów na faktyczną pracę. To wystarczy na tysiące plików źródłowych, pełne trace’y tool calli i długie sesje debugowania – bez kompakcji.

Anthropic podaje konkretną liczbę: od wdrożenia 1M kontekstu zanotowano 15% spadek zdarzeń kompakcji wśród użytkowników Claude Code. To nie benchmark – to pomiar z realnego użycia.

Co się zmienia w codziennej pracy:

• Cały codebase w jednej sesji – nie musisz już wybierać, które pliki załadować. Ładujesz wszystko.
• Łańcuchy tool calli bez utraty kontekstu – Claude przeszukuje logi, bazy danych, kod źródłowy, proponuje fix – i nie zapomina, co znalazł na początku.
• Dłuższe sesje bez restartu – wielogodzinne sesje agentowe, które wcześniej wymagały ręcznego /compact, teraz trzymają się kupy.

Ciekawy jest też benchmark. Na teście MRCR v2 (Multi-Round Coreference Resolution) w wariancie 1M tokenów Opus 4.6 osiąga 76%, podczas gdy Sonnet 4.5 – tylko 18,5%. To jakościowa różnica w tym, ile kontekstu model faktycznie potrafi wykorzystać bez „context rot” – degradacji jakości przy dużych ilościach danych.

Context awareness – Claude wie, ile mu zostało

Modele Opus 4.6 i Sonnet 4.6 mają wbudowaną świadomość kontekstu (context awareness). Po każdym tool callu Claude dostaje informację w stylu:

Token usage: 35000/1000000; 965000 remaining

Dzięki temu model sam wie, ile miejsca mu zostało i może planować pracę odpowiednio. Nie zgaduje – wie. To jak zegarek na egzaminie zamiast strzelania, ile czasu minęło.

Jak włączyć 1M w Claude Code?

Jeśli jesteś na planie Max, Team lub Enterprise – nie musisz nic robić. Opus 4.6 automatycznie używa 1M kontekstu.

Sprawdzenie aktualnego modelu:

/model

Jeśli chcesz wymusić 1M na konkretnym modelu (np. przez alias):

opus[1m]
sonnet[1m]

Jeśli z jakiegoś powodu nie chcesz 1M kontekstu:

bash

export CLAUDE_CODE_DISABLE_1M_CONTEXT=1

To usuwa warianty 1M z model pickera.

Voice mode – koduj głosem (ale po angielsku)

3 marca 2026 Anthropic zaczął roll-out natywnego trybu głosowego w Claude Code. Na razie dostępny dla ~5% użytkowników, ale roll-out rozszerza się z każdym tygodniem.

Jak to działa?

/voice

Wpisujesz tę komendę w terminalu. Od teraz:

1. Przytrzymaj spację – mów
2. Puść spację – transkrypcja leci do promptu
3. Claude wykonuje polecenie jak zwykle

Tryb push-to-talk. Proste. Możesz też miksować – napisać pół prompta na klawiaturze, a resztę powiedzieć głosem. Transkrypcja wchodzi w miejsce kursora.

Kiedy to ma sens?

• Opisywanie bugów – mówienie „sprawdź dlaczego ten API call zwraca 500 w produkcji, podejrzewam że middleware autentykacji łapie wyjątek i zwraca pusty obiekt” jest 3x szybsze niż pisanie tego samego.
• Sesje refaktoringu – mówisz co chcesz, Claude pisze kod. Dwie z czterech faz pracy (myślenie → wyrażenie intencji → pisanie kodu → review) nie wymagają klawiatury.
• Przerwy od klawiatury – po 6 godzinach kodowania ręce potrzebują odpoczynku. Głos pozwala kontynuować bez przerwy w pracy.

Ograniczenie: tylko angielski

I tu jest haczyk. Voice mode działa na razie tylko po angielsku. Silnik STT (speech-to-text) domyślnie transkrybuje na angielski. Jeśli mówisz po polsku, transkrypcja albo się sypie, albo produkuje bezsensowny tekst angielski.

Na GitHubie Claude Code jest już otwarty issue (#33170) z prośbą o dodanie konfiguracji języka – ustawienie voiceLanguage w settings.json. Na razie nie istnieje. Społeczność wnioskuje o coś w stylu:

json

{
  "voiceEnabled": true,
  "voiceLanguage": ["en", "pl"]
}

Ale oficjalnie – silnik pod spodem (prawdopodobnie Whisper) wspiera wiele języków. Problem w tym, że Claude Code po prostu nie daje opcji wyboru języka. Na razie jedyne obejście to zewnętrzne narzędzia do dyktowania (Wispr Flow, Superwhisper, AquaVoice), które transkrybują w dowolnym języku i wklejają tekst do terminala.

Protip: Nawet po angielsku – precyzyjne nazwy plików, ścieżki i zmienne lepiej wpisywać ręcznie. Voice sprawdza się świetnie do wyrażania intencji („refactor the auth middleware to use RBAC”), kiepsko do precyzyjnych identyfikatorów.

Dla kogo to jest?

Podsumowanie

Dwie zmiany, które realnie wpływają na codzienną pracę z Claude Code:

1M tokenów kontekstu – koniec z kompakcją w połowie zadania, koniec z „Claude zapomniał co robiliśmy”. Cały codebase, pełne trace’y, wielogodzinne sesje – w jednym oknie.

Voice mode – szybsze wyrażanie intencji, mniej pisania, ale na razie tylko po angielsku. Jeśli pracujesz w angielskim środowisku – game changer. Jeśli chcesz mówić po polsku – poczekaj lub użyj zewnętrznego narzędzia do dyktowania.

Czy Claude Code przestanie się gubić? Z 5x większym oknem kontekstowym – znacząco rzadziej. Nie jest to gwarancja (context rot istnieje nawet przy 1M tokenów), ale różnica między 200K a 1M jest jak różnica między kartką A4 a flipchartem. Więcej miejsca = mniej zgubionego kontekstu = lepsza praca.

Źródła

• Ogłoszenie 1M GA: claude.com/blog/1m-context-ga
• Dokumentacja context windows: platform.claude.com/docs/en/build-with-claude/context-windows
• Claude Code docs – model config: code.claude.com/docs/en/model-config
• Issue: voice language config: github.com/anthropics/claude-code/issues/33170

Artykuł Claude Code – 1 milion tokenów kontekstu i tryb głosowy pochodzi z serwisu Z IT Wzięte.

Powiadomienia push z serwera na telefon – zarówno przez integrację z Zabbix, jak i w własnych skryptach bash.

Czym jest ntfy i jak działa?

ntfy (czytaj: „notify”) to darmowy serwis powiadomień push oparty o prosty protokół HTTP. Zamiast konfigurować serwer SMTP czy płacić za bramkę SMS, wysyłasz jedno żądanie curl:

curl -d "Backup zakończony" ntfy.sh/moj-serwer-xyz123

Jedna komenda = powiadomienie push na telefonie. Bez konta, bez tokena, bez konfiguracji serwera.

Bajecznie proste do zastosowania praktycznie we wszytkim.

Dlaczego ntfy zamiast powiadomień email czy SMS?

Dla administratora serwera Linux czy VPS to game changer – alerty ze serwera na smartfon bez żadnych kosztów i konfiguracji.

Konfiguracja aplikacji mobilnej

1. Pobierz aplikację ntfy:

• Android: Google Play lub F-Droid
• iOS: App Store

1. Kliknij + i wpisz nazwę tematu (np. serwer-prod-x7k9m2)
2. Gotowe – każdy POST na ntfy.sh/serwer-prod-x7k9m2 ląduje na telefonie

Ważne: Używaj losowych nazw tematów! Tematy są publiczne – kto zna nazwę, może subskrybować.

Integracja ntfy z Zabbix – powiadomienia push zamiast email

Standardowe powiadomienia Zabbix przez email są wolne i często ignorowane. SMS-y kosztują. ntfy daje natychmiastowe alerty na telefon za darmo.

Krok 1: Skrypt alertów dla Zabbix

Sprawdź katalog alertscripts:

grep AlertScriptsPath /etc/zabbix/zabbix_server.conf
# Domyślnie: /usr/lib/zabbix/alertscripts

Utwórz plik /usr/lib/zabbix/alertscripts/ntfy.sh:

#!/bin/bash

# ========== KONFIGURACJA ==========
# Wpisz własną, unikalną nazwę tematu!
NTFY_TOPIC="zabbix-TWOJ-UNIKALNY-STRING"
# ==================================

TO="$1"
SUBJECT="$2"
MESSAGE="$3"

# Mapowanie severity Zabbix na priorytety ntfy
case "$SUBJECT" in
    *Disaster*|*DISASTER*)
        PRIORITY="urgent"
        TAGS="rotating_light,disaster"
        ;;
    *High*|*HIGH*)
        PRIORITY="high"
        TAGS="warning,high"
        ;;
    *Average*|*AVERAGE*)
        PRIORITY="default"
        TAGS="orange_circle,average"
        ;;
    *Warning*|*WARNING*)
        PRIORITY="low"
        TAGS="yellow_circle,warning"
        ;;
    *OK*|*Resolved*)
        PRIORITY="low"
        TAGS="white_check_mark,resolved"
        ;;
    *)
        PRIORITY="default"
        TAGS="bell"
        ;;
esac

# Wysłanie powiadomienia push
curl -s \
    -H "Title: ${SUBJECT}" \
    -H "Priority: ${PRIORITY}" \
    -H "Tags: ${TAGS}" \
    -d "${MESSAGE}" \
    "https://ntfy.sh/${NTFY_TOPIC}"

exit 0

Nadaj uprawnienia:

chmod +x /usr/lib/zabbix/alertscripts/ntfy.sh
chown zabbix:zabbix /usr/lib/zabbix/alertscripts/ntfy.sh

Test (jako user zabbix):

sudo -u zabbix /usr/lib/zabbix/alertscripts/ntfy.sh "" "[HIGH] Test alert" "Testowe powiadomienie z Zabbix"

Krok 2: Media Type w Zabbix

Alerts → Media types → Create media type

Krok 3: Trigger Action

Alerts → Actions → Trigger actions → Create action

Zakładka Action:

• Name: Powiadomienia push ntfy
• Conditions: Trigger severity >= Warning

Zakładka Operations:

Default subject:

[{TRIGGER.SEVERITY}] {HOST.NAME}: {TRIGGER.NAME}

Default message:

Host: {HOST.NAME}
Problem: {TRIGGER.NAME}
Severity: {TRIGGER.SEVERITY}
Czas: {EVENT.DATE} {EVENT.TIME}

W sekcji Operations → Add:

• Send to users: wybierz użytkowników
• Send only to: ntfy

Zakładka Recovery operations – analogicznie dla powiadomień o rozwiązaniu problemu.

Krok 4: Media dla użytkownika

Users → [Twój user] → Media → Add

Gotowe! Zabbix wykrywa problem → push notification leci na telefon.

Powiadomienia push w skryptach Bash

ntfy idealnie nadaje się do alertów ze skryptów – backup, monitoring dysku, cronjob, deployment.

Alert po zakończeniu backupu

#!/bin/bash

NTFY_TOPIC="backup-serwer-abc123"

notify() {
    curl -s \
        -H "Title: $1" \
        -H "Priority: $2" \
        -H "Tags: $3" \
        -d "$4" \
        "https://ntfy.sh/${NTFY_TOPIC}"
}

notify "Backup started" "low" "arrow_forward" "Rozpoczynam backup na $(hostname)"

if tar -czf /backup/data-$(date +%Y%m%d).tar.gz /data 2>/tmp/backup.err; then
    SIZE=$(ls -lh /backup/data-$(date +%Y%m%d).tar.gz | awk '{print $5}')
    notify "✅ Backup OK" "default" "white_check_mark" "Rozmiar: ${SIZE}"
else
    notify "❌ Backup FAILED" "urgent" "x" "Błąd: $(cat /tmp/backup.err)"
    exit 1
fi

Monitoring miejsca na dysku

Alert gdy dysk się zapełnia – klasyczny przypadek użycia dla administratora VPS:

#!/bin/bash
# Cron: */30 * * * * /usr/local/bin/disk-check.sh

NTFY_TOPIC="monitoring-xyz789"
THRESHOLD=85

df -h | grep -vE '^Filesystem|tmpfs|cdrom' | awk '{print $5 " " $6}' | while read output; do
    usage=$(echo $output | awk '{print $1}' | sed 's/%//')
    partition=$(echo $output | awk '{print $2}')

    if [ $usage -ge $THRESHOLD ]; then
        curl -s \
            -H "Title: ⚠ Brak miejsca na dysku" \
            -H "Priority: high" \
            -H "Tags: warning,disk" \
            -d "Partycja $partition zapełniona w ${usage}% na $(hostname)" \
            "https://ntfy.sh/${NTFY_TOPIC}"
    fi
done

Alert o logowaniu SSH

Powiadomienie push gdy ktoś loguje się na serwer – przydatne do monitorowania bezpieczeństwa:

Utwórz /usr/local/bin/ssh-notify.sh:

#!/bin/bash

[ "$PAM_TYPE" != "open_session" ] && exit 0

curl -s \
    -H "Title: 🔐 SSH: ${PAM_USER}@$(hostname)" \
    -H "Priority: high" \
    -H "Tags: lock,ssh" \
    -d "User: ${PAM_USER}
Z adresu: ${PAM_RHOST}
Czas: $(date '+%Y-%m-%d %H:%M:%S')" \
    "https://ntfy.sh/ssh-TWOJ-TOPIC"

exit 0

chmod +x /usr/local/bin/ssh-notify.sh

Dodaj na końcu /etc/pam.d/sshd:

session optional pam_exec.so /usr/local/bin/ssh-notify.sh

Uniwersalna funkcja do skryptów

Dodaj do ~/.bashrc lub /etc/profile.d/ntfy.sh:

export NTFY_TOPIC="moj-serwer-default"

ntfy() {
    local msg="$1"
    local title="${2:-Alert}"
    local priority="${3:-default}"

    curl -s \
        -H "Title: ${title}" \
        -H "Priority: ${priority}" \
        -d "${msg}" \
        "https://ntfy.sh/${NTFY_TOPIC}"
}

ntfy-ok()    { ntfy "$1" "✅ ${2:-OK}" "default"; }
ntfy-warn()  { ntfy "$1" "⚠ ${2:-Warning}" "high"; }
ntfy-error() { ntfy "$1" "❌ ${2:-Error}" "urgent"; }

Użycie:

ntfy "Zadanie zakończone" "Mój skrypt"
ntfy-ok "Deployment finished"
ntfy-error "Baza danych nie odpowiada" "DB Alert"

Priorytety powiadomień

Dla alertów Zabbix z severity Disaster używaj urgent – telefon zadzwoni nawet w nocy.

Tagi i emoji

Tagi zamieniają się na emoji w powiadomieniu:

curl -H "Tags: warning,server,fire" -d "CPU 98%!" ntfy.sh/moj-topic

Przydatne tagi: warning , white_check_mark , x , rotating_light , fire , computer , lock

Akcja po kliknięciu

Link otwierany po tapnięciu w powiadomienie:

curl \
    -H "Click: https://zabbix.firma.pl/tr_events.php?eventid=${EVENT_ID}" \
    -H "Title: Problem na serwerze" \
    -d "Kliknij aby otworzyć w Zabbix" \
    ntfy.sh/zabbix-alerts

Limity publicznego serwera ntfy.sh

Dla typowego monitoringu serwera VPS to więcej niż wystarczy.

Podsumowanie

ntfy.sh to najprostszy sposób na powiadomienia push z serwera Linux na telefon:

• Zero konfiguracji – tylko curl
• Natychmiastowe alerty – push w sekundę
• Integracja z Zabbix – 10 minut i działa
• Działa w skryptach bash – jedna linijka kodu
• Darmowy – bez rejestracji, bez limitu który boli
• W dokumentacji znajdziecie wszysto. jak tego użyć od Basha aż do Powershell

Koniec sprawdzania maili. Ustaw ntfy, telefon Cię powiadomi.

Linki:

• Strona: ntfy.sh
• Dokumentacja: docs.ntfy.sh
• GitHub: github.com/binwiederhier/ntfy

Artykuł ntfy – Darmowe powiadomienia push z serwera na telefon pochodzi z serwisu Z IT Wzięte.

Dostajemy komunikat iż „Magazyn wiadomości osiągnął maksymalny rozmiar Outlook 365”. i nie można nic zrobić, nic nie da sie usunąć ani nic, czyli kolejny odcinek serialu pod nazwą outlook problem .

Teraz tak :

Plik PST (Personal Storage Table) to lokalny plik przechowujacy kopie wiadomosci e-mail, kalendarza, kontaktow i innych elementow Outlooka. Uzywany jest glownie w konfiguracjach POP3 oraz do archiwizacji.

Plik OST (Offline Storage Table) to lokalny plik cache dla kont Exchange i Microsoft 365. Pozwala na prace offline z pelnym dostepem do poczty, ktora synchronizuje sie z serwerem po polaczeniu z siecia.

No i w nowym outlooku mają one ograniczenie do 50 GB . Tak …50GB nie 500 tylko 50 . Co nie jest mega limitem dla aktywnie działającego użytkownika…

Mozna różne rzeczy tutaj robić ( usuną plik pobrać, pobrać na nowo rzeczy z imap, można zkompaktować folder) ale problem wróci…

Najlepszym rozwiązaniem na szybko jest zmiana w rejestrze która zmienia ten limit .

Uruchamiamy regedit

Wchodzimy na HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\PST

I dodajemy 2 wartości DWORD :

• MaxLargeFileSize o wartosci 4294967295
• WarnLargeFileSize o wartosci 4090445042

…i w teorii mamy brz ograniczen (coś pod 4 PB) .

Należy pamiętać o tym że im większy plik tym większa szansa na przypadkową awarie pliku .

Zatem koniecznie po uruchomieniu, wyczyśmy śmieci , spamy i skonfigurujmy konecznie archiwizacje.

Artykuł Magazyn wiadomości osiągnął maksymalny rozmiar Outlook 365 pochodzi z serwisu Z IT Wzięte.

Stało się. Anthropic wprowadził limity użycia w płatnych planach Claude, nawet dla swojego topowego modelu Opus. Jeśli w połowie ważnego zadania zobaczyliście komunikat o „osiągnięciu limitu”, to znak, że darmowa impreza AI dobiega końca.

Zamiast się irytować, potraktujmy to jako sygnał. Czas przestać używać AI jak magicznej zabawki, a zacząć jak profesjonalnego narzędzia, którego zasoby są ograniczone i cenne.

Kluczem jest zrozumienie różnicy między modelami:

• Opus (Architekt): Najlepszy, najdroższy i… najbardziej limitowany. Myśl o nim jak o doświadczonym senior deweloperze. Jego czas jest cenny.
• Sonnet (Wykonawca): Bardzo dobry, tańszy i z o wiele większym limitem. To Twój solidny mid-level deweloper, gotowy do wykonania konkretnych zadań.

A teraz najważniejsze: jak z nimi pracować, by wycisnąć maksimum?

Nowa strategia pracy: Architekt (Opus) planuje, Wykonawca (Sonnet) koduje.

To proste i genialne. Zamiast marnować cenne „strzały” w Opusie na pisanie całego kodu, użyj go do tego, w czym jest najlepszy – do myślenia na wysokim poziomie.

Krok 1: Użyj Opusa, by stworzył plan (jedno zapytanie). Potraktuj go jak architekta oprogramowania. Daj mu jedno, dobrze przemyślane zadanie, by stworzył szczegółowy plan działania.

Przykład promptu dla Opusa: "Jesteś senior tech leadem. Stwórz szczegółowy, krokowy plan implementacji nowej funkcji logowania w aplikacji React z użyciem TypeScript. Uwzględnij: strukturę komponentów (np. LoginForm, Input), zarządzanie stanem za pomocą Zustand, walidację formularza z React Hook Form oraz asynchroniczną obsługę zapytania do API. Podziel plan na numerowane, konkretne zadania do wykonania."

Wynikiem będzie perfekcyjna „rozpiska” zadań. I zużyłeś na to tylko jedno cenne zapytanie do Opusa.

Krok 2: Użyj Sonnet, by wykonał plan (wiele zapytań). Teraz zaczyna się praca właściwa. Bierzesz plan od Opusa i wrzucasz go Sonnetowi, krok po kroku. Masz tu duży limit, więc możesz pracować swobodnie.

Przykład promptu dla Sonnet: "Na podstawie kroku 1 z planu, napisz kod dla komponentu LoginForm.tsx, używając biblioteki styled-components."

Następnie: "OK, teraz na podstawie kroku 2, dodaj logikę zarządzania stanem z Zustand do tego komponentu."

I tak dalej, aż wykonasz cały plan.

Dlaczego to działa?

1. Maksymalizujesz jakość: Najtrudniejszą, koncepcyjną pracę (architekturę) wykonuje najlepszy model.
2. Oszczędzasz limity: Brudną, powtarzalną robotę (pisanie kodu według wytycznych) delegujesz do modelu z większym limitem.
3. Pracujesz wydajniej: Zamiast chaotycznie zadawać pytania, masz jasną strukturę i porządek w projekcie.

Przestajemy być tylko „użytkownikami” AI. Stajemy się menedżerami, którzy przydzielają zadania odpowiednim modelom w zależności od ich siły i… kosztu.

Artykuł Nowy Limit Claude -czas zacząć myśleć przy korzystaniu z claude code pochodzi z serwisu Z IT Wzięte.

Czasami jeden e-mail może zmienić historię całej branży. W styczniu 2011 roku Jed McCaleb wysłał wiadomość, która zapoczątkowała jedną z największych katastrof w historii kryptowalut. A wszystko zaczęło się od… kart do gry.

Magiczne Początki

W 2007 roku Jed McCaleb miał prosty pomysł – stworzyć miejsce, gdzie gracze Magic: The Gathering Online mogliby wymieniać się kartami jak akcjami na giełdzie. Kupił domenę mtgox.com (skrót od “Magic: The Gathering Online eXchange”) i uruchomił platformę. Problem? Szybko się znudził tym projektem.

Przez trzy lata domena praktycznie nie była używana. McCaleb przerzucił się na inne projekty, a mtgox.com służył głównie do reklamowania jego nowej gry “The Far Wilds”. Nikt wtedy nie spodziewał się, że ta zapomniana domena stanie się synonimem największej katastrofy w historii Bitcoina.

Bitcoin Zmienia Wszystko

W lipcu 2010 roku McCaleb przeczytał o Bitcoinie na Slashdot. Jak wielu programistów tamtych czasów, od razu wyczuł potencjał tej nowej technologii. Problem był jeden – brak miejsca, gdzie można by było łatwo wymieniać bitcoiny na prawdziwe pieniądze.

18 lipca 2010 roku uruchomił MtGox jako giełdę bitcoinową. Wykorzystał swoją starą domenę – w końcu się przydała! To była jedna z pierwszych giełd na świecie, więc szybko zyskała popularność. Na początku 2011 roku MtGox obsługiwał już znaczną część światowego handlu bitcoinami.

E-mail, Który Zmienił Historię

Ale McCaleb miał problem. Prowadzenie giełdy bitcoinowej okazało się dużo bardziej skomplikowane niż handel kartami do gry. Potrzeba było ciągłego nadzoru, obsługi klienta, zabezpieczeń… A on miał inne pomysły na głowie.

18 stycznia 2011 roku wysłał e-mail do Marka Karpelesa, francuskiego programisty mieszkającego w Tokio:

“Hi Mark~… Please keep all this confidential I don’t want to start a panic and I’m not sure I’ll do it yet but I’m thinking I might try to sell mtgox. I just have these other projects I would like to devote more time to. Would you be interested?”

Ten nieco chaotyczny e-mail uruchomił lawinę wydarzeń, która ostatecznie doprowadziła do utraty 850,000 bitcoinów i bankructwa największej giełdy świata.

Sprzedaż na Wyjątkowo “Korzystnych” Warunkach

Karpeles, który już wcześniej pomagał przy rozwoju MtGox, od razu wykazał zainteresowanie. 3 lutego 2011 roku podpisano umowę sprzedaży na… dość osobliwych warunkach.

McCaleb praktycznie oddał MtGox za darmo. Karpeles nie musiał płacić dużej sumy z góry – większość “zapłaty” miała pochodzić z przyszłych zysków giełdy przez sześć miesięcy. Do tego McCaleb zachował 12% udziałów w firmie.

Ale najciekawszy był punkt w umowie, który brzmiał jak prawne minowe pole: “Sprzedający (McCaleb) nie jest pewien, czy mtgox.com jest zgodny z jakimkolwiek amerykańskim kodeksem lub statutem, lub prawem jakiegokolwiek kraju”.

Dodatkowo McCaleb wpisał klauzulę odszkodowawczą – Karpeles miał go chronić przed wszelkimi konsekwencjami prawnymi związanymi z przejęciem giełdy.

Pierwsza Nieprzyjemna Niespodzianka

Karpeles szybko przekonał się, że dostał nie tylko giełdę, ale i jej problemy. Krótko po przejęciu dowiedział się, że MtGox został już wcześniej zhakowany i brakowało mu około 80,000 bitcoinów.

28 kwietnia 2011 roku McCaleb wysłał e-mail, który prawdopodobnie był początkiem koszmaru Karpelesa – powiadamiał o wcześniejszych problemach z bezpieczeństwem. Nowy właściciel giełdy właśnie odkrył, że kupił nie tylko biznes, ale i jego ukryte długi.

Gdzie Są Teraz?

Ironia losu chce, że obu protagonistów tej historii poszło całkiem nieźle. McCaleb sprzedawszy MtGox zanim eksplodował, przerzucił się na inne projekty kryptowalutowe. Stworzył Ripple, a potem Stellar – oba projekty uczyniły go multimilionerem.

Karpeles? Po latach w japońskim więzieniu i procesach sądowych, w 2024 roku ogłosił uruchomienie nowej giełdy kryptowalutowej EllipX… w Polsce. Najwyraźniej niczego go nie nauczyła przeszłość.

Lekcja na Przyszłość

Historia sprzedaży MtGox to klasyczny przykład tego, jak szybko rozwijający się rynek kryptowalut przyciągał ludzi nieprzygotowanych na jego złożoność. McCaleb był genialnym programistą, ale nie biznesmenem. Karpeles miał ambicje, ale brakowało mu doświadczenia w zarządzaniu finansami na taką skalę.

Gdyby McCaleb poświęcił więcej czasu na zbudowanie solidnych fundamentów bezpieczeństwa zamiast szukania szybkiej drogi ucieczki, historia bitcoina mogłaby potoczyć się zupełnie inaczej. A gdyby Karpeles dokładniej sprawdził, co kupuje…

Ale przecież wtedy nie mielibyśmy jednej z najbarwniejszych historii w całej kryptowalutowej branży.

Artykuł Wzloty  i upadki bitcoin – Początek pochodzi z serwisu Z IT Wzięte.

Pomyśl o tym przez chwilę. Co by się stało, gdyby Twój komputer pewnego dnia po prostu się nie włączył? Albo gdybyś przez przypadek skasował folder ze zdjęciami z ostatnich dziesięciu lat wakacji? Awaria dysku, kradzież laptopa czy atak wrednego wirusa – to wszystko dzieje się naprawdę. Strata wspomnień i ważnych dokumentów boli bardziej niż myślisz.

Na szczęście żyjemy w czasach, gdzie zrobienie automatycznej kopii zapasowej jest prostsze niż zamówienie pizzy. Istnieje mnóstwo programów, które zrobią to za Ciebie – cicho, w tle, bez Twojego udziału. Dzisiaj wezmę na warsztat cztery popularne narzędzia: darmowe i wszechstronne Duplicati.

Duplicati

Zacznijmy od mojego ostatniego faworyta dla użytkowników domowych i małych firm , którzy chcą czegoś więcej niż tylko kopii na dysk USB. Do tej pory używałem Cobiana – ale cobian (bardzo ładnie zresztą) się zestarzał.

Duplicati to program darmowy i open-source (co oznacza, że jego kod jest jawny i sprawdzany przez społeczność). Jego największą siłą jest genialna współpraca z chmurą. Możesz ustawić, aby Twoje pliki automatycznie kopiowały się na Google Drive, Dropbox, OneDrive czy wiele, wiele innych usług.

Jak to działa w praktyce? Instalujesz, a potem przez przeglądarkę internetową (działa to lokalnie, bez obaw) tworzysz „zadanie backupu”. Wybierasz, które foldery chcesz chronić (np. Moje Dokumenty, Zdjęcia), a następnie wskazujesz, gdzie kopia ma lądować. Ustawiasz harmonogram – np. codziennie o 22:00 – i zapominasz o sprawie.

Co w nim jest super?

• Szyfrowanie: Zanim Twoje pliki wylecą w świat (do chmury), Duplicati zamyka je w szyfrowanym sejfie (AES-256). Nikt oprócz Ciebie, nawet Google czy Microsoft, nie będzie w stanie ich odczytać. Ty masz hasło, Ty masz władzę.
• Oszczędność miejsca: Robi pierwszą dużą kopię, a potem dogrywa tylko te fragmenty plików, które się zmieniły. To sprawia, że kolejne kopie robią się szybko i nie zapychają Twojego dysku w chmurze.
• Wersjonowanie: Skasowałeś coś przez przypadek tydzień temu? Nie ma problemu. Duplicati przechowuje starsze wersje plików, więc możesz cofnąć się w czasie.
• Potrafi robić kopie baz MsSQL
• Ogarnia VSS – czyli można robić kopie baz czy VMek w trakcie ich pracy.
• Obsługuje linuxa
• Cena: Jest całkowicie darmowy.

Na co można obecnie robić kopie? Jak na darmowy program lista jest naprawdę imponująca.

• Amazon S3 
• Azure Blob Storage 
• Backblaze
• Box.com 
• Dropbox 
• External Hard Drive
• FTP Server 
• Google Cloud 
• Idrive e2
• Jottacloud 
• Microsoft SharePoint
• OneDrive
• Network-attached Storage (NAS)
• SFTP Server 
• OpenStack
• RClone
• Storj 
• Tahoe-LAFS 

Czy są jakieś minusy? Szczerze mówiąc, dla osoby nietechnicznej pierwsza konfiguracja połączenia z chmurą może wymagać chwili skupienia. Czasem też użytkownicy zgłaszają, że po wielu miesiącach działania program potrafi zgubić się we własnych plikach i wymaga „naprawy” bazy danych. Mimo to, dla darmowego narzędzia o takich możliwościach, jest to absolutny top.

Problem którego doświadczyłem , poawił mi że przy robieniu codziennej kopii 2 TB danych i nie resetowaniu kompa ponad 20 dni . Zadania potrafiły sobie „zawisnąć” . Po resecie ruszyło

Dla mnei osobiście mega usprawnieneim jest „webowy ” panel zbiorczy gdzie można widzieć status wszystkich zadań na wszystkich komputerach.

JA testuję dalej ,vjak narazie bez żadnej większej wtopy

https://duplicati.com/

Artykuł Duplicati – godny następca Cobian Backup? pochodzi z serwisu Z IT Wzięte.

Spokojnie, to nie koniec świata! To po prostu kolejny etap w życiu technologii, poniżej wyjaśniam , co to wszystko oznacza i jakie masz możliwości.

Co tak naprawdę oznacza „Koniec Wsparcia”?

Wyobraź sobie, że Twój system operacyjny ma niewidzialnego stróża. Ten stróż, zapewniany przez firmę Microsoft, regularnie patroluje oprogramowanie, łatając wszelkie dziury w zabezpieczeniach, naprawiając błędy i dbając o to, by wszystko działało sprawnie. Jest Twoją pierwszą linią obrony przed wirusami, hakerami i innymi cyfrowymi nieprzyjemnościami.

Koniec wsparcia, który dla Windows 10 Home i Pro został oficjalnie wyznaczony na 14 października 2025 roku, oznacza, że ten stróż po prostu odchodzi ze stanowiska.

Microsoft przestanie wypuszczać:

• Aktualizacje zabezpieczeń: To najważniejszy punkt. Nowo odkryte luki w systemie nie będą już łatane, co zostawi otwartą furtkę dla złośliwego oprogramowania.
• Aktualizacje niezwiązane z bezpieczeństwem: Poprawki błędów czy drobne ulepszenia funkcji również przestaną się pojawiać.
• Wsparcie techniczne: Oficjalna pomoc od Microsoftu w razie problemów nie będzie już dostępna.

Twój komputer po tej dacie nadal będzie się uruchamiał i działał. Ale korzystanie z niego będzie przypominało mieszkanie w domu z otwartymi na oścież drzwiami w niezbyt bezpiecznej okolicy. Można? Można. Ale po co ?

Twoje opcje na przyszłość.

Nie ma jednej uniwersalnej odpowiedzi. Najlepsze rozwiązanie zależy od Twojego komputera, potrzeb i odrobiny chęci. Przeanalizujmy wszystkie scenariusze.

Opcja 1: Naturalna droga – darmowa aktualizacja do Windows 11

To ścieżka rekomendowana przez Microsoft i w większości przypadków najlepsza. Windows 11 to nowocześniejszy, bezpieczniejszy i wciąż aktywnie rozwijany system. Zanim jednak klikniesz „Aktualizuj”, musisz sprawdzić, czy Twój komputer jest na to gotowy.

• Jak sprawdzić zgodność sprzętu? Microsoft stworzył do tego proste narzędzie o nazwie „PC Health Check”(Sprawdzanie kondycji komputera). Możesz je pobrać z oficjalnej strony Microsoft. Po zainstalowaniu i uruchomieniu, jednym kliknięciem sprawdzisz, czy Twój sprzęt spełnia minimalne wymagania.
• Co, jeśli komputer nie jest zgodny? Najczęstszymi przeszkodami są brak modułu TPM 2.0 oraz nieobsługiwany procesor. Nie wnikając w szczegóły, to takie nowoczesne „zamki” w drzwiach, których wymaga Windows 11. Jeśli narzędzie powie „NIE”, nie martw się – przejdź do kolejnych opcji.
• Jak wygląda aktualizacja? Jeśli Twój komputer jest zgodny, system Windows 10 prawdopodobnie sam zaproponuje Ci aktualizację poprzez usługę Windows Update. Proces jest darmowy (dla legalnych posiadaczy Windows 10) i przypomina instalację dużej, corocznej aktualizacji. PAMIĘTAJ! Zanim zaczniesz, zrób kopię zapasową najważniejszych plików!

Opcja 2: Ścieżka dla odważnych – instalacja Windows 11 na niewspieranym sprzęcie

Co jeśli oficjalne narzędzie mówi „NIE”, a Ty bardzo chcesz mieć Windows 11? Cóż, jak to w internecie bywa, istnieją sposoby, aby obejść oficjalne wymagania. To opcja dla bardziej zaawansowanych i świadomych ryzyka użytkowników.

Wymaga to modyfikacji instalatora systemu, aby zignorował sprawdzanie modułu TPM czy modelu procesora. Istnieją w sieci poradniki, które pokazują, jak ominąć te ograniczenia (link: https://youtu.be/g27D4akIqjU).

Musisz jednak wiedzieć o potencjalnych konsekwencjach:

• Brak gwarancji stabilności: System może działać niestabilnie lub niektóre funkcje mogą nie działać poprawnie.
• Problemy z przyszłymi aktualizacjami: Microsoft nie gwarantuje, że kolejne duże aktualizacje Windows 11 będą się instalować na tak zmodyfikowanym systemie.
• Robisz to na własną odpowiedzialność.

To ciekawa alternatywa, jeśli lubisz eksperymentować, ale nie jest to rozwiązanie, które polecilibyśmy babci lub osobie używającej komputera do pracy.

Tutaj tutorial jak można to zrobić https://youtu.be/g27D4akIqjU

Opcja 3: Pozostanie przy Windows 10 – świadome ryzyko

Możesz po prostu zignorować wszystkie komunikaty i dalej używać Windows 10 po październiku 2025. Jak wspomnieliśmy – komputer będzie działał. Ale z każdym miesiącem ryzyko infekcji lub problemów z kompatybilnością będzie rosło.

Nowe programy, gry czy urządzenia peryferyjne (np. drukarki) mogą przestać (i pewno w końcu przestaną) wspierać stary system. To droga donikąd, ale jeśli używasz komputera sporadycznie, offline i nie przechowujesz na nim żadnych wrażliwych danych, jest to jakaś (bardzo tymczasowa) opcja.

Opcja 4: Witaj w świecie Linuksa!

Jeśli Twój komputer jest za stary na Windows 11, a nie chcesz ryzykować z Windows 10, mamy dla Ciebie fantastyczną alternatywę. To świat darmowego i otwartego oprogramowania – Linux.

Zapomnij o mitach, że Linux jest trudny i tylko dla programistów! Nowoczesne systemy, takie jak Linux Mint czy Ubuntu, są dziś równie proste w obsłudze co Windows.

• Jest darmowy: Cały system i tysiące programów są dostępne za darmo.
• Jest bezpieczny: Uważany za znacznie bezpieczniejszy od systemów Windows.
• Jest szybki: Tchnie nowe życie w starsze komputery, które ledwo radziły sobie z Windows 10.
• Ma wszystko, czego potrzebujesz: Przeglądarka internetowa, pakiet biurowy, programy do grafiki i muzyki – wszystko jest na wyciągnięcie ręki.

Instalacja Linuksa na starym pececie to świetny sposób na stworzenie bezpiecznej i w pełni funkcjonalnej maszyny do przeglądania internetu, maili czy oglądania filmów.

Jeśli używasz komputera do standardowych zadań typu internet,poczta, pisanie dokumentów . To to może być dobra dorga do Ciebie.

FAQ: Szybkie odpowiedzi na Twoje obawy

• Czy stracę moje zdjęcia i dokumenty podczas aktualizacji do Windows 11? Standardowy proces aktualizacji zachowuje wszystkie pliki. Ale technologia bywa złośliwa, dlatego ZAWSZE przed dużą zmianą w systemie zrób kopię zapasową najważniejszych danych na dysku zewnętrznym lub w chmurze (np. Dysk Google, OneDrive).
• Ile kosztuje przejście na Windows 11? Dla posiadaczy legalnej licencji Windows 10 aktualizacja jest bezpłatna.
• Mój komputer nie nadaje się do Windows 11. Czy muszę kupić nowy? Absolutnie nie! Jak pokazaliśmy wyżej, masz co najmniej dwie świetne opcje: pozostanie przy Windows 10 (świadomie) lub danie szansy systemowi Linux, który sprawi, że Twój sprzęt odżyje.

Podsumowanie: Twój komputer, Twoja decyzja

Koniec wsparcia dla Windows 10 to nie powód do paniki, ale doskonały moment, aby na chwilę zatrzymać się i zadbać o swoje cyfrowe bezpieczeństwo. Masz wybór i to jest najważniejsze.

1. Sprawdź zgodność z Windows 11 – to Twój pierwszy i najważniejszy krok.
2. Jeśli tak – aktualizuj, pamiętając o kopii zapasowej.
3. Jeśli nie – rozważ Linuksa jako bezpieczną i darmową alternatywę.
4. Opcje „na własną rękę” traktuj jako ciekawostkę, jeśli nie czujesz się pewnie.

Powodzenia

Artykuł Koniec Wsparcia Windows 10 – co z tym zrobić ? pochodzi z serwisu Z IT Wzięte.