Příspěvky

1

Server / Zabbix a rozdělení notifikací dle uživatelských skupin

« kdy: 25. 11. 2025, 14:06:16 »

Ahoj,

dlouhodobe pouzivame zabbix a oproti predchazejicimu centreonu postradam jednoduche ci rozumne rozdeleni, komu se posilaji notifikace. Momentalne pouzivana varianta pres acl na host/hostgroup neni dostatecna. Napr. admin skupinam chodi vsechno, non-admin skupinam chodi jen neco, ale z celeho hosta. Proste zakladni princip. Chodi toho ale tolik, ze i z hlediska oddeleni aplikacnich/systemovych notifikaci to neni ono. Rekneme, ze mam

fqdn (host)
a] web scenar 1
b] web scenar 2
c] vlastni monitoring specificke sluzby/parametru

Jak oddelit, aby c] nechodilo admin skupinam?
- prozatim jsem pridal tag, ktery v nastaveni akce pro notifikace danou sluzbu neposila napr. na admin skupinu. To ale neni asi reseni pro vice skupin.

Jaky princip se nejlepe u Vas uplatnil? Nastavit tag (nap. devel, customer, appX) na danou  sablonu a napsat spoustu akci pro notifikace vcetne kombinace tagu? Nebo milion uzivatelskych skupin? Proste pro mne zabbix postrada viditelne a jednoduche deleni az na uroven "sluzby".

Diky.

2

Server / Re:DMARC/SFP a hlavička Return-Path

« kdy: 03. 11. 2025, 11:58:53 »

Testoval jsem to s jednim sikovnym dmarc analyzatorem  a muzu potvrdit, ze pokud v hlavicce Return-Path bude jina domena nez v hlavicce From, tak spf sice autorizuje ip adresu, ale dmarc alignment neni validni.
Celkovy vysledek pak je: spf fail, dkim pass, dmarc pass (spf a dkim relax mode).

3

Server / Re:DMARC/SFP a hlavička Return-Path

« kdy: 03. 11. 2025, 09:17:37 »

Pěkně to má popsáno Seznam.cz - https://o-seznam.cz/napoveda/email/profi/zaznamy-pro-autentifikaci-posty/dmarc/

Ten clanek neresi samostatnou hlavicku Return-Path.

4

Server / DMARC/SFP a hlavička Return-Path

« kdy: 30. 10. 2025, 15:51:12 »

Zakaznikum zrejme budeme zpracovavat bounce emaily, ale potrebuji si overit, ze to chapu spravne, standardne se generuje Return-Path z MailFrom:

0] RFC 5322.From: zakaznik@example.org
1] RFC 5321.MailFrom: zakaznik@example.org
2] vlozime extra hlavicku Return-Path: bounce@some-example.org

SPF zaznamy jsou pro domeny v 0]1] a 2] nastaveny korektne.

Co jsem cetl blogy z ruznych ESP, jsem to pochopil tak, ze aby bylo "SPF aligment to pass DMARC", musi domena v 2] byt shodna v 0]. Nebo se pletu a ma to byt pri pridane 2] zarovnane v 0] a 1]?

Diky.

5

Server / Re:PostgreSQL 18 neinicializuje databázi při instalaci

« kdy: 08. 10. 2025, 10:07:15 »

Jo, nasel jsem to v postgresql-common ve verzi pro debian 13, v debian tahle zmena neni.

6

Server / Re:PostgreSQL 18 neinicializuje databázi při instalaci

« kdy: 08. 10. 2025, 08:30:22 »

Tak jiz mi odpovedeli.

https://salsa.debian.org/postgresql/postgresql-common/-/commit/d9139f7777a42a39b5b6fabbffc9f020fad4dce5

The reasoning was that most people will want to upgrade their old
"main" cluster without having to type a scary "pg_dropcluster 18
main" first.

Christoph

Tak diky, ted si musim "scary" naprogramovat initdb do spravy postgresql.

7

Server / PostgreSQL 18 neinicializuje databázi při instalaci

« kdy: 07. 10. 2025, 09:32:30 »

Cau,

setkavam se s tim opakovane, ale nedohledal jsem zatim zadnou informaci ohledne tohoto. Instalace postgresql 18 v debianu z repozitare apt.postgresql.org oproti predchazejicim zpusobuje toto:

1] pokud na (treba) VM neni zadna predchozi instalace libovolne verze postgresql, inicializuje se databaze + konfigurace
2] pokud na te same VM je predchozi instalace libovolne verze postgresql, NEinicializuje se databaze + konfigurace

Proc a jak z toho ven? Pan Stehule by mohl vedet?

Diky

8

Sítě / Re:LG TV a obcházení NextDNS

« kdy: 29. 08. 2025, 15:39:39 »

Nastavit dns v tv. Pokud ten router umi nastavovat dns per network/ssid, tak to lze tam. Jinak by to vyzadovalo vlastni dhcp/slaac apod. konfigurace mimo router.

9

Software / Re:Doporučte správce hesel pro rodiče

« kdy: 11. 08. 2025, 09:17:51 »

Je nějaký problém s ukládáním hesel přímo v prohlížeči?

Problem je to velky. Kdejaky malware/etc si ta hesla vytahne, pripadne si to uzivatel ulozi nekde jinde a dostane se k tomu zase nekdo jiny.

10

Distribuce / Debian 13 a /tmp jako tmpfs

« kdy: 01. 08. 2025, 17:02:57 »

Cau,

ma nekdo zkusenosti s provozem serveru, kdy /tmp je tmpfs a ne prostor na disku? Debian 13 to tak bude jako standard, da se to sice snadno vypnout/zmenit, ale zajimaly by mne zkusenosti. Me to uplne nevoni - sam /tmp pouzivam pri sitovem prenosu cehokoli bez ohledu na velikost. Kdyz si predstavim, ze mam v infrastrukture spousta VM se < 8 GB RAM, tak zakladni omezeni na 50% RAM zni...no nepouzitelne a dost riskantne.

Diky.

11

Server / Elasticdump - kopírování uživatelů do jiného clusteru

« kdy: 11. 07. 2025, 10:56:02 »

Ahoj,

uz nevim kudy. Elasticsearch 8.x, zkousim zkopirovat uzivatele z jednoho clusteru do druheho bez pouziti snapshotu. Nasel jsem spousta navodu na elasticdump:

Dump:

Kód: [Vybrat]

# node_modules/.bin/elasticdump --debug --input=https://restore_user:SOMEPWD@SRC:9200/.security-7 --output=/tmp/.security.json

Restore

Kód: [Vybrat]

node_modules/.bin/elasticdump --debug --output=https://restore_user:SOMEPWD@DEST:9200/.security-7 --input=/tmp/.security.json

...
{
  _index: '.security-7',
  _id: 'user-SOMEUSER',
  status: 403,
  error: {
    type: 'security_exception',
    reason: 'action [indices:data/write/bulk[s]] is unauthorized for user [restore_user] with effective roles [restore_role] on restricted indices [.security-7], this action is granted by the index privileges [create_doc,create,delete,index,write,all]'
  }
}
Fri, 11 Jul 2025 08:43:10 GMT | sent 63 objects, 0 offset, to destination elasticsearch, wrote 0
Fri, 11 Jul 2025 08:43:10 GMT | Total Writes: 0
Fri, 11 Jul 2025 08:43:10 GMT | dump complete

To

Kód: [Vybrat]

indices:data/write/bulk[s] jsem nasel jako acl v Opensearch, ale v ES nic takoveho neni. Vi nekdo, jak na to? Zkousel jsem tomu dat veskere mozne role (samozrejme i all/superuser atd.), ktere nejsou aplikacne specificke (napr. kibana_* atd.)
Pro testovani migrace pres snapshot jeste nemam zprovoznene sitove uloziste. Testovani pripojenim serveru "noveho" do "stareho" ES a nejakym typem replikace se mi zdaji zatim jeste slozitejsi, tak jsem to zaitm vynechal. V principu jde o to, ze nejakym zpusobem budu potrebovat nakonec ten ES zalohovat/obnovovat, takze snapshot, nebo dump.

DIky

12

Server / Re:Jaký DNS resolver pro LAN a VPN?

« kdy: 01. 07. 2025, 08:55:04 »

Idealni pripad by byl, kdyby klientska stanice neleakovala informace ani jednim smerem (tj. dotazy na nase jmena nesli ven, ale taky nechci videt, ci zpracovavat jine dotazy a narusovat soukromi klientu, ani co se dns tyce, ani co se dat tyce).

Nesmysl. DNS leakuje vsemi moznymi aplikacemi, a to i proto, ze po odpojeni/padu VPN jsou ty aplikace casto stale aktivni a pak se dotazuji verejnych rekurzoru.

Nemluve o tom, ze v dobe MFA, ZTNA apod. principu se na split-horizon muzete slusne vybodnout. Slozitost konfigurace firewallu a siti tim jen narusta. A jeste v dobe ipv6.

Pokud chcete "omezit" dotazy pres "security by obscurity" na "lan/vpn domeny", tak si pred sve verejne dns dejte balancer s acl (napr. dnsdist). Ale google/microsoft/etc uz o vasich domenach davno vi.

13

Server / Re:Jaký DNS resolver pro LAN a VPN?

« kdy: 30. 06. 2025, 14:19:01 »

Co si vyberete v ramci veskerych pozadavku, co mate.
Lokalni unbound, dnsmasq, systemd-resolved, atd.
Z centralnich ja pouzivam dlouhodobe powerdns recursor ve firemnim prostredi.

14

Server / Re:Startování služeb přes systemd

« kdy: 13. 06. 2025, 10:26:49 »

Je k dispozici systemd-analyze.

Pokud neni k dispozici backport kernel, tak pak uz jen jedine poridit spravnou kartu.

15

Server / Re:Hotový systém na prehliadanie údajov z DB?

« kdy: 29. 05. 2025, 08:18:34 »

Snipe-IT