Příspěvky

1

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 23. 11. 2025, 12:16:42 »

Ještě bych měl dotaz, nevíte někdo co s tímto ? googlil jsem to, ale návody nepomohly

Kód: [Vybrat]

[23.11.2025 11:47:17]    Checking NetXMS agent...
[23.11.2025 11:47:17]    Cannot connect to NetXMS agent (Internal error)Sice NetXMS server vidí, že je to naživu (nejspíše přes ping), ale agent nějak blbne (přitom je dle systemctl nahozený)

Kód: [Vybrat]

root@box:/home/kopecek# systemctl status nxagentd
● netxms-agent.service - NetXMS agent
     Loaded: loaded (/lib/systemd/system/netxms-agent.service; enabled; vendor preset: enabled)
     Active: active (running) since Sun 2025-11-23 11:46:05 CET; 28min ago
   Main PID: 941898 (nxagentd)
      Tasks: 38 (limit: 4558)
     Memory: 9.3M
        CPU: 1.079s
     CGroup: /system.slice/netxms-agent.service
             └─941898 /usr/bin/nxagentd -S

Nov 23 11:46:05 box.littlehill.xyz systemd[1]: Started NetXMS agent.


Na UFW jsem dal povolit komunikaci s 10.220.59.1 port 4700 (netxms server) a někde jsem našel, že to komunikuje i přes port 5161

Kód: [Vybrat]

ufw status numbered
Status: active

     To                         Action      From
     --                         ------      ----
[ 1] 22/tcp                     LIMIT IN    Anywhere                 
[ 2] 53                         ALLOW IN    Anywhere                 
[ 3] 25/tcp                     ALLOW IN    Anywhere                 
[ 4] 465/tcp                    ALLOW IN    Anywhere                 
[ 5] 587/tcp                    ALLOW IN    Anywhere                 
[ 6] 993/tcp                    ALLOW IN    Anywhere                 
[ 7] 995/tcp                    ALLOW IN    Anywhere                 
[ 8] 4190/tcp                   ALLOW IN    Anywhere                 
[ 9] 80/tcp                     ALLOW IN    Anywhere                 
[10] 443                        ALLOW IN    Anywhere                 
[11] 4700                       ALLOW IN    10.220.59.1               
[12] 10.220.59.1 4700           ALLOW IN    Anywhere                 
[13] 10.220.59.1 5161           ALLOW IN    Anywhere                 
[14] 5161                       ALLOW IN    10.220.59.1               
[15] 22/tcp (v6)                LIMIT IN    Anywhere (v6)             
[16] 53 (v6)                    ALLOW IN    Anywhere (v6)             
[17] 25/tcp (v6)                ALLOW IN    Anywhere (v6)             
[18] 465/tcp (v6)               ALLOW IN    Anywhere (v6)             
[19] 587/tcp (v6)               ALLOW IN    Anywhere (v6)             
[20] 993/tcp (v6)               ALLOW IN    Anywhere (v6)             
[21] 995/tcp (v6)               ALLOW IN    Anywhere (v6)             
[22] 4190/tcp (v6)              ALLOW IN    Anywhere (v6)             
[23] 80/tcp (v6)                ALLOW IN    Anywhere (v6)             
[24] 443 (v6)                   ALLOW IN    Anywhere (v6)   
Konfigurák agenta:

Kód: [Vybrat]

# Log File
LogFile=/var/log/nxagentd.log
#[CORE]
# IP white list, can contain multiple records separated by comma.
# CIDR notation supported for subnets.
MasterServers= 127.0.0.1/32, 10.220.59.1:4700, 10.220.59.8


SubAgent=ssh.nsm
SubAgent = portcheck.nsm
SubAgent = filemgr.nsm

[filemgr]
RootFolder = /var/log
Nějak se mi podařilo rozchodit ten wireguard mezi MIAB a NetXMS serverem, ale furt tam jsou chyby (např. musím shodit wireguard, kdyz chci aktualizovat server apod... sluzby jinak chodi...udelal jsem to tak, ze jsem nastavil wireguard DNS ne na 9.9.9.9 ale na DNS hukotu

Kód: [Vybrat]

[Interface]
PrivateKey = XXXXXX=
Address = 10.220.59.8/24,fd11:5ee:bad:c0de::adc:3b08/64
#DNS = 9.9.9.9, 149.112.112.112
DNS = 46.36.40.255

[Peer]
PublicKey = YYYYYY=
PresharedKey = YYYYY=
Endpoint = 176.102.X.X:51820
AllowedIPs = 10.220.59.1/32, 10.220.59.2, fd11:5ee:bad:c0de::adc:3b01/64


2

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 22. 11. 2025, 19:31:04 »

Děkuji za popošťouchnutí, nejspíš to budu muset řešit přes nějakou routovací tabulku, případně zkusím ještě udělat ten most v tunelu a nastavit na fw, aby provoz mimo 10.220.59.1 (tzn. provoz mimo VPS s koncentrátorem VPN) šel na rozhraní ens18 (což je ethernet u hukotu, kde hostuji). Úplně si nejsem jistý, jak to správně nakonfigurovat. Tato otázka už se týká spíše jiného tématu, takže to přesunu jinam.

3

Hardware / Re:NAS s virtualizací na doma

« kdy: 20. 11. 2025, 14:18:41 »

Vzhledem k politice a uzavřenosti Synology se mi nechce dělat upgrade 716+ a uvažuji o alternativně NAS - ideálně s podporou virtualizace.
Zaujala mě nabídka UGREEN NASync DXP4800 Plus za EUR560 - přijde mi, že dát na to Proxmox by vyřešilo mé požadavky - oproti stavěnému stroji by tento měl mít menší spotřebu.
Má s tím někdo zkušenosti?

Koukněte na stavbu NAS od Roberta Vojčíka zde na rootu. Hlavně první díl vysvětluje co a jak -> +/- tohoto řešení. Pokud byste chtěl pěkný case, tak doporučuji innovision https://www.iovstech.com/ na alibabě se dají sehnat za rozumnou cenu..

4

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 18. 11. 2025, 20:39:46 »

Přikládám schéma, jak to mám zatím řešeno. Tunel VPN-koncentrátor <-> VPS MIAB fachá, ale od té chvíle na VPS MIAB nelze přistupovat "extreně" tzn přes IP:176.102.x.y ale pouze v rámci VPN tzn. IP:10.220.59.9 -> předpokládám, že tím bypassuju veškerý provoz přes VPN-koncentrátor a je tím tedy odstaven DNS v MIAB a veškeré služby z MIAB. Nevěděl by někdo nějaký návod, jak udělat správně routovací tabulku, že veškerý provoz má jít na rozhraní eth0 a pouze komunikace v rámci VPN (což bude pouze monitorink, případně zálohy do S3) půjdou přes rozhraní garage1 (což je wireguard) půjdou na 10.220.59.1 do koncentrátoru..

5

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 18. 11. 2025, 16:08:58 »

Pokud něco, co můžeš využít i v profesním životě tak prometehus+alertmanager, nebo ten zabbix.

Pokud chceš malou (podle popis ti nebude stačit) domáci utilitku, tak uptime-kuma. Naklikáš si endpointy, a vidíš, že to jede/nejede. Plus ti to může poslat alert. https://github.com/louislam/uptime-kuma

Tak jsem si našel ten prometheus, https://www.youtube.com/watch?v=1si0DXveWH4
Ale chtěl bych se zeptat, jestli je lepší (dle vás) to provozovat v dockeru, někde na vps, nebo u sebe doma na vyhrazené virtuálce. Jde mi o to, abych to nemusel složitě nahazovat po každý aktualizaci tý VPS a zároveň abych si nerozdrbal ten mail server. Resp. jde mi o best practices, jak by se řeklo :-) IT se asi nikdy živit nebudu, ale přece jen chci dělat věci, jak se sluší a patří.

Promiň, po pár měsících jsem si všimnul, že ses doptával. Jelikož to tu je pořád aktivní, odpovím obecně:

Co jde, cpu doma do dockeru. Je třeba si vyladit tu úvodní konfiguraci, ale pak už to můžeš opakovaně zahazovat a spouštět, a pořád máš uklizeno.

Ahoj díky za info. Já jsem to teď o víkendu drátoval a udělal jsem to tak (nevím jestli je to dobře), že jsem si přikoupil vps kde mám ten monitorovací server. Wireguardem jsem tam nadrátoval všechny moje "blbinky" (čti RPička pro tetu, mámu, nasky, 3d tiskárny apod..). Problém jsem zaznamenal až při drátování druhé VPS(s veřejnou ip a vlastním dns) kde mám mail server (Mail-in-a-box: CalDAV. CardDAV, nextcloud, vlastní dns), kde jsem to udělal nejdřív klasika, abych zbytečně nedělal tunely, tak veřejná IP VPS MIAB a veřejná IP VPS s monitorinkem NETXMS, což fachalo - dělal jsem to pouze na zkoušku, přenos nebyl šifrovaný, všechno jsem si pak změnil. Bohužel jsem to nastavil nějak blbě, takže při nahození wg tunelu mezi nima, se mi rozsypalo to DNS na MIAB VPS a nefachalo nic (maily, nextcloud apod...) takže jsem to zase shodil dolu a nemonituruju. Nevěděl by někdo prosím, jak udělat ten tunel mezi VPS, aby ten tunel byl pouze na ten monitorink a ostatní tzn. maily, nextcloud chodily klasika přes to dns v tý VPS s MIAB? Vím že to bude asi prkotina, ale tohle bych chtěl umět pořádně a nechci to rozdrbat komplet...Dík za případnou radu a pomoc..

6

Server / Re:SSH s YubiKey píše: Permission denied (publickey)

« kdy: 13. 11. 2025, 11:16:06 »

Ještě bych se chtěl zeptat na jednu věc. Nainstaloval jsem si ten terminál Yakuake. Fáchá to pěkně, ale mám takovou nepříjemnost, když dám otevřít novou záložku, tak musím zase extra přidávat certifikát tzn. opakovat celé znovu

Kód: [Vybrat]

eval "$(ssh-agent -s)"
ssh-add -t 8h priv_klic.key
ssh user@moje-vpska.org -p 22
Což předtím nedělalo, a myslím si, že ten klíč si ty session neumí předávat. Komplikace je to pro mě velká, neboť si pak nemůžu předávat klíče i do filezilly a tím pádem nahrávat soubory z vps do pc a opačně. Něvěděl by někdo co mám kam přidat (bude to asi něco do bash.rc nebo nějak tak)?
Děkuji za případné rady.

7

Bazar / Re:Prodám kalkulátor TI-92

« kdy: 12. 11. 2025, 21:08:16 »

Jeden sice už mám, ale matlabů+maxim do kapsy moc nikdy není, když by to do měsíce nikdo nechtěl, tak beru :-) Pro případného zájemce bych ještě odkázal na stránky https://ticalc.org/, ideální stroj na řešení úloh z mechaniky, pružnosti a pevnosti (když si tam doinstalujete mohrovy kružnice) a i na laborky z přenosových jevů (tabulky vody-vodní páry) apod...Kábl jde udělat doma za 50kč, jediný co potřebujete je stolní PC se seriovým (nebo paralelním) portem https://ticalc.org/hardware/cables/ funguje to skvěle s programkem tilp2, který je obsažen v repozitářích většiny distribucí... Plus na numerickou matiku tam jde doprogramovat většina metod, více na VIP fóru strojar.com :-), i nějaký taháky jdou do toho dát:-) https://wordrider.net/screenshots.html

8

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 11. 11. 2025, 17:59:24 »

Ok, moc děkuju, zkusím tam tedy přidat jinou VPS abych si to nacvičil, a pak udělám tu VPN pro klienty...

9

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 11. 11. 2025, 15:57:18 »

......

je to minimální konfigurace pro agenta snad pro vaše účely bude dostačující.
agent log je dle konfigu agenta, tam najdete pokud se spustí, další provozní informace.
LogFile=/var/log/nxagentd

Pevné nervy přeji.

Jste zlatej, moc děkuju, už jsem to rozchodil. Ještě bych měl asi trochu hloupý dotaz, ale zkouším přidat to RPi do monitorinku. Musím mít to RPi ve stejné síti jako je ten server (tzn. udělat VPN), nebo se dá přihlásit na ten server, který má veřejnou ip i bez toho? Ptám se, protože, když jsem zkoušel tam dát to zařízení- jako nový nód, tak mi to sice tam to zařízení přidá, ale nemám z něj žádné metriky...(IP jsem zkusil zjistit pomocí

Kód: [Vybrat]

curl ifconfig.me, ale jsem stoprocentně za milionem natů

10

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 10. 11. 2025, 16:25:57 »

Dobrý den,
zrovna tím bych nezačínal, webové rozhraní přes tomcat je dost overkill, doporučuji fat klienta a hrát si s ním bez www rozhraní které je vlastně fat klient běžící na tomcatu na serveru a bude to celé žrát 3x víc než samotné cečkove netxms..

Pokud ale opravdu chcete, zaklad je uchodit tomcat aby šla default page, a poté do webapps složky tomcatu zkopírovat aplikaci staženou z download ve formě ROOT.war tomcat ji nahodí a bude hned za lomítkem url serveru.

Pokud aktualizujete netxms server, budete muset také aktualizovat web rozhraní ono warko, pokud je tam větší změna napíše že klient verze jsou různé a ukončí se.

Postup je tady, a na první dobrou co jej pročítám mě přijde aktuální
https://netxms.org/documentation/adminguide/installation.html#web-management-client

Moje rada pro Vás je ale na tohle kašlat, stáhnete odsud https://netxms.com/download/releases/5.2/nxmc-5.2.7-win32-x64-bundled-jre.zip win fat clienta včetně jre co se nemusí se instalovat dá se synchronizovat třeba nextcloud diskem, zadejte ip serveru user a pass a jste tam.

Dobrý den, děkuji moc za reakci. Nakonec jsem instalaci webového rozhraní zavrhl. Ten klient se zdá být ok, celkem se to pěkně používá. Jen mi vyvstala otázka, nemáte zkušenost s kompilováním agenta na RPI5 (Raspbian 12 - bookworm)? Na stránkách je pouze klient zkompilovaný pro zastaralého Bustera 10. Zkoušel jsem to kompilovat podle různých návodů, vše se zdálo OK, ale klient nenaběhne viz kód:

Kód: [Vybrat]

× nxagentd.service - NetXMS Agent
    Loaded: loaded (/lib/systemd/system/nxagentd.service; enabled; preset: enabled)
    Active: failed (Result: exit-code) since Sun 2025-11-09 14:05:47 CET; 2min 54s ago
    Process: 1361070 ExecStart=/usr/bin/nxagentd -d (code=exited, status=127)
        CPU: 1ms

lis 09 14:05:47 mama-rpi systemd[1]: nxagentd.service: Scheduled restart job, restart counter is at 5.
lis 09 14:05:47 mama-rpi systemd[1]: Stopped nxagentd.service - NetXMS Agent.
lis 09 14:05:47 mama-rpi systemd[1]: nxagentd.service: Start request repeated too quickly.
lis 09 14:05:47 mama-rpi systemd[1]: nxagentd.service: Failed with result 'exit-code'.
lis 09 14:05:47 mama-rpi systemd[1]: Failed to start nxagentd.service - NetXMS Agent.
Konkrétně hláška "/usr/bin/nxagentd -d (code=exited, status=127)" značí, že systém nezná toho agenta - omlouvám se, že to píšu tak krkolomně.

Ještě jsem zkoušel výpis z journalctl a ve výpisu se opakují podobné hlášky.

Kód: [Vybrat]

lis 09 12:13:06 mama-rpi systemd[1]: Starting nxagentd.service - NetXMS Agent...
░░ Subject: A start job for unit nxagentd.service has begun execution
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░
░░ A start job for unit nxagentd.service has begun execution.
░░
░░ The job identifier is 188004.
lis 09 12:13:06 mama-rpi nxagentd[1307236]: /usr/bin/nxagentd: error while loading shar>
lis 09 12:13:06 mama-rpi systemd[1]: nxagentd.service: Control process exited, code=exi>
░░ Subject: Unit process exited
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░
░░ An ExecStart= process belonging to unit nxagentd.service has exited.
░░
░░ The process' exit code is 'exited' and its exit status is 127.
lis 09 12:13:06 mama-rpi systemd[1]: nxagentd.service: Failed with result 'exit-code'.
░░ Subject: Unit failed
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░
░░ The unit nxagentd.service has entered the 'failed' state with result 'exit-code'.
lis 09 12:13:06 mama-rpi systemd[1]: Failed to start nxagentd.service - NetXMS Agent.
░░ Subject: A start job for unit nxagentd.service has failed
░░ Defined-By: systemd
░░ Support: https://www.debian.org/support
░░
░░ A start job for unit nxagentd.service has finished with a failure.

Myslíte si, že to je chyba v kompilaci-instalaci, a že by stačilo tam přidat tu cestu do PATH? (Přiznám se, že úplně nevím jak to správně opravit Jenom googluju, čím to může být.)
Mám ještě záložní plán a to je SNMP na tom RPI, ale to až, selžou všechny možnosti o rozchození toho agenta. Hlavně NetXMS jsem si vybral právě kvůli snadné integraci čtení ze MODBUS skrze RPI(což se mi v budoucnu může hodit)..

11

Server / Re:Doporučte monitoring pro začátečníka

« kdy: 08. 11. 2025, 12:51:29 »

Tak jsem to netxms nainstaloval, zatím ale teda plavu v rozchození webového rozhraní - návody na https://www.netxms.org/documentation/adminguide/installation.html#custom-logo-on-login-screen
jsou docela zmatečný - prakticky nic nefachalo, jak mělo, nemáte někdo někde návod, kde je to fakt krok za krokem, aby to i hloupý strojař pochopil (tzn. i s nastavením reverzní proxy apod..)? Díky moc za ochotu...

12

Server / Re:SSH s YubiKey píše: Permission denied (publickey)

« kdy: 08. 11. 2025, 11:03:15 »

Vyřešeno. Po upgradu na Kubuntu 25.10 to sice hlásí, že to tam nejde přidat "agent refused operation" ale po eval "$(ssh-agent -s)" už to jede. To eval musím nejspíš dávat kvůli tomu, jak jsem to rozvrtal s tim gpg agentem.

13

Server / Re:SSH s YubiKey píše: Permission denied (publickey)

« kdy: 21. 10. 2025, 13:20:24 »

Děkuji za radu, jen bych se chtěl zeptat (abych nenastavoval nesmysly) - subject.user == "" zde tedy dám přihlašovací jméno klienta tzn. user_NTB namísto user_VPS ?
Bude mi to fachat na ten token od yubikey s tím starým klíčem? (tento klíč používám na asi 15 soukromých strojů, k některým se jinak než přes ssh (a ty moje staré klíče) nedostanu, tak bych nechtěl vše dělat úplně znova.

na tom Yubikey 5 NFC mám klíče které používají šifry sk-ecdsa-sha2-nistp256@openssh.com,sk-ssh-ed25519@openssh.com

Jméno uživatele, který je v tom lokálním systému ze kterého se přihlašujete. Za normálních okolností má k té kartě ( pokud je opensc překompilováno s polkit ) přístup pouze root. Takto se přidá oprávnění pro dalšího konkrétního reálného uživatele v systému. Případně lze celou tu číst s tím subject.user vynechat a tím bude mít možnost z té karty číst každý uživatel ... ale to je z pohledu bezpečnosti ošklivé.

Ano, bude to fungovat, ten privátní klíč je uložený v tom yubikey.

Tak jsem to zkusil, nastavuji podle Vás a návodu
https://ryanlue.com/posts/2017-06-29-gpg-for-ssh-auth

Ale mám zmatky v tom, jak do toho dostanu ten otisk klíče (jde mi to, že mám privátní klíč:soubor klic.key, který bez toho tokenu od Yubikey nefunguje) podle sekce:

Adding keys
Tell gpg-agent which subkey to pass to ssh by adding its “keygrip” to ~/.gnupg/sshcontrol:

Kód: [Vybrat]

$ gpg -k --with-keygrip
/Users/you/.gnupg/pubring.kbx
------------------------------
pub   rsa2048/93BDD96B 2017-06-29 [SC]
      D03833D3D52F5FFCCC73452461671825E8DEC139
      Keygrip = 8A6CDC5FCE05A5B251BD8C397B269607534B4702
uid         [ultimate] Big John <big.john@gmail.com>
sub   rsa2048/0424163D 2017-06-29 [E]
      Keygrip = E110250E32B811D45879A66F487CE95BC1906D77
sub   rsa2048/8F228EDB 2017-06-29 [A]
      Keygrip = 32BC5688805A640D495E8A7B41EC78F74E77E098
$ echo 32BC5688805A640D495E8A7B41EC78F74E77E098 > ~/.gnupg/sshcontrol


14

Server / Re:SSH s YubiKey píše: Permission denied (publickey)

« kdy: 21. 10. 2025, 07:06:03 »

Děkuji všem za pomoc.Tak jsem toho agenta ssh zkoušel i s výřečným režimem a nic

Kód: [Vybrat]

ssh-add -vvv -t 8h klic.key
Could not add identity "klic.key": agent refused operation
zkusil jsem to i na nově založeném účtu...
Jak jsem již psal, tak na služebním PC (Kubuntu 24.04.) to funguje předpisově(přidám klíč do ssh, vložím token do usb, a pak se stačí dotknout tokenu a jsem na vps), ale asi s novou verzí agenta, něco dělám špatně.
Zkusím tedy gpg-agenta...

15

Server / Re:SSH s YubiKey píše: Permission denied (publickey)

« kdy: 20. 10. 2025, 09:40:09 »

Předně bych se vykašlal na pkcs11. Vypni agenta v openssh a nahraď ho gpg-agentem.

do ~/.gnupg/scdaemon.conf přídej řádek disable-ccid ( je potřeba od gnupg 2.4 )

Pak můžeš narazit na tento bug https://dev.gnupg.org/T5935
řešením je do klientské konfigurace ssh přidat:

Kód: [Vybrat]

KexAlgorithms -sntrup761x25519-sha512@openssh.com
HostKeyAlgorithms -ecdsa-sha2-nistp256


Pokud je opensc překompilované se zapnutým polkit, tak přidej do adresáře /etc/polkit-1/rules.d soubor s příponou .rules a následujícím obsahem a do subject.user dej jmeno sveho uzivatele:

Kód: [Vybrat]

polkit.addRule(function(action, subject) {
    if (action.id == "org.debian.pcsc-lite.access_card" &&
        subject.user == "") {
            return polkit.Result.YES;
    }
});

polkit.addRule(function(action, subject) {
    if (action.id == "org.debian.pcsc-lite.access_pcsc" &&
        subject.user == "") {
            return polkit.Result.YES;
    }
});

Pokud ti to napíše The agent has no identities, tak restartni pcscd.

Děkuji za radu, jen bych se chtěl zeptat (abych nenastavoval nesmysly) - subject.user == "" zde tedy dám přihlašovací jméno klienta tzn. user_NTB namísto user_VPS ?
Bude mi to fachat na ten token od yubikey s tím starým klíčem? (tento klíč používám na asi 15 soukromých strojů, k některým se jinak než přes ssh (a ty moje staré klíče) nedostanu, tak bych nechtěl vše dělat úplně znova.

na tom Yubikey 5 NFC mám klíče které používají šifry sk-ecdsa-sha2-nistp256@openssh.com,sk-ssh-ed25519@openssh.com