1. Fórum Root.cz
  2. Profil czechsys
  3. Zobrazit příspěvky
  4. Témata

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: [1] 2 3 ... 8
1
Server / Zabbix jako notifikační systém
« kdy: 13. 05. 2026, 14:11:32 »
Cau,

mam tu takovy specificky zadani monitoringu specificke aplikace a uvedomil jsem si, ze s jednou veci se na zacatku nepocitalo. Rekneme, ze v principu se jedna o jednorazovou (v intervalu opakovanou) notifikaci:

1] monitorovana polozka v intervalu treba 1x denne
2] pokud je trigger vyhodnocen jako true, posle notifikaci
3] automaticky reset triggeru na false - bez resetu by neposlal v dalsim intervalu (tady asi by to chtelo typ multiple?)

A bod 3] mi ted vrta hlavou. Zatim jedine reseni, co mne napada, je spustit 1] alespon 2x denne (napr. 1:00, 5:00) a dat do toho podminku, ze pokud je po 5:00, tak je OK stav a udelat extra akce, aby se neposilal stav obnovy.

Ma nekdo lepsi napad/znalosti? Z dokumentace se zda, ze s takovymhle monitorovanim stavu se nepocita.

Diky.

2
Software / Expirace interního kořenového certifikátu
« kdy: 04. 05. 2026, 15:23:37 »
Cau,

mam interni CA kde bude expirovat root certifikat behem tohoto roku. Konfigurace je Root V1 -> Intermediate V1 -> Leaf V1 zivotnosti do Datum V1. Budu to poprve menit a jeste na stovkach systemu.

V ramci oddeleneho pokusu, ktery nema vliv na aktualni konfigurace, jsem udelal prodlouzeni "renewal" s tim, ze jsem na zkousku zvolil nahrazeni. Nahradil jsem tedy postupne od korene certifikaty:
Root V1 -> Root V2
Intermediate V1 -> Intermediate V2
Leaf V1 -> Leaf V2
(ostatni certifikaty v celem strome zustaly beze zmeny na V1)

Datum generovani je od Datum V2, kde Datum V2 < Datum V1 a zaroven do V2 je daleko za zivotnosti V1.

Nasadil jsem Intermediate V2 + Leaf V2 do jednoho testovaciho webu. Na klientovi jsem mel Root V1, certifikat byl akceptovan jako validni (Root V1 -> Intermediate V2 -> Leaf V2), coz jsem necekal. Chtel bych si overit, ze to spravne chapu - prodlouzeni(nahrazeni) Root + Intermediate + Leaf certifikatu v retezci zachovava duveryhodnost celeho celeho stromu vuci korenovemu certifikatu ? Tedy:

a] pokud klient ma Root V1, bude duverovat i systemum, ktere nasadi komplet V2?
b] pokud klient ma Root V2, bude duverovat i systemum, ktere jsou momentalne na V1?

Pokud by platily body a] a b] najednou, tak by to velmi usnadnilo prechod na V2.

Jo a kdyby to nekoho zajimalo, Safari neakceptoval Leaf V2 s zivotnosti 5Y, akceptoval jen s zivotnosti 2Y. Tedy, omezeni platnosti na interni certifikaty na 825D.

3
Server / Dovecot Sieve a odchozí e-maily
« kdy: 20. 03. 2026, 13:10:09 »
Zdravim,

ma nekdo realnou zkusenost? Zkusil jsem nastavit pres roundcube filtr na "Sender", nasledne na "all messages" (tedy bez filtrovani), ale odchozi testovaci email tim filtrem zrejme neprojde.

Na googlu je par pripadu, kde se pise, ze to pry podporuje (proton atd)., ale v dokumentaci sieve jsem nasel jen:

"Useful, when you want sieve to manage your incoming and outgoing email (you must ask your mail reader to Bcc your mail to your dovecot in this case)."

Posilani pres bcc, ktery nesmi uzivatel zapomenout, mi pripada jako kockopes (to uz muzu nastavit bcc v profilu).

Jde tedy pouzit sieve na odchozi emaily (posilane pres submission/smtpd)? Nebo pouze konfigurace primo v postfixu?

Diky

4
Server / Některé repozitáře APT nefungují kvůli SHA1
« kdy: 02. 02. 2026, 10:35:29 »
Ahoj,

zapomel jsem si to u par veci ohlidat, ale to by nebyl takovy problem. Problem je v tom, ze nektere repozitare proste nefunguji.

1] zabbix - mame nyni 6.4 kvuli serveru (ceka se na 8.x) kvuli slozitosti predelani sablon. 6.4 je nepodporovana, ale zatim to stacilo. Jenze ted si apt stezuje kvuli SHA1. Napadlo me pouzit zabbix-agent 2 7.0, tam ten klic funguje, ale v oficialni dokumentaci pisou, ze pro server 6.4 je podporovovany agent max verze 6.4. Ma nekdo zkusenosti s behem novejsich agentu?

2] downloads.linux.hpe.com/SDR/repo/mcp - ani GPG-KEY-mcp, ani hpPublicKey2048_key1.pub mi momentalne nefunguje. Je to nejaka chyba u mne, nebo je potreba jiny klic? Chyba je "signing key is not bound ... no binding signature at time 2023-09-05 ..."

Nechci videt, kolik dalsich repozitaru nefunguje a blizi se planovana aktualizace :D

5
Server / Kubernetes a správa uživatelů
« kdy: 27. 01. 2026, 10:36:57 »
Cau,

vyvojari si chteji zkusit nejaky kubernetes, tak jsem zatim rozbehl zakladni k3s. Nejdrive jsem zkusil pouzit rootless k3s, ale testovaci kontejnery nespolupracovaly s gpu. Tak jsem se vratil k rootful. No a narazil jsem na to, ze tam vlastne neni zadna sprava uzivatelu. V tuhle chvili by mi na testovani stacilo aspon, kdyby se to dalo omezit na neprivilegovane kontejnery a omezit uzivatele do jejich namespace.

Postup pro funkcni pridani uzivatelu jsem musel nakonec musel hledat po githubech (wtf), defacto via uzivatelske certifikaty. Rancher UI jsem do toho jeste nezkousel nainstalovat. Nez budu zatracet cas ruznymi hokus pokusy, ma nekdo tip na nejakou administracni free variantu, ktera by se dala zkusit, resp. pripadne klidne i pripadne cele reseni (kube + administrace)?

Diky.

6
Server / Zabbix a rozdělení notifikací dle uživatelských skupin
« kdy: 25. 11. 2025, 14:06:16 »
Ahoj,

dlouhodobe pouzivame zabbix a oproti predchazejicimu centreonu postradam jednoduche ci rozumne rozdeleni, komu se posilaji notifikace. Momentalne pouzivana varianta pres acl na host/hostgroup neni dostatecna. Napr. admin skupinam chodi vsechno, non-admin skupinam chodi jen neco, ale z celeho hosta. Proste zakladni princip. Chodi toho ale tolik, ze i z hlediska oddeleni aplikacnich/systemovych notifikaci to neni ono. Rekneme, ze mam

fqdn (host)
a] web scenar 1
b] web scenar 2
c] vlastni monitoring specificke sluzby/parametru

Jak oddelit, aby c] nechodilo admin skupinam?
- prozatim jsem pridal tag, ktery v nastaveni akce pro notifikace danou sluzbu neposila napr. na admin skupinu. To ale neni asi reseni pro vice skupin.

Jaky princip se nejlepe u Vas uplatnil? Nastavit tag (nap. devel, customer, appX) na danou  sablonu a napsat spoustu akci pro notifikace vcetne kombinace tagu? Nebo milion uzivatelskych skupin? Proste pro mne zabbix postrada viditelne a jednoduche deleni az na uroven "sluzby".

Diky.

7
Server / DMARC/SFP a hlavička Return-Path
« kdy: 30. 10. 2025, 15:51:12 »
Zakaznikum zrejme budeme zpracovavat bounce emaily, ale potrebuji si overit, ze to chapu spravne, standardne se generuje Return-Path z MailFrom:

0] RFC 5322.From: zakaznik@example.org
1] RFC 5321.MailFrom: zakaznik@example.org
2] vlozime extra hlavicku Return-Path: bounce@some-example.org

SPF zaznamy jsou pro domeny v 0]1] a 2] nastaveny korektne.

Co jsem cetl blogy z ruznych ESP, jsem to pochopil tak, ze aby bylo "SPF aligment to pass DMARC", musi domena v 2] byt shodna v 0]. Nebo se pletu a ma to byt pri pridane 2] zarovnane v 0] a 1]?

Diky.

8
Server / PostgreSQL 18 neinicializuje databázi při instalaci
« kdy: 07. 10. 2025, 09:32:30 »
Cau,

setkavam se s tim opakovane, ale nedohledal jsem zatim zadnou informaci ohledne tohoto. Instalace postgresql 18 v debianu z repozitare apt.postgresql.org oproti predchazejicim zpusobuje toto:

1] pokud na (treba) VM neni zadna predchozi instalace libovolne verze postgresql, inicializuje se databaze + konfigurace
2] pokud na te same VM je predchozi instalace libovolne verze postgresql, NEinicializuje se databaze + konfigurace

Proc a jak z toho ven? Pan Stehule by mohl vedet?

Diky

9
Distribuce / Debian 13 a /tmp jako tmpfs
« kdy: 01. 08. 2025, 17:02:57 »
Cau,

ma nekdo zkusenosti s provozem serveru, kdy /tmp je tmpfs a ne prostor na disku? Debian 13 to tak bude jako standard, da se to sice snadno vypnout/zmenit, ale zajimaly by mne zkusenosti. Me to uplne nevoni - sam /tmp pouzivam pri sitovem prenosu cehokoli bez ohledu na velikost. Kdyz si predstavim, ze mam v infrastrukture spousta VM se < 8 GB RAM, tak zakladni omezeni na 50% RAM zni...no nepouzitelne a dost riskantne.

Diky.

10
Server / Elasticdump - kopírování uživatelů do jiného clusteru
« kdy: 11. 07. 2025, 10:56:02 »
Ahoj,

uz nevim kudy. Elasticsearch 8.x, zkousim zkopirovat uzivatele z jednoho clusteru do druheho bez pouziti snapshotu. Nasel jsem spousta navodu na elasticdump:

Dump:
Kód: [Vybrat]
# node_modules/.bin/elasticdump --debug --input=https://restore_user:SOMEPWD@SRC:9200/.security-7 --output=/tmp/.security.json

Restore
Kód: [Vybrat]
node_modules/.bin/elasticdump --debug --output=https://restore_user:SOMEPWD@DEST:9200/.security-7 --input=/tmp/.security.json

...
{
  _index: '.security-7',
  _id: 'user-SOMEUSER',
  status: 403,
  error: {
    type: 'security_exception',
    reason: 'action [indices:data/write/bulk[s]] is unauthorized for user [restore_user] with effective roles [restore_role] on restricted indices [.security-7], this action is granted by the index privileges [create_doc,create,delete,index,write,all]'
  }
}
Fri, 11 Jul 2025 08:43:10 GMT | sent 63 objects, 0 offset, to destination elasticsearch, wrote 0
Fri, 11 Jul 2025 08:43:10 GMT | Total Writes: 0
Fri, 11 Jul 2025 08:43:10 GMT | dump complete

To
Kód: [Vybrat]
indices:data/write/bulk[s] jsem nasel jako acl v Opensearch, ale v ES nic takoveho neni. Vi nekdo, jak na to? Zkousel jsem tomu dat veskere mozne role (samozrejme i all/superuser atd.), ktere nejsou aplikacne specificke (napr. kibana_* atd.)
Pro testovani migrace pres snapshot jeste nemam zprovoznene sitove uloziste. Testovani pripojenim serveru "noveho" do "stareho" ES a nejakym typem replikace se mi zdaji zatim jeste slozitejsi, tak jsem to zaitm vynechal. V principu jde o to, ze nejakym zpusobem budu potrebovat nakonec ten ES zalohovat/obnovovat, takze snapshot, nebo dump.

DIky

11
Server / Geograficky redundantní NAS
« kdy: 12. 05. 2025, 11:31:00 »
Ahoj,

provozujeme lokalni HA nas v jedne lokalite a potrebovali bychom reseni pro 2 lokality z hlediska HA. Jiz jsme poridil SAN (iscsi), ktery operuje nad obema lokalitami, ale neporidila se s nim licence nfs a dokoupeni je "docela drahe".

Testoval jsem VM nfs na tom SANu a dostal jsem se na 1/3 vykon stareho reseni (30k iops read, 10k iops write, fio randrw mixed mode). Kolega testoval obdobne jeho specificky cephfs cluster a dostal se na 2/3. Tudy tedy zrejme cesta nevede, i kdybych postavil vice VM s nfs a rozdelil provoz.

Sice bych mohl postavit stare reseni po novu pomoci, ale urcite neni v mych silach pokryt vetsinu klasickych vypadkovych stavu, nemluve o nejakem oddeleni uzivatelu - mit na NASu desitky L2 siti (sitovek) me docela desi.

Ma nekdo v provozu nejaka reseni, ktera by se dala dat na uroven small/middle business? Nevim, zda by to pokrylo treba synology. Lokality mame propojene optikou, pro pripadnou 3. lokalitu (quorum) pouzivame cloud. Hodi se i tipy na firmy, ktere takova reseni implementuji, abychom mohli ziskat cenu takovych reseni.

Diky.

12
Server / Zabbix: nejsnazší rozlišení jména položky přes discovery
« kdy: 22. 04. 2025, 11:48:53 »
Cau,

Mam standardni sablonu pro monitoring rabbitmq front, jednotlive fronty se generuji pres discovery. Potreboval bych rozlisit fronty podle jmena (prefix), abych mohl nastavit ruznou casovou hodnotu pro (nyni) 1 trigger. Jak nejsnaze toho dosahnout i z hlediska pripadneho rozlisovani podle vice jmen (prefix)?

- napadlo me dat to primo do podminky, asi by bylo mozne pouzit find(), ale casova hodnota se pak neprenese do nazvu triggeru (to je kdyztak drobnost). Jen mi to pripada trochu slozitejsi a uplne ne nejvhodnejsi varianta z hlediska zabbixu
- zkusil jsem naklonovat ten discovery proces, ale bohuzel to neklonuje prototypy, takze bych musel vse "prepsat" rucne, je to desitky prototypu
- nasel jsem info, ze lze naklonovat sablonu, z toho vsechno vyhazet, pak to propojit s puvodni sablonou. Uplne jsem z toho nepochopil, co vse bych musel vyhazet, a hlavne, spis bych to chtel vlozit do te aktualni sablony, nez to propojovat.

Nejjednodussi varianta, mit 2 sablony, kde se nekde pres makra zvolim ty "prefix" parametry, zni nejjednoduseji, ale logicky, ze vypocetne/datove nejnarocneji. Nemluve o budouci udrzbe samotnych sablon z hlediska aktualizace zabbixu.

Nejaky tip? Diky

13
Server / Forward proxy, která umí zakázat IPv6
« kdy: 03. 04. 2025, 09:21:53 »
Cau,

squid nechce a neumi zakazat odchozi provoz pro ipv6 na dualstack serveru. Existuje spolehliva proxy, ktera by toto umela? Hodilo by se mi tam dualstack mit a neomezit cely server jen na ipv4.

Nasel jsem zatim simpleproxy,privoxy, atd, ale neznam je.

Diky

14
Server / Existuje nějaké jednoduché S3 pro lokální použití?
« kdy: 31. 03. 2025, 14:41:44 »
Cau,

potreboval bych zalohovat ELK cluster, momentane nemame zadne S3. Nez pujdu cestou nfs/samba, tak se radsi zeptam, zda je nejake jednoducha (1 serverova) S3 implementace k dispozici.

Diky.

15
Distribuce / Debian 12 Podman: dual-stack na výchozí síti
« kdy: 28. 03. 2025, 11:00:04 »
Ahoj,

da se nejak nastavit, aby defaultni bridge byl dualstack? Je to verze debian 12, takze 4.3.1. At jsem si hral slirp4netns, netavark jakkoli, tak  v rootless kontejner funguje pres slirp4netns. Ale nedari se mi nastavit defaultni konfiguraci v /etc/cni/net.d/87-somefilename, abych nemusel vytvaret v uzivateli novou sit s podporou ipv6. I kdyz ten soubor upravim, uzivatel ma vzdy jen ipv4 verzi.

Diky

Stran: [1] 2 3 ... 8