Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Josef Komjati

Stran: [1] 2 3 ... 5
2
Sítě / Re:Nejde MI wedos.com a jejich hostované weby
« kdy: 28. 05. 2021, 01:24:00 »
A proč to neřešíte přímo s tamní podporou? Co my tady s tím máme podle Vás dělat?

3
Tomu, co hledáte, se říká MDM. Mám zkušenosti s AirWatchem, ale nevím jestli to bude "vaše cenovka". Co jsem tak zběžně pogooglil, asi jsou k dispozici i free řešení, zkuste se porozhlédnout: https://www.google.com/search?q=free+android+mdm

Snažit se vycraftit něco kloudného s Google toolama... Poslední co bylo (je?) použitelné, byla ReCaptcha :D

4
Distribuce / Re:Na co přejít z Centosu?
« kdy: 25. 05. 2021, 22:21:36 »
No... Mám dlouholeté zkušenosti s oběma distribucema: RHEL/CentOS i Debian.

  • Kickstart vs preseed - obojí mi vždy přišlo jako dost omezené a skončil jsem vždy u toho, že jsem přes obojí postavil minimální systém, kde fungovalo SSH a můj klíč a zbytek se dořešil přes Ansible/puppet. Stejně jsem mám své věci v Ansible, tak proč ohýbat instalátory pro dva systémy, když to můžu dořešit potom. Tím jsem měl podchycené i scénáře pro disaster recovery, uživatelská data byly zálohované jinak/jinde.
  • Kvantita versus kvalita - vysoká kvalita je možná super, ale já jsem ji nikdy asi neocenil, protože jsem se vždy dostal do stavu, že jsem na RHEL/CentOS musel něco šmudlat ze zdrojáků, protože repozitář nebo alespoň RPM nebylo. Tím jsem ztratil možnost jednoduhé aktualizace systému a občas mi to přidalo ruční kroky v případě obnovy. Typicky knihovny pro Perl. U Debianu mi balík v repozitáři nechyběl a když nebyl v distribučním, tak jsem našel alespoň třeba repozitář autora.
  • Nevím, co všichni máte s těmi verzemi - možná aktuální Debian stable (brzo nahrazen novým) obsahuje starší verzi, než aktuální RHEL, ale srovnáváte nesrovnatelné modely vydávání nových verzí. Mimochodem, nadcházející stable bude obsahovat OpenSSH 8.4, právě vydávaný RHEL 8.4 obsahuje OpenSSH 8.0. Aktuální Debian stable obsahuje 7.9, RHEL 7
     obsahuje verzi 7.4. Ale popravdě řečeno, jak ta verze v Deb, tak ta verze v RHEL 7/8 je natolik opatchovaná, že je to spíš úroveň kompatibility než verze aplikace. Takže argument o ničem.
  • Upgrade na novější verzi - pro přechod z RHEL7 na RHEL8... No dobře, jde to. Teď jsem se díval do oficiální dokumentace. V reálu je lepší nová, čistá instalace. U Debianu mám pár strojů, které začínaly na Debian 5 nebo 6, nyní budou aktualizovány na Debian 11. Ano, vyskytly se problémy, ale obvykle to bylo kvůli větší změně u nějaké aplikace, což by se řešilo kdekoliv. Jednou jedinkrát jsem řešil problém chybu samotné aktualizace, ale bylo to dobře zdokumentované, takže pár příkazů v terminálu. A ano, u pár strojů jsem šel do čisté instalace také, ale kvůli jiným věcem, než že by to nešlo.
  • Debian jako distro pro chudé - s tím bych asi jako s jediným bezvýhradně souhlasil, ale ostatní jsou jen problémy způsobené rozdílnou filozofií obou světů a nepochopením té druhé.

Jinak, abych nezůstal offtopic, tak nevidím úplně důvod odcházet od Centos-u. Jak již bylo rečeno, trochu bouře ve sklenici vody.

Ad 1 - Ano, i já to dotahuju něčím co má hlavu a patu, konkrétně Ansiblem. Problém nastává u preseedu např. s diskama. Jakmile chcete obyčejné, tupé raw disky, máte smůlu - podporován JEDEN raw disk / více disků v LVM / více disků v RAIDu. Brainless.

Ad 2 - Asi záleží na účelu. Já naopak mívám výjimečně problém s tím, že by nějaký balík chyběl. Asi to bude tím, že povětšinou netočím VMka pro dev.

Ad 3 - Jak to, že ne? Nevidím na to nic "nesrovnatelného" - vezmu současný stable a stable a rozdíly tam prostě jsou (z logiky věci, jsou to dvě odlišná distra). Neřeším co "bude", řeším co "je". Argumentem o ničem bych to nenazýval, odlišným názorem/přístupem určitě ano :)

Ad 4 - Já také netvrdím, že to nejde. Jen tvrdím, že zatím jsem se většinou přesvědčil, že čistá >> lepší.

Ad 5 - Yup. Snad se místní Debianisti neurazí.

5
Distribuce / Re:Na co přejít z Centosu?
« kdy: 23. 05. 2021, 19:19:46 »
To se řeší tak, že přes PXE nabootuješ nějaké „live CD“, které po startu automaticky spustí skript, který:
  • vytvoří partitions (případně RAID, LVM atd.) a souborové systémy
  • zkopíruje na ně tvůj připravený hotový systém (rsync, nebo rozbalí tarchiv)
  • přegeneruje SSH klíče, změní /etc/hostname a /etc/hosts
  • grub-install
  • reboot

Úvodem disclaimer: nepřu se o to, který je způsob je lepší nebo horší, jen rozvádím možnosti a diskutuji..

Dobře, nicméně vidím několik "ale":
  • nabootovat LiveCD - dobře, není problém, stejně tak musím nabootovat PXE
  • zkopírovat připravený systém - tady je kámen úrazu. Debian neposkytuje (alespoň co já vím?) oficiální rootfs v TARu - musel bych tedy ručně TARko připravit
  • zbytek je jasný

Ano, i způsob, kterým řeším já, vyžaduje určitou úroveň "přípravy" - aktuální repo (lokální, traffic ven je restricted u většiny zákošů). Aktuálním repo znamená, že PXE vždy instaluje latest systém; čemuž v případě rootfs tak není, pokud ho pořád nebudu balit sám.

+ ten skript do toho LiveCD musíš:
A; buďto zakompilovat (=vícepráce)
B; ručně zavolat(?)


Celé je to takové "co bylo dřív, vejce nebo slepice". Vždycky budou výhody a nevýhody, je to potřeba zvážit, atd. atd. Všichni to známe.

Spíš jsem poukazovat na to, že pokud dáme všechno stranou a budeme porovnávat čisté, nativní řešení, pak je kickstart rozhodně o několik řádů dál než preseed.


EDiT: Ještě mě napadlo; jak řešíš netconfig? Ručně, nebo nějaký hook v tom skriptu?

6
Distribuce / Re:Na co přejít z Centosu?
« kdy: 23. 05. 2021, 17:01:45 »
v upgradech na vyšší major. Dá se dělat in-place, ale nedoporučuju, obvykle se vysype jedna či více věcí a řešení je meh meh... lépe vyjde čistá instalalace + migrace.
Upgradoval jsem za život desítky strojů, některé o několik verzí, a žádné problémy jsem nepotkal. Občas nějaké detaily související s přechodem na nový formát konfiguračních souborů.

Namátkou můžu vybrat např. starší verze wildfly (tedy vlastně toho času ještě jboss), kde se rozhodily dependence, pak paradoxně jsem se potkal i s WASkama při upgradu s nějakými problémy ohledně SSL a konfiguráků... Pravda, u těch WASek jsem nijak do hlouby nepátral, ale je fakt, že při čisté instalaci to bylo OK na první dobrou.. Zbytek je asi dost o "náhodě", nějakej konfigurák sem, nějakej tam... Asi věc chuti a vkusu? :-)


automatizace je ZOUFALÁ. ZOUFALÁ. - Debianní preseed je mizernej, zaglitchovanej a dokumentace mizerná. víc to tady rozepisovat nebudu, ale vzhledem k tomu, že jsem u preseedu strávil za posledních pár měsíců hodně času, můžu v případě zájmu vyprávět
Tohle jsem nikdy nepotřeboval, a ani jsem nepochopil, proč to ostatní dělají: já to dělám tak, že systém nainstaluju (debootstrapem), a pak ho jenom kopíruju (a maximálně přegeneruju SSH klíče).

Odpověď je vlastně jednoduchá - automatizované headless PXE instalace. Deboostrapy (a moje oblíbené pacstrapy) jsou rozhodně čistší; v tom máte rozhodně pravdu. Ale pokud těch strojů denně máte natočit 10, 20, 50 (navíc ke své normální práci), už to přestává být legrace ;-) Nabízí se samozřejmě "templejtování", ale to bohužel neřeší headless; ve finále na to stejně budete muset sáhnout (ať už ručně, nebo nějakým toolem), aby se to dokonfilo..

7
Sítě / Re:VPN server
« kdy: 23. 05. 2021, 14:52:24 »
No vida, hned jsme se posunuli :-)

Co RDP/TS; připadá v úvahu? Pokud ne, pak VPN. Na výběr máte v podstatě OVPN(UDP), IPSec a WG (z těch lepších). Výběr usnadní:

  • Kolik BFU najednou potřebuje být připojeno?
  • Objem dat, který přes to poteče?
  • Kam to chcete tunelovat? Předpokládám nějaký dedikáč k tomu určený..? Hlavně neříkejte, že na nějakou koncovou stanici (což je klasické špatné porno typu "mlaskneme to semhle na pecko a víc řešit nebudeme .. střih.. o rok později se řeší toto")
  • Počítáte s routováním / NATem, že?

8
Sítě / Re:VPN server
« kdy: 23. 05. 2021, 10:41:18 »
Pokud máte v plánu klasický share (SMB) a VPN postavit na built-in OVPN v MikroTiku, pak si velmi ošklivě natlučete. Implementace OVPN v MT je zkriplená a neumožňuje to "lifrovat" přes UDP. Pokud hodláte MT použít např. na IPSec nabo klasicky na routování, pak samozřejmě není problém.

Málo peněz hodně muziky? Šoupněte tam FTP s implicitním šifrováním a nazdar, pryč od toho.

Sdílené disky jsou beztak špatné porno, když to není udělané pořádně (a něco mi napovídá, dle úrovně popisu, že tady je sdílený disk udělaný nasdílením složky na 10tkových widlích ... snad se pletu).

---

A teď "vážně"... Dotaz je položený tak napůl; z poloviny je to nástin jakéhosi plánu a druhá polovina chybí úplně ( :D ) Pokud chcete poradit pořádně, napište a popište pořádně i situaci / prostředí.

9
Distribuce / Re:Na co přejít z Centosu?
« kdy: 23. 05. 2021, 10:21:30 »
Ahoj.
Řešil jsem obdobnou situaci, když ukřižovali CentOS, jen těch serverů bylo ~500 (naštěstí v součtu, ne u jednoho zákazníka). Rozumných možností se nabízí několik a finální rozhodnutí je potřeba udělat s ohledem na klíčové vlastnosti.

Zůstat na CentOSu
Ano, rada za "všechny prachy", když thread je o úplném opaku... Jediná otázka zní: vadí ta změna v upstreamu natolik, že je nutné změnit distro? Samozřejmě, pokud se jedná o produkční servery, asi není o čem.

RHEL
S ukřižováním CentOSu přišli zároveň s nabídkou "subskribce pro každého", čili 16 serverů. Což je jako gesto hezké, ale pokud těch serverů je více (100, 500), neřeší to problém. Zbytek je potřeba zaplatit. Asi takhle; pokud na to zákazník má a je ochoten pustit chlup, je to jasná volba; protože:

  • podpora (incidenty můžeš delegovat a nazdar)
  • podpora repozitářů má nějakou úroveň (v porovnání např s Debianem, který tlačí kvantitu před kvalitou)
  • automatizace pomocí kickstartu funguje a funguje tak, jak by člověk očekával v 21 století + dokumentace je v pořádku (na rozdíl, opět, od Debianu... více níže)
  • nabízí se hromada udělátek z dílny, které můžou život udělat lehčí (o tom ale tady není řeč)

Oracle Linux
Zajímavá volba. Zkusil jsem nasadit tam, kde připadný re-roll není až takový problém. Je to v podstatě to, co byl CentOS dříve (čili 1:1 RHEL), s jedním zajímavým vylepšením: UEK (Unbreakable Enterprise Kernel, více info např. zde ) Zatím vše funguje bez problémů, ale v obecné rovině mám s tímhle distrem jeden problém: Pochází od Oraclu. Víc netřeba říkat - vzpoměnte na Solaris, Javu, MySQL...

tzv. "rising" distra
Rocky Linux a jiné "náhrady" za "padlý" CentOS. Obecně nepoužitelné, neboť ty projekty nejsou ve stavu, kdy by se daly použít v produkci (alespoň co jsem naposledy koukal) - pokud se situace změnila, prosím opravte mě.

Debian
Nazval bych to "distro pro chudé" (prosím žádný hate). Nic to nestojí, dá se to nacpat všude a celkem to drží. Problém nastává:

  • v již zmíněných repozitářích. Jede se na kvantitu, ne na kvalitu. Při porovnání verzí některých packagů či knihoven narazíte na pozoruhodné věci (jen takový jeden malý hint za všechny, mrkněte na nativní verze SSH v Debianu a v RHELu ;) )
  • v upgradech na vyšší major. Dá se dělat in-place, ale nedoporučuju, obvykle se vysype jedna či více věcí a řešení je meh meh... lépe vyjde čistá instalalace + migrace.
  • automatizace je ZOUFALÁ. ZOUFALÁ. - Debianní preseed je mizernej, zaglitchovanej a dokumentace mizerná. víc to tady rozepisovat nebudu, ale vzhledem k tomu, že jsem u preseedu strávil za posledních pár měsíců hodně času, můžu v případě zájmu vyprávět

SUSE
- zřejmě suitable distro (?), ale nemůžu soudit - nikdy jsem za svoji kariéru nepoužil, ani se s ním nesetkal v nějakém nasazení (což je vtipné, neboť ani zákazníci/kolegové v Něměcku to nepoužívají :-D )



Určite existují další / lepší / jiná řešení a určitě se najde spousta lidí, kteří s mým "výčtem" nebudou souhlasit. To je v pořádku, jen interpretuji svůj názor / zkušenosti. Snad to (alespoň v něčem) pomůže.

10
Studium a uplatnění / Re:Město, nebo vesnice?
« kdy: 19. 05. 2021, 16:52:00 »
Ja bych radil vykaslat se na rady ostatnich... :D V dnesni dobe se da pracovat odkudkoliv a vypada to, ze to bude spis castejsi do budoucna. Hlavne, prace bude a my nebudeme...

Vyber si, co te laka. Oboje ma svoje pro i proti a rozhodovat se jen podle penez je blbost. A rozhodovat se podle nazoru druhych je jeste vetsi blbost. Chces prirodu a vesnici, kde lisky davaji dobrou noc? Prestehuj se na Sumavu. Chces mesto a chodit po klubech kazdy vecer, zustan v Praze. Nevis, co chces, zkus rok to, rok to druhe a treti rok treba neco mezi. Pokud chces do zahranici, jed...

Podle me nejhorsi moznost je, se v 60 probudit a zjistit, ze vlastne nejsi spokojenej s tim, jak jsi zil svuj zivot...

This.

11
Odkladiště / Re:Firemní gmail
« kdy: 18. 05. 2021, 23:59:08 »
Kdo používá cokoliv od Googlu pro enterprise účely? Kromě Googlu? :-D

Srsly, ta platforma je prostě špatná, se špatnou reputací (ne že teda MS s 365tkou na tom byli nějak závratně lépe, ale charty mluví samy za sebe).


Nicméně, pokud se nepletu, obdobně to platí i v MS světě, pokud správce definuje policy/rulesety - při přidání na jakémkoliv zařízení potvrzujete souhlas s enrollem daného zařízení. No a pokud je v politikách deny na přidávání/sync dalších účtů, máte smůlu.

Mám matné tušení (a myslím že funguje ještě dnes), že na to byl trik. Pokud člověk měl vlastní officy, přihlášené svým MS účtem, po enrollu se účet změnil na firemní (pokud uživatel měl assigned licenci) a případně se zakázal sync ostatních účtů. No ale stačilo účet v nastavení ručně přehodit zpátky a voilá, sync se zase rozběhl a v konzoli to na dané zařízení nepi*ovalo, všechno bylo "zelený" :-)

Co z toho plyne pro Vás? Vybodněte se na Google enterprise a jděte cestou 365tky nebo dovecotu 8) ;)

12
Studium a uplatnění / Re:Město, nebo vesnice?
« kdy: 18. 05. 2021, 23:46:54 »
Pokud ještě studujete, můžu poradit právě přesný opak toho, co se chystáte udělat.

Upíchnout se na jednom místě v 25ti je nejlepší cesta do pekla, sice máte jistotu, ale nikam dál se neposunute, nic moc nového nenaučíte a budete dělat otroka sám sobě, na což přijdete (v lepším případě) ve 30 a ostatním (ve 40).

Pokud Vás neváže břemeno typu rodina/děti/hypo, sbírejte zkušenosti. Nebojte se vyměnit pár zaměstnavatelů (blbce potkáte všude) a trochu si rozšiřte obzory. Ve 40 si pak budete moct vybírat a ještě diktovat a navrch za to dostanete hezky zaplaceno.

13
Sítě / Re:Nefunguje pripojenie na VPN server
« kdy: 12. 05. 2021, 18:39:00 »
    Z toho, co vím, tak nikdo ze čtenářů rootu nevlastní věšteckou kouli (funkční).

    Já vlastním. A říká mi (mj.), že minimálně 1x týdně se na rootu objeví naprosto nevhodně/nedostatečně formulovaná otázka :P[/list]

    14
    Server / Re:Ubuntu 21.04: nelze smazat zanořené položky
    « kdy: 08. 05. 2021, 00:33:18 »
    Root cause: Ubuntu (itself). Case closed.

    15
    Server / Re:Audit Linuxu s Ansible
    « kdy: 07. 05. 2021, 13:51:35 »
    1. Co přesně potřebujete na serverech auditovat?

    2. Vyžadujete topologii klient-server?

    3. Jako žádaný je výsledný stav, kdy jsou data naparsovaná, nebo stačí raw dump a parsování zvládnete? (možná zbytečná otázka, neboť to zřejmě zvládáte a děláte už teď)

    1. Cílem je vybudování bezpečnostní infrastruktury na odhalování zranitelností a standardizace. Jde o to, že potřebuji vědět jaké servery jsou jak nastavené a co mají nainstalované, aby se dala řídit bezpečnost. Jako use-case bych například chtěl stahovat CVS zranitelnosti porovnat verze balíků a vyhodit alert pomocí Logstash pokud by se zranitelný balík nacháze v našem systému.

    2. Topologie není zásadní

    3. Parsování dat není problém, z čehokoliv cokoliv :-)

    V tom případě bych se asi držel Ansiblu a řešení, na které poukázal kolega. Původně mě napadlo, jestli by se nedal využít blackbox exporter jako samostatná komponenta a jenom cucat data v rawu. Ale to by neřešilo to, co přesně potřebujete.

    Možná bych ještě doporučil mrknout na Nessus (https://www.tenable.com/products/nessus), jestli by to pro Vás nemělo přidanou hodnotu. Používali jsme to v bance a pracovalo se nám s tím dobře (+ mgmt má rád grafy a reporty, že jo).

    Stran: [1] 2 3 ... 5