Zobrazit příspěvky

601

Software / Re:Generování UID pro adduser

« kdy: 22. 01. 2020, 11:43:06 »

a co použít openldap a uživatele synchronizovat přes sssd na servery? Budeš pak mít centrální správu uživatelů.

Jinak také exituje možnost mít /etc/passwd a /etc/group vzdáleně, pam na to má třeba interfacy.

Nebo si přes ssh projdi všechny servery a najdi nejbližší volné uid pro uživatele a skupinu, pak můžeš na všech serverech spustit useradd se stejný uid

Bash kód může vypadat nějak takhle:

Kód: [Vybrat]

function _find_next_uid() (
    set -uo pipefail

    for host in $servers; do
        ssh "$host" "getent passwd; getent group" \
        || exit 254
    done \
    | awk ' NF > 1 { print $3}' \
    | sort -nr \
    | head -1 \
    | awk ' { print $1 + 1}'

602

Odkladiště / Re:Český termín pro "Secure multi-party computation"

« kdy: 09. 01. 2020, 17:57:29 »

Hrubě by to mohlo být přeložené jako "bezpečný výpočet mezi více subjekty/stranami". Setkávám se s tím pouze jako s anglickým termínem či v češtině ve zkratce MPC a česky popsané ve větě. Jedná se totiž o konkrétní algoritmus, jak nemít k dispozici zdrojová data všech stran (tj. např. nebýt postihnutý pravidly s GDPR) a přitom být schopný s daty počítat a pracovat, např. jak zjistit celkový součet, maximální a minimální hodnoty aniž bych znal data ostatních stran.

603

Vývoj / Re:Go Lang: DB vrstva a migrace

« kdy: 08. 01. 2020, 13:43:47 »

pokud ti nestačí výchozí database/sql (https://golang.org/pkg/database/sql/) a ani poměrně slušná extenze https://github.com/jmoiron/sqlx, můžeš použít https://github.com/Masterminds/squirrel

604

Vývoj / Re:Go Lang: DB vrstva a migrace

« kdy: 08. 01. 2020, 09:24:44 »

zavádět zvyky z jednoho jazyka do druhé není vždy nejlepší nápad, v tomhle případě rozhodně ne. Go není s ORM zrovna kompatibilní a nebylo na to v návrhu nijak myšleno, pokud chceš ORM, máš na výběr z nepřeberného množství nástrojů nad javou, ruby a python.

Jaké pak bude mít výhody pro tebe go, když v něm budeš chtít psát jako v php? Není lepší pak již zůstat u php?

605

Hardware / Re:SSD disky pro server

« kdy: 24. 10. 2019, 19:22:29 »

Citace: Ivan Bibr 23. 10. 2019, 19:57:44

Mám dobré zkušenosti s Intel SSD DC, 2TB se dá sehnat okolo 10k bez DPH.

Jestli budete zvažovat nový řadič, zvažte rovnu NVMe (pokud tam fyzicky ty disky nějak dostanete).

s nvme se ale připraví o raid1, teda pokud ho nechce dělat v lvm softwarově. Na druhou stranu raid bez baterie je pro sql db stejné zlo.

606

Hardware / Re:Poraďte externý box na HDD 4x3,5"

« kdy: 17. 10. 2019, 15:58:39 »

používám HP microserver (gen7 až gen10). Na ebay koupíš gen7 za dobré peníze, nová gen10 stojí v Alze kolem 10t Kč. Zpracováním a možnostmi to je neporovnatelné s těmi vyjmenovanámi.

607

Server / Re:z AIX(u) do Kafky

« kdy: 14. 10. 2019, 14:49:24 »

tohle https://github.com/edenhill/librdkafka lze při troše úpravy kompilovat i na AIX, čtení souboru je už otázka pár řádků v C.

Daleko častěji ale na AIX připojíme nfs (v3), na něj logy a z něj to čte linux.

608

Windows a jiné systémy / Re:Průhlednost obrázku se ztratí vložením ze schránky

« kdy: 09. 10. 2019, 16:23:09 »

kopírování přes schránku obrázek převede do bitmapy, tam průhlednosti již nejsou. Řešení je obrázek nekopírovat, ale uložit a vložit jako soubor do editoru.

609

Server / Re:Prioritizace lokálních účtů vůči doménovým

« kdy: 28. 08. 2019, 12:38:51 »

/etc/nsswitch.conf určí jedno nebo druhé pokud první nevyhoví (heslo nebo uživatel tam není). Tohle lze ale velice podrobně nastavit přes pam moduly (v /etc/pam.d), jelikož píšeš o sssd, jsou již instalačním scriptem předkonfigurované.

sssd používá cache (případně doporučuji ověřit, že je zapnutá), takže běžné operace jako získání skupíiny a uid uživatele nevytváří dotaz do AD, ale na heslo se musí dotazovat pořád. Aby se mohlo použít lokální heslo (přes shadow) místo dotazu do AD, mělo by stačit upravit:

V souboru /etc/pam.d/password-auth (slouží pro zadávání hesla, když už na serveru máš sezení, např. pro sudo heslo) do sekce password dát tohle:

Kód: [Vybrat]

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

Nebo v souboru /etc/pam.d/system-auth (slouží pro vzdálené přihlašování třeba přes ssh) opět do sekce password dát to stejné:

Kód: [Vybrat]

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so

Předpoklad je, že existuje lokální účet pro uživatele na OS, tj. že se již přihlásil a je nastaveno automatické vytváření účtů. Píšu z hlavy, tak to zkoušeji opatrně a při zkoušení si vytvoř záložní sezení s otevřeným rootem, ať případně můžeš problémy napravit.

610

Server / Re:Jak spustit vytěžovací úlohu, když se server fláká

« kdy: 17. 07. 2019, 13:14:24 »

spustit takový proces s opravdu minimální prioritou (na linuxu hledej nice), mělo by ti to na tvoje potřeby stačit.

611

Sítě / Re:Monitoring a vizualizace síťových prvků

« kdy: 11. 07. 2019, 14:24:17 »

za mě také nagios a icinga, protože jsou dlouhodobě udržované, schopné s plno navody a pokud nemáš jasné důvody proč je nepoužít, je to nejlepší volba.

netxms vypadá jako nejpokročilejší nástroj co jsem zatím viděl, teda aspoň podle téhle věty na HP "All communications are encrypted with AES265", aes s velikostí klíče 265 je něco, co nejspís zatím nikdo nedokáže rozlousknout...

612

Server / Re:MariaDB Galera Cluster

« kdy: 11. 07. 2019, 13:09:44 »

záleží jaký je cíl a jaké jsou tvoje technické znalosti, provozovat galera cluster není zrovna procházka (https://galeracluster.com/library/documentation/monitoring-cluster.html).

Osobně bych to spíše seřadil podle obtížnosti, na:

A) běžný mysql-dump, který přes cp/rsync nahraješ na jiný server, pokud ti stačí hodinové zálohy a máš dostatečně malou db

B) Mysql cluster s asynchronní replikací - sice dochází ke zpoždění, ale při provozu to není náchylné na spousty problémů, lépe se řeší údržba, máš druhou slave databázi

C) Galera cluster - master-master replikace, nepotřebuješ 3 instance, galera umí používat váhu jednotlivých instancí a můžeš mít jednu hlavní a druhá bude jen pro backup, ale bude plně konzistentní. Je s tím řada problémů vč. samotného nastartování. Při špatné konfiguraci se to rádo rozpojuje do dvou clusterů a pokud nepotřebuješ výhodu master-master replikace, na produkci bych to bez zkušeností nedával.

Vilith: Mariadb 10.1 a aktuální verze? Je to 3 roky starý návod a třeba konfigurace wsrep_cluster_address s uvozovkami nejspíš fungovat nebude s dnešní verzí galery

613

Server / Re:FirewallD na CentOS s managementem web interface

« kdy: 01. 04. 2019, 10:19:49 »

ad 2) DDoS útoky mají pravidla takový záběr, že ti ucpou linku k serveru, takže obrana na samotném serveru je k ničemu, musíš filtrovat provoz co nejblíže zdroji. Použil bych k tomu určenou službu, cloudflare např., ale je jich spousta.

614

Software / Re:Ukládání split-screen čtyř RTSP H.264 streamů do jednoho souboru

« kdy: 11. 02. 2019, 20:07:29 »

myslím, že právě s tímhle bude mít i ten HW kodér problém, ale za vyzkoušení to stojí.

tuxmartin: to bychom si neplácli, pokud bych vzal jen odhadovaný čas, pod sto tis. se dostat neumím. Tohle člověk buď může dělat pro sebe nebo ve firmě, kde se to zužitkuje, jednorázová akce je drahá.

615

Vývoj / Re:Zajímavá aplikace pro AWS Lambda

« kdy: 11. 02. 2019, 18:52:24 »

- digitalizace dokumentů v pdf či skenů
- generování posílání denních, hodinových, měsíčních reportů
- kontrola či zpracování nahraných souborů uživateli (vytvoření náhledů videí, antivirová kontrola atd.)

A spousty jiných věcí, které vykazují špičku a nejsou pravidelné. Cokoliv musí běžet hodně často či nonstop není vhodné pro lambdu.