Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - honzahommer

Stran: 1 [2] 3
16
Server / Re:Ubuntu server - ansible - vault password
« kdy: 10. 08. 2021, 15:00:55 »
shrnutí současného stavu.
1. soubor s heslem vygenerován podle návodu https://www.digitalocean.com/community/tutorials/how-to-use-vault-to-protect-sensitive-ansible-data-on-ubuntu-16-04
heslo uloženo do souboru password.txt. Uloženo do složky /home/spravce/.ssh pod právy 0400
v .bashrc podle https://devops.stackexchange.com/questions/703/what-is-ansibles-config-equivalent-of-vault-password-file zadáno :
export ANSIBLE_VAULT_PASSWORD_FILE=/home/spravce/.ssh/password.txt
v ansible.cfg zadáno :
remote_user = spravce
private_key_file = /home/spravce/.ssh/spravce_id_rsa.ppk
vault_password_file = /home/spravce/.ssh/password.txt

v hosts jsou jen ip adresy.
A ping mi ohlásí tohle:
Kód: [Vybrat]
10.10.10.172 | UNREACHABLE! => {
    "changed": false,
    "msg": "Failed to connect to the host via ssh: Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format\r\nspravce@10.10.10.172: Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password              ).",
    "unreachable": true
}

A není problém v tomto?
Kód: [Vybrat]
Load key \"/home/spravce/.ssh/spravce_id_rsa.ppk\": invalid format

17
U MD 4000+ CZK, nárazová hodinová práce 1000+ CZK.

18
Server / Re:DNS server - změna dle cílové IP *
« kdy: 23. 08. 2020, 12:07:16 »
V DnsMasq to nepůjde, ale BIND (https://tools.ietf.org/id/draft-vixie-dnsop-dns-rpz-00.html#rfc.section.4.3) asi nějak takto (nezkoušel jsem).
Kód: [Vybrat]
#named.conf
options {
    ...
    response-policy { zone "rpz.zone"; };
    ...
};

zone "rpz.zone" {
    type master;
    file "rpz.zone";
    allow-query { none; };
};

Kód: [Vybrat]
# rpz.zone
@ SOA localhost. ROOT.localhost. (1 1h 15m 30d 2h)
NS  localhost.
32.199.62.190.35.rpz-ip CNAME .

19
Sítě / Re:Jde vám www.seznam.cz po IPv6?
« kdy: 15. 07. 2019, 11:03:49 »
Děje se to přímo na koncovém bodu tunelu, nebo až na dalším počítači? Skutečně to vypadá na problém s nefunkční Path MTU Discovery. Doporučuji sledovat wiresharkem, co chodí v tunelu. Pokud to občas chodí a občas ne, je možné, že někdo v cestě mezi koncem tunelu na straně HE a Seznamem částečně filtruje ICMPv6 zprávy.

Jako workaround pro TCP spojení by mělo pomoci na odchozím směru nakonfigurovat MSS clamping na hodnotu MTU tunelu, nebo snížit hodnotu MTU v celé síti.

EDIT: Na mém koncovém bodu tunelu od HE to funguje bez problému.

Nejde to již na routeru. Narychlo jsem vyřešil blokací AAAA záznamů pro zóny seznam.cz a www.seznam.cz DNS resolveru.

Edit: Tak dnes to funguje bez problémů...
Kód: [Vybrat]
$ wget --server-response -6O- http://www.seznam.cz | more
--2019-07-15 11:02:48--  http://www.seznam.cz/
Resolving www.seznam.cz (www.seznam.cz)... 2a02:598:4444:1::1, 2a02:598:4444:1::2, 2a02:598:3333:1::2, ...
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 302 Moved Temporarily
  Server: nginx
  Date: Mon, 15 Jul 2019 09:02:48 GMT
  Content-Type: text/html
  Content-Length: 154
  Connection: keep-alive
  Location: https://www.seznam.cz/
Location: https://www.seznam.cz/ [following]
--2019-07-15 11:02:48--  https://www.seznam.cz/
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:443... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 200 OK
  Server: nginx
  Date: Mon, 15 Jul 2019 09:02:49 GMT
  Content-Type: text/html; charset=UTF-8
  Transfer-Encoding: chunked
  Connection: keep-alive
  Vary: Accept-Encoding
  Cache-Control: no-cache, no-store, must-revalidate
  Pragma: no-cache
  X-Frame-Options: SAMEORIGIN
  Content-Security-Policy: frame-ancestors 'self'
  Content-Encoding: gzip
Length: unspecified [text/html]
Saving to: ‘STDOUT’



20
Sítě / Re:Jde vám www.seznam.cz po IPv6?
« kdy: 15. 07. 2019, 01:17:48 »
To vypada jako kdyby se nekde na ceste objevilo MTU mensi nez 1500 a zaroven nekdo zahodil ICMPv6 Packet Too Big.
Mate nativni nebo tunelovanou konektivitu? Jaky je to ISP, jaky je ISP prefix Vasi site? (Klidne anonymizovany na uroven /40.)

Používám tunnel od HE (a jsem si jistý, že to dříve fungovalo). Zkoušel jsem z prefixů 2001:470:5c42::/48 (PRG) a 2001:470:70d9::/48 (FRA).

21
Sítě / Jde vám www.seznam.cz po IPv6?
« kdy: 14. 07. 2019, 22:51:49 »
Server odpoví na portu 80 hlavičkou 302, na portu 443 se sice spojení naváže, ale už nezobrazí žádnou odpověď.

Kód: [Vybrat]
$ wget --server-response -6O- http://www.seznam.cz
--2019-07-14 22:39:44--  http://www.seznam.cz/
Resolving www.seznam.cz (www.seznam.cz)... 2a02:598:4444:1::1, 2a02:598:3333:1::2, 2a02:598:4444:1::2, ...
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 302 Moved Temporarily
  Server: nginx
  Date: Sun, 14 Jul 2019 20:39:44 GMT
  Content-Type: text/html
  Content-Length: 154
  Connection: keep-alive
  Location: https://www.seznam.cz/
Location: https://www.seznam.cz/ [following]
--2019-07-14 22:39:44--  https://www.seznam.cz/
Connecting to www.seznam.cz (www.seznam.cz)|2a02:598:4444:1::1|:443... connected.

Jiná jejich doména, třeba https://napoveda.seznam.cz funguje bez problémů (jen je na jiném rozsahu adres).

Kód: [Vybrat]
$ wget --server-response -6O- http://napoveda.seznam.cz | more
--2019-07-14 22:41:01--  http://napoveda.seznam.cz/
Resolving napoveda.seznam.cz (napoveda.seznam.cz)... 2a02:598:a::78:154, 2a02:598:2::154
Connecting to napoveda.seznam.cz (napoveda.seznam.cz)|2a02:598:a::78:154|:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 301 Moved Permanently
  Server: nginx/1.14.1
  Date: Sun, 14 Jul 2019 20:41:01 GMT
  Content-Type: text/html
  Content-Length: 185
  Connection: keep-alive
  Location: https://napoveda.seznam.cz/
Location: https://napoveda.seznam.cz/ [following]
--2019-07-14 22:41:01--  https://napoveda.seznam.cz/
Connecting to napoveda.seznam.cz (napoveda.seznam.cz)|2a02:598:a::78:154|:443... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 302 Found
  Server: nginx/1.14.1
  Date: Sun, 14 Jul 2019 20:41:01 GMT
  Content-Type: text/html; charset=iso-8859-1
  Content-Length: 214
  Connection: keep-alive
  Location: https://napoveda.seznam.cz/cz/
Location: https://napoveda.seznam.cz/cz/ [following]
--2019-07-14 22:41:01--  https://napoveda.seznam.cz/cz/
Reusing existing connection to [napoveda.seznam.cz]:443.
HTTP request sent, awaiting response...
  HTTP/1.1 200 OK
  Server: nginx/1.14.1
  Date: Sun, 14 Jul 2019 20:41:02 GMT
  Content-Type: text/html; charset=utf-8
  Transfer-Encoding: chunked
  Connection: keep-alive
  Vary: Accept-Language,Cookie
  Content-Language: cs-cz
  Set-Cookie: page_helpful_trace=17482; Domain=napoveda.seznam.cz; expires=Sun, 14-Jul-2019 23:41:02 GMT; Max-Age=10800; Path=/
Length: unspecified [text/html]
Saving to: ‘STDOUT’

22
Odkladiště / Re:dot.tk na viac ako rok
« kdy: 30. 06. 2019, 11:56:41 »
Please note that you can only renew free domains in the last two weeks of each registration period (https://my.freenom.com/knowledgebase.php?action=displayarticle&id=2).

23
Software / Re:Naplnění proměnné příkazem v bash scriptu
« kdy: 18. 06. 2019, 23:00:59 »
Ahoj,

potřebuji drobnou radu. Pro místní borce by to neměl být problém. Potřebuji zjistit ve scriptu kdo je zalogovaný do PC, ale v kontextu roota (dotyčný má puštěný Terminál pod rootem).
Jdu na to následovně
1. who | awk '{print $1}' vypíše login name
2. ve scriptu se proměnná plní standardně např. online=Pepik

Nemohu přijít na to jak v bash scriptu naplnit proměnnou výstupem příkazu z bodu 1.

Díky za help!! Určitě to je prkotina.

Např.
Kód: [Vybrat]
online="$(who | awk '{print $1}')"

24
Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH
« kdy: 13. 04. 2019, 23:01:00 »
autorizace i pomocí hesla
K čemu je to dobré? Kdy nastane případ, že znáte heslo, jste ochoten jej použít a nemůžete použít klíč?

Jsou případy, kdy se to "hodí". Třeba v případě, že se jednou za čas potřebuji přihlásit ze serveru zákazníka na náš server.

Doporučuji použít s Fail2Ban.
Já to nedoporučuji. Nevidím v tom žádný přínos, naopak je riziko, že tím zablokujete sám sebe. Osobně mi připadá zvrácený už samotný fakt, že se parsují nestrukturované logy a na základě toho se provádějí bezpečnostně citlivé operace navíc pod rootem. To ještě nikdo nezkusil udělat Fail2Ban injection?

Zablokovat sám se mi spíš povede při konfiguraci firewallu :-) Musím zaklepat, ale ještě nikdy jsem neřešil problém s tím, že by to někdo překonal.

25
Sítě / Re:Bezpečný přístup na veřejnou IP přes SSH
« kdy: 12. 04. 2019, 10:02:39 »
Většinou mám SSH na dvou portech - standardní 22 a např. 10022...

  • Přístup na port 22 povolen ze známých IP, autorizace i pomocí hesla;
  • přístup na port 10022 povolen z IP v ČR (ipset), autorizace pouze pomocí klíče.

Doporučuji použít s Fail2Ban. Zkoušel jsem i varianty s dvou fázovým ověřením, ale to už mi přijde zbytečné :-)

26
Server / Re:Nginx proxy podle domény s HTTPS
« kdy: 12. 11. 2018, 14:21:09 »
Ano, přesně takhle to používám a není s tím problém. Funguje to spolehlivě, zátěž je velmi nízká, protože ten server jen přehazuje požadavky na backend a zpět.
Áno, môžem potrvrdiť minimálnu záťaž na hardware. U mňa beží nginx_proxy v lxc kontaineri na Turris Omnia, letsencrypt certifikáty sú na ňom, keďže má 2GB RAM tak v tmpfs mám aj proxy_cache. Všetko ide dlhodobo a spoľahlivosť je výborná.
a teda kolko tam mas unikatnych pristupov/den...?

Provozuji na trochu jiném HW (Intel® Xeon® E3-1200 v2, 8GB RAM, 2 SSD v RAID1, 2x GB Intel failover) - ale to jenom kvůli dostupnosti. Při 100k unikátů / den se to relativně fláká. Spíš je důležité, kolik přes to má protéct dat.

28
Hardware / Re:Jaké dát do serveru disky 7200 RPM?
« kdy: 09. 07. 2018, 21:45:15 »
WD Red Pro, jiné nekupujeme. Záruka 5 let postačuje.

Omlouvám se za duplikát.
WD Red je pomalý, koupil jsem ho na zálohy kvůli ceně.
Je sice cenově levnější, ale prodloužila se doba zálohování oproti WD black, což mi leze na nervy.  :(

Standardní WD Red mají 5200 otáček, Pro potom 7200 (https://www.wdc.com/cs-cz/products/business-internal-storage/wd-red-pro.html), což je (tuším) stejné jako mají Black. Cache potom od 64 do 256MB (podle velikosti).

29
Hardware / Re:Jaké dát do serveru disky 7200 RPM?
« kdy: 09. 07. 2018, 17:06:17 »
WD Red Pro, jiné nekupujeme. Záruka 5 let postačuje.

30
Sítě / Re:Routování - jedna IP do VPN
« kdy: 28. 05. 2018, 17:56:39 »
Hezký den,

Potřebuji poradit s následující starostí, se kterou si nevím rady. Trochu popíšu situaci.

Mám dvě pobočky, na každé je brána s přístupem do internetu a mezi těmito bránami mám Ipsec VPN tunel.

A teď potřebuji jednu konkrétní IP - například www.seznam.cz, takže třeba 77.75.77.39 - nastavit tak, aby to z pobočky 1 nešlo rovnou ven, ale bylo přesměrováno přes VPN na pobočku 2 a z této teprve bylo nasměrováno do internetu.

Asi bude stačit obecné moudro, co nastavit na pobočce 1 a co nastavit na pobočce 2.

Obě zařízení jsou Juniper SSG5, kdyby někdo věděl konkrétněji...

Díky.
Juniper neznam.
Napada me staticka routa na poboce 1 at danou IP hleda na pobocce 2. Coz ?

To ano, ale IP se ti může změnit. Tady bych šel spíš cestou proxy.

Stran: 1 [2] 3