Témata

16

Distribuce / Debian 11 - chybí /var/run/reboot-required

« kdy: 08. 04. 2022, 09:49:21 »

Ahoj,

zjistil jsem, ze mi chybi /var/run/reboot-required, ktery by mel byt vytvaren automaticky.  Je jedno, zda updatuju pres ansible, ci pres aptitude, proste chybi.

Nevi nekdo, co zkontrolovat? "needrestart -k" detekuje rozdil kernelu, ale pripadne resit, jak to dostat do ansible skriptu, je vetsi opruz...

17

Server / Kontejnerizace a různé pohledy

« kdy: 04. 04. 2022, 16:30:04 »

Ahoj,
budu ted testovat ruzne koncepty kontejnerizaci pro pripadne budouci firemni nasazeni. Nebude to v cloudu, takze k8s apod tu nehrozi.

Kazdopadne, mam tu vzorovy priklad jedne aplikace, kterou muzeme testovat bez toho, ze bychom ohrozili provoz/data. Zajimaly by mne zkusenosti z libovolnych smeru, zejmena principy nebo cesticky, co se ukazaly spatne.

Momentalne zkousim podman, standalone server. Clusterovy provoz zatim primo neresim, resim koncept administrace (CI/CD, pristup vyvojaru) a site. Zajimaly by mne zkusenosti z libovolnych smeru, zejmena principy nebo cesticky, co se ukazaly spatne.

Takze priklad je: kombinace pro jednu aplikaci je nginx + redis. Tech aplikaci je vice (ruzni zakaznici). Nginx je nyni VM, redis chceme kvuli automatizaci zkusit v kontejneru, nebot je to jednodussi nez automatizovat VM (zejmena zalozeni a vse kolem).. Z teto kombinace vychazi dva mozne smery:
1] nginx + redis v jednom subnetu - "zakaznik" v jednom
2] nginx v jednom subnetu, redis v druhem subnetu - subnet per typ sluzba (web, db, apod) pres vsechny zakazniky

Otazky mam zejmena tyto:
- pouziva nekdo uspesne nejaky typ administrace z hlediska principu podmanu? tzn. sluzby per uzivatel, oproti vsechny sluzby v monolitu dockeru
- ktera varianta je obecne lepsi, 1] ci 2]? Beru to i ve vztahu komunikacnich pruchodu (firewall apod) a oddeleni zakazniku.

Treba u siti mi bridge moc nevoni z hledisku pristupu na kontejnery z mimo kontejneroveho prostredi. Ale je pouziti macvlan pak ta spravna cesta? Aspon predpokladam, ze vetsina lidi provozuje kontejnery se stejnym typem sluzby na stejnem portu (tzn dedicated ip:port stejny) oproti (sdileny ip:ruzny port).

At uplne nemusim vymyslet cele kolo...
Diky.

18

Server / Přístup k logům mailserveru

« kdy: 22. 03. 2022, 11:39:08 »

Ahoj,

z duvodu kompletni prestavby naseho mailoveho reseni potrebuji vyresit pristup logum mailserverum, aby z nich mohla nase aplikace tahat data. Jde zejmena o maximalni spolehlivost.

Momentalni nastaveni je takove, ze na mailserveru bezi skripty, ktere parsuji logy a predavaji to zpracovatelskemu serveru. Na ten zpracovatelsky server jsou pak navazany nase dalsi aplikace. Tech mailovych serveru bude mnohem vice, takze overuji cestu, zda to parsovani logu nepresunout z mailserveru primo na zpracovatelsky. Otazkou je, ale jak zajistit spolehlivy pristup. Logy postfixu jsou navic nepristupne beznemu uzivateli

Varianty co me napadaji (styl veskery obsah logu, at si to pak prefiltruji vyvojari):
a] ssh omezeny na "cat mail.log" - pull
b] neco ve stylu filebeat apod.  - push

Mala komplikace je, ze napr. filebeat jiz pouzivam pro graylog. A graylog tu mame v rezimu - kdyz to bezi, fajn, kdyz ne, nic se nedeje. Takze napojeni zpracovatelskeho systemu na graylog neni vhodne a filebeat tedy nevyuziju.

Jeste me napadlo logovani primo do db z postfixu, ale to jsem nikdy nezkousel. Jde o to, aby i ten redeployment serveru byl jednodussi nez doted (kontejnery nevedeme).

Diky za napady.

19

Distribuce / Lze zablokovat instalaci další verze PHP?

« kdy: 15. 02. 2022, 10:18:47 »

Ahoj,

bezim servery s php7.4 z repozitare deb.sury.org. Verzi si ridim skrz ansible, jen jsem zatim neprisel na to, jak zablokovat out-of-box instalaci ruznych verzi pro danou verzi debianu. Tzn., skacou mi tam 5.6 ~ 8.1 verze momentalne.

Existuje moznost nastavit apt, aby videl jen tu 7.4 (plus max. default deb repo), resp, aby aspon nevidel ty "novejsi" verze? Starsi takovy problem nejsou, update-alternatives to drzi na te "nejnovejsi nainstalovane".

preferences.d/php:

Kód: [Vybrat]

Package: *
Pin: origin packages.sury.org
Pin-Priority: 450

20

Software / Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1

« kdy: 07. 02. 2022, 11:57:40 »

Ahoj,

po upgrade na chrome a chromium 98 nelze preskocit varovani o starem tls. Mam to chapat, ze dle https://chromestatus.com/feature/5759116003770368 (M-98) to skutecne deaktivovali? Jde to pripadne nejak obejit v ramci chrome (napr. reinstalaci na enterprise verzi, atd.)?

21

Server / Reverzní proxy - jaké používáte checky?

« kdy: 15. 12. 2021, 15:26:30 »

Ahoj,

resim tu moznou zmenu zpusobu kontroly funkcniho weboveho backendu. Pokud nekdo zna zajimavy blog/clanek ohledne komplexnejsiho reseni, sem s tim. Momentalne pouzivam http check proti konkretni url. Z hediska risk managementu to neni uplne optimalni (ve smyslu rozdil mezi pingem, dostupnosti portu X, dostupnosti url, a hloubeji), tak padl dotaz tohoto typu:

Je mozne nastavit, aby v pripade, ze check backendu bude ve stavu FAIL a toto se stane na vice backendech, aby alespon jeden backend zustal pripojeny na proxy bez ohledu na to, zda je check OK ci FAIL? Tzn, aby proxy nevyradila veskere backendy z dane skupiny.

Umi to pripadne nejaky balancer? U haproxy jsem zatim na takovou moznost nenarazil.

Diky.

22

Distribuce / Debian 11 - keepalived s ipv6 po restartu OS jde do failure state

« kdy: 14. 12. 2021, 12:11:28 »

Ahoj,

po upgradu na debian 11 jsem objevil problem s keepalived, pokud je nakonfigurovana i ipv6. Sit je staticky konfigurovana pres systemd-networkd (GUA adresy)

Kód: [Vybrat]

[Match]
Name=ens18

[Network]
Address=SERVER_IPV6/64

[Route]
Gateway=GW_IPV6
PreferredSource=SERVER_IPV6

Vrrp blok pro ipv6 je takto (ipv4 ma stejny, pouze ipv4 adresy + spojeno v jedne vrrp_sync_group)

Kód: [Vybrat]

vrrp_instance V6 {
    interface ens18
    virtual_router_id 106
    unicast_src_ip SERVER_IPV6
    unicast_peer {
        PEER_SERVER_IPV6
    }
    priority 50
    virtual_ipaddress {
        VIRTUAL_SERVER_IPV6/64 dev ens18
    }
    track_process {
        track_haproxy
     }


Log po bootu

Kód: [Vybrat]

Dec 14 11:26:01 HOSTNAME systemd[1]: Started Network Service.
Dec 14 11:26:01 HOSTNAME systemd[1]: Reached target Network.
Dec 14 11:26:01 HOSTNAME systemd[1]: Reached target Network is Online.
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens20: Link UP
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens20: Gained carrier
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens19: Link UP
Dec 14 11:26:01 HOSTNAME systemd-udevd[250]: ethtool: autonegotiation is unset or enabled, the speed and duplex are not writable.
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens19: Gained carrier
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens18: Link UP
Dec 14 11:26:01 HOSTNAME systemd-networkd[240]: ens18: Gained carrier
...
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Starting Keepalived v2.1.5 (07/13,2020)
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Running on Linux 5.10.0-9-amd64 #1 SMP Debian 5.10.70-1 (2021-09-30) (built for Linux 5.8.14)
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Command line: '/usr/sbin/keepalived' '--dont-fork'
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Opening file '/etc/keepalived/keepalived.conf'.
Dec 14 11:26:01 HOSTNAME Keepalived[370]: NOTICE: setting config option max_auto_priority should result in better keepalived performance
Dec 14 11:26:01 HOSTNAME Keepalived[370]: Starting VRRP child process, pid=424
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering Kernel netlink reflector
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering Kernel netlink command channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Opening file '/etc/keepalived/keepalived.conf'.
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6) Changing effective priority from 50 to 150
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V4) Changing effective priority from 50 to 150
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering gratuitous ARP shared channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: Registering gratuitous NDISC shared channel
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: bind unicast_src SERVER_IPV6 failed 99 - Cannot assign requested address
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6): entering FAULT state (src address not configured)
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V6) Entering FAULT STATE
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: VRRP_Group(V64) Syncing instances to FAULT state
Dec 14 11:26:01 HOSTNAME Keepalived_vrrp[424]: (V4) Entering FAULT STATE
...
Dec 14 11:26:02 HOSTNAME systemd-networkd[240]: ens18: Gained IPv6LL
Dec 14 11:26:02 HOSTNAME systemd-networkd[240]: ens19: Gained IPv6LL


Delaji to obe verze keepalived

Kód: [Vybrat]

keepalived:
  Installed: 1:2.1.5-0.2
  Candidate: 1:2.1.5-0.2
  Version table:
     1:2.2.4-0.2~bpo11+1 450
        450 http://ftp.cz.debian.org/debian bullseye-backports/main amd64 Packages
 *** 1:2.1.5-0.2 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Prozatim jsem to poresil pres "vrrp_startup_delay 5", ale existuje lepsi cesta, resp. fix? Nerad bych se zbavoval "unicast_src_ip" a "unicast_peer" (aby mi to nechodilo pres link-local atd.). Vypada to na nejake specifikum nastaveni ipv6 na interface oproti ipv4 (dle google).

Diky

23

Distribuce / Ansible + debian - security versus main repo bind9-dnsutils

« kdy: 01. 12. 2021, 11:26:25 »

Ahoj,

nejak mi unika tento pripad:

Kód: [Vybrat]

# apt-cache policy bind9-dnsutils
bind9-dnsutils:
  Installed: (none)
  Candidate: 1:9.16.15-1
  Version table:
     1:9.16.22-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
     1:9.16.15-1 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages

# apt-cache policy bind9-libs
bind9-libs:
  Installed: 1:9.16.22-1~deb11u1
  Candidate: 1:9.16.22-1~deb11u1
  Version table:
 *** 1:9.16.22-1~deb11u1 500
        500 http://security.debian.org/debian-security bullseye-security/main amd64 Packages
        100 /var/lib/dpkg/status
     1:9.16.15-1 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages


Kód: [Vybrat]

# apt install bind9-dnsutils
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
Some packages could not be installed. This may mean that you have
requested an impossible situation or if you are using the unstable
distribution that some required packages have not yet been created
or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 bind9-dnsutils : Depends: bind9-libs (= 1:9.16.15-1) but 1:9.16.22-1~deb11u1 is to be installed
E: Unable to correct problems, you have held broken packages.

Jinymi slovy, instalace bind9-dnsutils (debian repo) havaruje na tom, ze jeden z pozadovanych baliku je jiz nainstalovan v novejsi verzi (debian-security repo). Je videt, ze priorita pro debian-security je 500, pro hlavni repo 990.

Jak si s timhle poradit v ansible bez nutnosti definovat verzi bind9-dnsutils? Tim se totiz zrusi idempotency...


Diky

24

Sítě / Docker/k?s a vlan

« kdy: 02. 11. 2021, 13:34:45 »

Ahoj,

studuji nejake veci ohledne kontejnerizace a jednu vec mam velmi nejasnou. A to je nastaveni kontejneru ohledne vlan. Pro priklad uvadim standardni konfiguraci pro VM:
- proxmox ma bridge (treba vmbr1) nastaveny pres openvswitch
- VM dostane prirazenou virtualni sitovku na vmbr1 bridge + vlanid
- VM dostane pripadne dalsi virtualni sitovky na vmbr1 + vlanid
- sitovek muze byt 1~x

Tak a ted jak by to fungovalo v zakladnim dockeru? Pokud je docker ve VM, tak jak se resi kontejnerove site? Docker VM per vlanid nedava smysl. Hadam, ze to bude neco ve stylu udelat 1 macvlan per vlanid a danou macvlan namapovat na virtualni sitovku VM?

25

Distribuce / Debian 11 - persistent journal plus postgresql atd

« kdy: 06. 09. 2021, 14:38:46 »

Ahoj,

od deb11 je journal out-of-box persitentni. Vzhledem k tomu, ze rsyslog zatim zustava, tak se tu dostavam do situace, kde zatim nevim co a jak:

Use case:
Mam sluzbu, treba postgresql, ktera generuje velke mnozstvi logu. Velikost kolisa dle serveru od desitek MB po desitky GB. Logy mam z toho duvodu nasmerovane na jiny datovy oddil. Podobna vec muze byt treba ELK atd. Zajimaji me logy 2 dny zpet (napr.)

Analyza:
Journal ma nastaveno by default, ze maximum obsazeneho prostoru je 10% kapacity datoveho oddilu, popr. 4GB max.

Problem:
Jak vyresit umisteni logu sluzby, ktera bude logovat do persistentniho journalu? On pro mne je ten journal velmi zajimavy uz z principu - lze z nej parsovat napr. jsonem do ELK, coz se z rsyslogu dela sakra blbe (zvlast veci jako postgresql logy).

Otazka:
Resil jiz nekdo neco takoveho?

26

Server / SFTP server s administrací

« kdy: 18. 08. 2021, 12:31:45 »

Na windows je toho mraky i zdarma, ale na linux...

Koukam po mozne nahrade za proftpd+sql custom reseni. Spravovat ty konfiguracni soubory pres ansible je trosku pruda. Narazil jsem asi jen na jednoho zajimaveho kandidata - drakkan/sftpgo. Ma to snad vse, co by chtel (web administraci pro projektaky, dokonce i api na spravu, podpora pdbkf2 apod, umi sql backendy, klice/hesla/atd atd atd...). Jen je to one-man show projekt...

Co obecne potrebuju:
sftp server
virtualni uzivatele
administraci (hlavne uzivatelu)
on-premise, non-docker idealne

Pouzivate nekdo ten sftpgo, dali byste si to do produkce, mate nejaka dalsi reseni, ktera jsem neobjevil?

27

Sítě / IPv6 a DHCPv6 ve Windows 10: nedostane adresu na Wi-Fi

« kdy: 21. 07. 2021, 14:52:45 »

Ahoj,

mam windows 10 zarizeni, majici fyzickou a wifi sitovku. Zarizeni bylo testovano na ipv6 na kabelu, pak na wifi, kde jiz zustalo (kabel odpojen). Vse ok. Po uzamknuti uctu neaktivitou (mozne i kratkodobe uspani) dochazi k zvlastni situaci - zarizeni se pripojuje zpet na wifi a tentokrat nedostava ipv6 adresu. Tcpdump na dhcpv6 serveru ukazuje, ze z dhcp relay chodi mac adresa fyzickeho zarizeni, i kdyz je zarizeni pripojeno na wifi.

Setkal se s podobnym chovanim nekdo?

(Vzhledem k tomu, ze by default pouziva duid-ll, tak mi nastaveni duid nepomuze bez rekonfigurace ipv6 stacku na windows.)

28

Server / Lze namountovat nfs clienta jako async, kdyz je export nastaven na sync?

« kdy: 08. 07. 2021, 12:00:11 »

Ahoj,

chci si neco odzkouset ohledne sync/async, ale nechce se mi zatim sahat do serveru. Veskere mountpointy exportuju v rezimu sync na serveru. Co jsem na ruznych mistech dohledal, je mozne mit async/sync nastavene zvlast na serveru/klientu. Ale kdyz si pridam async do klienta(+restart), tak stale mi mi 'mount' popr. 'nfsstat -m' neukazuje ani sync, ani async, takze predpokladam, ze je to stale v rezimu sync.

Takze otazky:
1] je mozno nejak zobrazit zda je to sync/async (resp, zobrazi to vubec kdyz je to sync? async to asi zobrazi)
2] je mozne mit server sync a klient nastaven na async?

Duvod - vyvojari si stezuji, ze zmena desitek tisic souboru trva...dlouho :-)

Diky.

29

Software / Jde porovnat boot record?

« kdy: 28. 06. 2021, 17:04:06 »

Mam vice systemovych disku, ale grub se automaticky upgraduje jen na jednom. Pro zajimavost bych si chtel porovnat, co ma kazdy disk v boot recordu, tzn. co by se pak stalo, kdyby se OS startoval pres dany disk. Jde to nejak, aby to bylo lidsky citelne?

30

Sítě / IPv6 v klientské síti

« kdy: 17. 06. 2021, 12:03:01 »

Ahoj,

zkousim si hrat s klientskou siti pro nasazeni ipv6. Oproti serverum, kde mam plnou statiku, zde potrebuji dynamicke pridelovani, ale statickou ip. Abych nemusel psat veskerou konfiguraci do switche, tak jsem se rozhodl nasadit dhcpv6 - isc kea. Predavam totiz navic ntp/timezone/dns/atd informace.

No a od ted narazim na par problemu pri testovani:
1] na switchi je nastaveny relay, ktery momentalne predava link-local ipv6 klienta jako peeraddr. To samozrejme nesedi s rezervaci dle mac adresy (konfigurace interface-id resp. remote-id v relay (pro predani mac) se zatim resi)
2] klient si nastavi ipv6 adresu (gua prefix + link-local suffix) bez ohledu na to, ze ji od dhcp nedostal
3] klient ma zapnuto privacy extension (PE)

Otazky:
1] je mozne vypnout PE v AD via GPO? zatim jsem nasel jen cli prikazy
2] jak spolehlive vypnout PE v macos/linux (ubuntu)?
3] proc si klient nastavi ipv6 adresu, i kdyz mu ji dhcpv6 nepriradi? jak to zablokovat, resp. jde zablokovat, aby klient nemohl automaticky komunikovat ani pres link-local adresy bez nasazeni ruznych security reseni na blokovani portu?
4] pokud bych nechal aktivni PE (resp. rovnou stateless slaac), jak na zmeny ipv6 vuci fqdn? Jak by mi switch updatoval dns v samba ad?

Ma nekdo ipv6 jako klientskou sit bez staticke konfigurace (specialne notebooky), ktera ale pouziva statickou adresaci (jako v dhcp4)? Doporuceni pripadne kterym smerem (ne)jit?