Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: 1 2 3 [4] 5 6
46
Server / Subdelegace domeny
« kdy: 13. 11. 2020, 16:41:05 »
Ahoj,

chtel bych si ujasnit jednu vec v subdelegaci domeny. Normalne to nepouzivam...

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server nsa.sub.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Toto je asi standardni zpusob subdelegace. A tedka, pokud je server ns1 ci ns2 je taky autoritativni pro zonu sub.example.com, je ok, ze by to vypadalo takto:

server ns1.example.com, zona example.com:
Kód: [Vybrat]
@ in ns ns1.example.com
@ in ns ns2.example.com
sub.example.com in ns ns1.example.com
sub.example.com in ns ns2.example.com
sub.example.com in ns nsa.sub.example.com
sub.example.com in ns nsb.sub.example.com
ns1.example.com in A x.x.x.x
ns2.example.com in A y.y.y.y

server ns1.example.com, zona sub.example.com:
Kód: [Vybrat]
@ in ns nsa.sub.example.com
@ in ns nsb.sub.example.com
@ in ns ns1.example.com
@ in ns ns2.example.com
nsa.sub.example.com in A a.a.a.a
nsb.sub.example.com in A b.b.b.b

Pripadne chybejici glue zaznamy ignorujte. Jde mi o to, ze od pohledu to vypada jako mozna smycka, je takova konfigurace mozna, spravna atd.? Cili subdomena "deleguje" na nadrazenou domenu? Nebo je lepsi reseni teto situace, kdy server spravuje obe zony, ale jsou pridany jeste dodatecne interni servery, na ktere rekurzory primo smeruji interni fqdn/reverzy? Jde o to, ze ty interni servery nejsou pak blokovany/zpomalovany pruchodem pres firewall, jako kdyby vsechny dns servery byly v "dmz".

Diky

47
Zdravim,

potreboval bych na verejnych dns serverech blokovat nektere typy dotazu. K tomu momentalne mam nakonfigurovany dnsdist. V ramci acl mam zablokovane dotazy na:

1] sub1.domain.tld
2] 168.192-in-addr.arpa

Problem ale nastava s ipv6. Pokud pouziji globalni adresy pro interni adresaci, tak mi skonci interni reverzy v "ip6.arpa". Dnsdist neumi pracovat s odpovedi, takze pripadny dotaz na ipv6 reverz by vratil interni sub1.domain.tld. Rad bych se vyhnul definovani kazde interni ipv6 zony pres ACL. Nezna nekdo nejaky dns balancer atd, ktery by umel resit pristup k internim zonam jak v dotazu, tak v odpovedi?

Diky.

48
Sítě / Zabbix Agent na IPv6 adrese
« kdy: 18. 08. 2020, 09:43:41 »
Ahoj,

ma nekdo zabbix-agenta na ipv6?

Protoze:
Kód: [Vybrat]
ListenIP = a:b:c::d

Listen failed: listen tcp: address a:b:c::d:10050: too many colons in address

Kód: [Vybrat]
ListenIP = [a:b:c::d]

cannot parse "ListenIP" parameter: incorrect value of ListenIP: "[a:b:c::d]"

Na google se toci veskere odkazy na ipv6 pro ServerActive.

Diky

49
Server / Postgresql monitoring
« kdy: 14. 08. 2020, 11:59:28 »
Ahoj,

pro monitoring postgresql v zabbixu pouzivam novou roli pro zabbix-agent2. Problem je toto, dokumentace tvrdi jednu vec, ale nevypada to tak... https://www.postgresql.org/docs/12/functions-admin.html

pg_ls_dir - restricted to superusers
pg_ls_waldir - access granted to superusers and pg_monitor

Kód: [Vybrat]
grant pg_monitor to zbx_user;
Vysledek:

Kód: [Vybrat]
zbx_user@postgres: ERROR: permission denied for function pg_ls dir
zbx_user@postgres: ERROR: permission denied for function pg_ls_waldir

Takze pg_monitor neumi ani pg_ls_waldir?

50
Windows a jiné systémy / SRV záznam pro active directory
« kdy: 29. 05. 2020, 09:30:49 »
Ahoj,

mam sambu AD jako sub.domain.tld. Na jake urovni musi byt nastaveny SRV zaznamy? Momentalne to mam na urovni domain.tld, nema to byt nahodou na urovni sub.domain.tld?

domain.tld mi spravuje dns na debianu.
sub.domain.tld mi spravuje samba AD ("internal dns").

Myslim si, ze by to melo byt takto:

1] na urovni domain.tld delegace zony sub.domain.tld smerem na samba AD (NS & A glue zaznamy)
2] v ramci sub.domain.tld na samba AD musi byt SRV zaznamy

Kdo vi presne?
Diky

51
Sítě / Interní IPv6 a domény ve veřejném DNS
« kdy: 22. 05. 2020, 13:03:23 »
Ahoj,

nekdo z dns fundovanejsich - jak je to v soucasnosti s pohledem na existenci internich domen/ip adres ve verejnem dns?

Z hlediska ipv4 je to jednoduche, provozujeme interni servery, takze ve verejnem dns se to neobjevi. Pokud ale zacnu kombinovat s ipv6...

Problem nastava s ipv6. Protoze adresa muze byt pouzita jako verejna ci neverejna (blokace firewallem). Ano, muzu si urcit jednu /56 jako verejne pristupnou, druhou /56 jako privatni pouziti, ale drive nebo pozdeji narazim na to, ze privatni sluzba ma byt verejnou, takze mam dve moznosti - jen nastavit firewall, nebo presunout sluzbu na verejnou ip z /56. Coz s sebou zase obnasi ruzna rizika, ze server je najednou v ruznych zonach, v kterych byt nemel (napr. prime propojeni typu "dmz" s "intranet" siti). Taktez to znamena pripadny provoz jako u ipv4 - jedny authoritative pro verejne, druhe pro privatni domeny, vcetne toho, ze to musi resit i resolvery, na co se maji pripojovat.

Navic nase servery nebezi na bindu, takze view se nepouzivaji. Authoritative servery jiz neumoznuji blokovat interni domeny na zaklade ip adresy zdroje...

Nazory? Diky.

52
Server / Ansible - instalace balíčku a problém s uživatelem
« kdy: 15. 04. 2020, 09:10:53 »
Ahoj,

mam tu neustale problem slepice a vejce. Chci nainstalovat postgresql server balicek, samo o sobe to neni problem. Pri instalaci to vytvori /var/lib/postgresql s postgres:postgres pravy. Chci na /var/lib/postgresql mapovat jiny disk. Takze pri spusteni yml se mi vytvori/namountuje disk. A zde je ten problem.

- pokud spustim instalaci postgresql pred pripojenim disku, budu mit na disku nejakou strukturu (zabirajici misto)
- pokud nejdrive namountuji disk, nemuzu mu nastavit uzivatele, nebot jeste neexistuje

Koukal jsem do ruznych yml, ale v zadnem se tohle neresilo. Je mi jasne, ze muzu vytvorit uzivatele/adresare predem. Ale rad bych vytvoril uzivatele (popr. i adresar) primo z balicku, abych nemusel hlidat zmeny. Chtel bych neco jako "apt install postgresql --only-user"

Jde to vubec nejak?

53
Sítě / IPv6 a ULA, dotazy na default gw
« kdy: 18. 02. 2020, 11:43:58 »
Ahoj,

studuju co se da, ale nektere veci se spatne vyhledavaji. Ohledne ULA je zhruba jasno - preferovat GUA. Nojo, ale co kdyz bych chtel neco, co se nepreroutuje pokud mozno nikam (ani v lokalni siti) - treba provoz jako corosync,nfs? Link-local adresy pouzit nechci, potrebuji neco, co se nezmeni ani pri vymene hw, preklopeni bond, atd...Mohl bych na ostrovni systemy tohoto typu pouzit ipv4, ale to bych vzal az jako posledni moznost...

Ted k default gateway. Co je "jistejsi"? Nastavit statickou ipv6_prefix::1 jako gw odpovidajici danemu subnetu, nebo pouzit napr FE80::1? V situaci, kdy v dane vrf muze byt xx L3 a pocet routeru v siti (resp. L3 gw) je >1?

Diky

54
Server / Samba AD update
« kdy: 14. 02. 2020, 12:36:06 »
Ahoj,

delal to nekdo? Mam tim na mysli napr. prechod z DebX na DebY, nebo proste major verze update. Me totiz cekaji 3 dc:

1] migrace z xenu na proxmox (1 dc) - ve shodne verzi
2] update z deb8 na deb10 (3 dc)
3] zmena ip (3 dc)

Vzhledem k mnozstvi zmen vaham nad temito 2 cestami:

a] rejoin pod puvodnim fqdn
b] uplne nove dc s novymi fqdn, zrusit pak stare

Nejvice by se mi libilo a], ale vzhledem k mnozstvi zmen vaham, zda nejit cestou b].

Mam 3 dc. FSMO drzi bohuzel (ci bohudik?) ten xenovy, na proxmoxech jsou zbyle dva (ten druhy jako testovaci hlavne). Takze si to muzu zjednodusit tim, ze bych zrusil ten xenovy a nechal jen ty proxmoxove (plus pridal opet treti testovaci novy), takze pripadny scenar by mohl byt:

1] update obou proxmox dc
2] zmena ip obou proxmox dc (= rejoin)
3] prenos fsmo na jeden z tech proxmox dc
4] zrusit xen dc

Nejtezsi cast teto migraci po studovani manualu mi pripada ta zmena ip (=rejoin) a prenos fsmo...Takze, uz nekdo migroval?

Diky.


55
Server / IPv6 a DNS servery pro reverzní zónu
« kdy: 12. 02. 2020, 11:55:16 »
Ahoj,

s nasazovanim ipv6 budu nasazovat i novou verzi dns serveru a momentalne zkoumam, jak vhodne na to jit. Jde hlavne o reverzni zony. U ipv4 jsem bezne mel xxx.xxx.xxx.in-addr-arpa zonu. U ipv6 mam k dispozici yyyy:yyyy::/29 a vaham, co je rozumna cesta pro ten reverz. Udelat jednu zonu s 2x oktet napevno a reverzy se mi budou automaticky generovat do teto zony? Nebo udelat mensi zony - napr. 3x oktet a zbytek automatika? Aktualne mam prvni 3 oktety pro urceni lokality, zbytek je variabilni, momentalne mi pro /64 vychazi pouziti 5 oktetu.

Je z hlediska spravy/efektivity/vykonu lepsi 1 reverz, nebo to rozsekat? Ma nekdo neco z praxe?

Diky.

56
Server / Ansible - neco jako sublist
« kdy: 28. 01. 2020, 16:31:08 »
Ahoj,

resim tu takovou vec kolem vytvareni uzivatelu. Kdybych ty uzivatele mel definovane v host_vars/fqdn, tak je to brnkacka.  Ale nez na tu variantu prejdu (je dost komplikovana), tak hledam jinou cestu.

Predstava je treba takto definovana promenna:

Kód: [Vybrat]
users:
 - username: somename
   group: somegroup
   ssh_key: somekey
   ssh_groups:
    - server1
    - server2
    - servergroup1

Pouzivam:
Kód: [Vybrat]
- name: add ssh key
  authorized_user:
   user: "{{ item.username }}"
   state: present
   key: "{{ item.ssh_key }}"
  with_items:
   - "{{ users }}"
  when: inventory_hostname in "uzivatelovo ssh_groups"

Pro danou skupinu serveru vytvorim uzivatele. Tech skupin ci serveru, na kterych ten uzivatel je, je ale vice. Chtel bych nejak elegantne omezit, na ktere servery se i zaroven prida klic toho uzivatele. Jak rozumne na to? Nejaky priklad i s jinym typem promenne vcetne iterace?

Diky.

57
Software / Generování UID pro adduser
« kdy: 21. 01. 2020, 17:00:23 »
Ahoj,
obcas si clovek neuvedomi, s jakou logikou nektere veci funguji...no budiz. Problem je jednoduchy, na debian10 automaticke generovani uid pri "adduser" se ridi hlavne adduser.conf parametry FIRST_GID(1000) a LAST_GID (59999).
Pridavam napric servery lokalni uzivatele a nastavuji jim uid:gid, problem je, ze to vazne nevzalo volne uid mezi 1000 a 2000, ale pridavalo to vzdy po poslednim 2xxx. Super, ceka me pregenerovani nekterych uzivatelu na hromade serveru.

Zakladni otazka je, jak bezpecne je dnes pouzivat uid:gid nad LAST_GID - napr., kdyz si zvolim 100k+, aby se mi normalni veci generovali stale v tom FIRST_GID a LAST_GID a tam, kde to potrebuju mit shodne mezi servery, pouziju 100k+? Pouziva to nekdo mimo LDAP/SSSD atd?
Menit adduser.conf LAST_GID z defaultu se mi moc nechce. A nasadit LDAP atd. mi v tomhle pripade pripada zvyseni rizika nefunkcnosti...

Diky.

58
Server / NFS4: zabránění zápisu do složky podle IP
« kdy: 12. 12. 2019, 16:40:02 »
Ahoj,

dulezity bod - nfs3(popr. cifs) reseni vim, ale primarne zkousim nfs4. Migruji zalohovani "na lokal" -> "na nfs". Problem je, ze zalohovani probiha pod shodnym uzivatelem z ruznych klientu, navic rad bych se vyhnul nasazovani gssapi kvuli tomu.

Disk namountovany jako:
/srv/nfs

/etc/exports:
Kód: [Vybrat]
/srv/nfs/dira ip4a(rw,fsid=1,sync,subtree_check,root_squash,crossmnt,sec=sys)
/srv/nfs/dirb ip4b(rw,fsid=1,sync,subtree_check,root_squash,crossmnt,sec=sys)

Co potrebuji, aby ip4a nemohla zapsat do dirb a obracene...Zkousim vsemozne kombinace vcetne parametru nohide, ro atd, ale nic. Vi nekdo, jak na to?

Diky.

59
Server / Ansible - netdata a php-fpm status
« kdy: 21. 11. 2019, 16:17:49 »
Ahoj,

hledam inspiraci. Mam na webserverch php-fpm per uzivatel, takze netdata je automaticky nezdetekuji. Takze je musim do konfigu generovat. Ale vzhledem k tomu, ze nemuzu pouzivat group_vars, tak nelze tak snadno zjistit promenne pro vytvoreni url...Rekneme ze
Kód: [Vybrat]
pm.status_path = php-status-$pool

Ten $pool odpovida "project_username", pod kterym to php-fpm bezi. A ted jak ho ziskat?

1] prohledat /etc/php/X.Y/fpm/pool.d/*, vyextrahovat pm.status_path?
2] zjistit, do jakych skupin v inventory spada dany server a pak nasledne sparovat s "vars/project_username.yml"? Ta vazba mi ale pripada nejista (stromova struktura skupin)
3] ??

Je to obdobny pripad, jako kdyz bych chtel menit certifikaty napr. pro nginx - ta role "certificates" nevi sama o sobe (nema seznam), kde je jaky certifikat, certifikaty se sparuji pri spusteni role "nginx" v ramci "projekt.yml".

Vzhledem k tomu, ze ty parametry nejsou v databazi, tak se mi moc ty seznamy delat nechce, takze propaguju nastaveni projektu skrz projektovy varfile, nez to definovat na urovni host_vars.

Diky

60
Server / Rspamd - když není ClamAV dostupný, propustí email
« kdy: 04. 11. 2019, 15:02:00 »
Ahoj,

zatim jsem narazil na jednu issue na gitu rspamd ohledne tohoto, pry az nekdy ve v2 pokud vubec. Nema nekdo rspamd nasazeny? Rad bych, aby clamav byl ovladany pres rspamd (jednodussi konfig nez postfix/amavis), ale nevim jak se vyhnout tomu, ze kdyz neni clamav na IP/portu dostupny, tak aby ho rspamd nepustil dale...Jedine, co me napada, je mit restransmision na vysokem cisle - existuje nekonecno/time limit?

Jak na to?
Diky

Stran: 1 2 3 [4] 5 6