1. Fórum Root.cz
  2. Profil czechsys
  3. Zobrazit příspěvky
  4. Témata

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Témata - czechsys

Stran: 1 2 3 [4] 5 6
46
Server / Postgresql monitoring
« kdy: 14. 08. 2020, 11:59:28 »
Ahoj,

pro monitoring postgresql v zabbixu pouzivam novou roli pro zabbix-agent2. Problem je toto, dokumentace tvrdi jednu vec, ale nevypada to tak... https://www.postgresql.org/docs/12/functions-admin.html

pg_ls_dir - restricted to superusers
pg_ls_waldir - access granted to superusers and pg_monitor

Kód: [Vybrat]
grant pg_monitor to zbx_user;

Vysledek:

Kód: [Vybrat]
zbx_user@postgres: ERROR: permission denied for function pg_ls dir
zbx_user@postgres: ERROR: permission denied for function pg_ls_waldir

Takze pg_monitor neumi ani pg_ls_waldir?

47
Windows a jiné systémy / SRV záznam pro active directory
« kdy: 29. 05. 2020, 09:30:49 »
Ahoj,

mam sambu AD jako sub.domain.tld. Na jake urovni musi byt nastaveny SRV zaznamy? Momentalne to mam na urovni domain.tld, nema to byt nahodou na urovni sub.domain.tld?

domain.tld mi spravuje dns na debianu.
sub.domain.tld mi spravuje samba AD ("internal dns").

Myslim si, ze by to melo byt takto:

1] na urovni domain.tld delegace zony sub.domain.tld smerem na samba AD (NS & A glue zaznamy)
2] v ramci sub.domain.tld na samba AD musi byt SRV zaznamy

Kdo vi presne?
Diky

48
Sítě / Interní IPv6 a domény ve veřejném DNS
« kdy: 22. 05. 2020, 13:03:23 »
Ahoj,

nekdo z dns fundovanejsich - jak je to v soucasnosti s pohledem na existenci internich domen/ip adres ve verejnem dns?

Z hlediska ipv4 je to jednoduche, provozujeme interni servery, takze ve verejnem dns se to neobjevi. Pokud ale zacnu kombinovat s ipv6...

Problem nastava s ipv6. Protoze adresa muze byt pouzita jako verejna ci neverejna (blokace firewallem). Ano, muzu si urcit jednu /56 jako verejne pristupnou, druhou /56 jako privatni pouziti, ale drive nebo pozdeji narazim na to, ze privatni sluzba ma byt verejnou, takze mam dve moznosti - jen nastavit firewall, nebo presunout sluzbu na verejnou ip z /56. Coz s sebou zase obnasi ruzna rizika, ze server je najednou v ruznych zonach, v kterych byt nemel (napr. prime propojeni typu "dmz" s "intranet" siti). Taktez to znamena pripadny provoz jako u ipv4 - jedny authoritative pro verejne, druhe pro privatni domeny, vcetne toho, ze to musi resit i resolvery, na co se maji pripojovat.

Navic nase servery nebezi na bindu, takze view se nepouzivaji. Authoritative servery jiz neumoznuji blokovat interni domeny na zaklade ip adresy zdroje...

Nazory? Diky.

49
Server / Ansible - instalace balíčku a problém s uživatelem
« kdy: 15. 04. 2020, 09:10:53 »
Ahoj,

mam tu neustale problem slepice a vejce. Chci nainstalovat postgresql server balicek, samo o sobe to neni problem. Pri instalaci to vytvori /var/lib/postgresql s postgres:postgres pravy. Chci na /var/lib/postgresql mapovat jiny disk. Takze pri spusteni yml se mi vytvori/namountuje disk. A zde je ten problem.

- pokud spustim instalaci postgresql pred pripojenim disku, budu mit na disku nejakou strukturu (zabirajici misto)
- pokud nejdrive namountuji disk, nemuzu mu nastavit uzivatele, nebot jeste neexistuje

Koukal jsem do ruznych yml, ale v zadnem se tohle neresilo. Je mi jasne, ze muzu vytvorit uzivatele/adresare predem. Ale rad bych vytvoril uzivatele (popr. i adresar) primo z balicku, abych nemusel hlidat zmeny. Chtel bych neco jako "apt install postgresql --only-user"

Jde to vubec nejak?

50
Sítě / IPv6 a ULA, dotazy na default gw
« kdy: 18. 02. 2020, 11:43:58 »
Ahoj,

studuju co se da, ale nektere veci se spatne vyhledavaji. Ohledne ULA je zhruba jasno - preferovat GUA. Nojo, ale co kdyz bych chtel neco, co se nepreroutuje pokud mozno nikam (ani v lokalni siti) - treba provoz jako corosync,nfs? Link-local adresy pouzit nechci, potrebuji neco, co se nezmeni ani pri vymene hw, preklopeni bond, atd...Mohl bych na ostrovni systemy tohoto typu pouzit ipv4, ale to bych vzal az jako posledni moznost...

Ted k default gateway. Co je "jistejsi"? Nastavit statickou ipv6_prefix::1 jako gw odpovidajici danemu subnetu, nebo pouzit napr FE80::1? V situaci, kdy v dane vrf muze byt xx L3 a pocet routeru v siti (resp. L3 gw) je >1?

Diky

51
Server / Samba AD update
« kdy: 14. 02. 2020, 12:36:06 »
Ahoj,

delal to nekdo? Mam tim na mysli napr. prechod z DebX na DebY, nebo proste major verze update. Me totiz cekaji 3 dc:

1] migrace z xenu na proxmox (1 dc) - ve shodne verzi
2] update z deb8 na deb10 (3 dc)
3] zmena ip (3 dc)

Vzhledem k mnozstvi zmen vaham nad temito 2 cestami:

a] rejoin pod puvodnim fqdn
b] uplne nove dc s novymi fqdn, zrusit pak stare

Nejvice by se mi libilo a], ale vzhledem k mnozstvi zmen vaham, zda nejit cestou b].

Mam 3 dc. FSMO drzi bohuzel (ci bohudik?) ten xenovy, na proxmoxech jsou zbyle dva (ten druhy jako testovaci hlavne). Takze si to muzu zjednodusit tim, ze bych zrusil ten xenovy a nechal jen ty proxmoxove (plus pridal opet treti testovaci novy), takze pripadny scenar by mohl byt:

1] update obou proxmox dc
2] zmena ip obou proxmox dc (= rejoin)
3] prenos fsmo na jeden z tech proxmox dc
4] zrusit xen dc

Nejtezsi cast teto migraci po studovani manualu mi pripada ta zmena ip (=rejoin) a prenos fsmo...Takze, uz nekdo migroval?

Diky.


52
Server / IPv6 a DNS servery pro reverzní zónu
« kdy: 12. 02. 2020, 11:55:16 »
Ahoj,

s nasazovanim ipv6 budu nasazovat i novou verzi dns serveru a momentalne zkoumam, jak vhodne na to jit. Jde hlavne o reverzni zony. U ipv4 jsem bezne mel xxx.xxx.xxx.in-addr-arpa zonu. U ipv6 mam k dispozici yyyy:yyyy::/29 a vaham, co je rozumna cesta pro ten reverz. Udelat jednu zonu s 2x oktet napevno a reverzy se mi budou automaticky generovat do teto zony? Nebo udelat mensi zony - napr. 3x oktet a zbytek automatika? Aktualne mam prvni 3 oktety pro urceni lokality, zbytek je variabilni, momentalne mi pro /64 vychazi pouziti 5 oktetu.

Je z hlediska spravy/efektivity/vykonu lepsi 1 reverz, nebo to rozsekat? Ma nekdo neco z praxe?

Diky.

53
Server / Ansible - neco jako sublist
« kdy: 28. 01. 2020, 16:31:08 »
Ahoj,

resim tu takovou vec kolem vytvareni uzivatelu. Kdybych ty uzivatele mel definovane v host_vars/fqdn, tak je to brnkacka.  Ale nez na tu variantu prejdu (je dost komplikovana), tak hledam jinou cestu.

Predstava je treba takto definovana promenna:

Kód: [Vybrat]
users:
 - username: somename
   group: somegroup
   ssh_key: somekey
   ssh_groups:
    - server1
    - server2
    - servergroup1

Pouzivam:
Kód: [Vybrat]
- name: add ssh key
  authorized_user:
   user: "{{ item.username }}"
   state: present
   key: "{{ item.ssh_key }}"
  with_items:
   - "{{ users }}"
  when: inventory_hostname in "uzivatelovo ssh_groups"

Pro danou skupinu serveru vytvorim uzivatele. Tech skupin ci serveru, na kterych ten uzivatel je, je ale vice. Chtel bych nejak elegantne omezit, na ktere servery se i zaroven prida klic toho uzivatele. Jak rozumne na to? Nejaky priklad i s jinym typem promenne vcetne iterace?

Diky.

54
Software / Generování UID pro adduser
« kdy: 21. 01. 2020, 17:00:23 »
Ahoj,
obcas si clovek neuvedomi, s jakou logikou nektere veci funguji...no budiz. Problem je jednoduchy, na debian10 automaticke generovani uid pri "adduser" se ridi hlavne adduser.conf parametry FIRST_GID(1000) a LAST_GID (59999).
Pridavam napric servery lokalni uzivatele a nastavuji jim uid:gid, problem je, ze to vazne nevzalo volne uid mezi 1000 a 2000, ale pridavalo to vzdy po poslednim 2xxx. Super, ceka me pregenerovani nekterych uzivatelu na hromade serveru.

Zakladni otazka je, jak bezpecne je dnes pouzivat uid:gid nad LAST_GID - napr., kdyz si zvolim 100k+, aby se mi normalni veci generovali stale v tom FIRST_GID a LAST_GID a tam, kde to potrebuju mit shodne mezi servery, pouziju 100k+? Pouziva to nekdo mimo LDAP/SSSD atd?
Menit adduser.conf LAST_GID z defaultu se mi moc nechce. A nasadit LDAP atd. mi v tomhle pripade pripada zvyseni rizika nefunkcnosti...

Diky.

55
Server / NFS4: zabránění zápisu do složky podle IP
« kdy: 12. 12. 2019, 16:40:02 »
Ahoj,

dulezity bod - nfs3(popr. cifs) reseni vim, ale primarne zkousim nfs4. Migruji zalohovani "na lokal" -> "na nfs". Problem je, ze zalohovani probiha pod shodnym uzivatelem z ruznych klientu, navic rad bych se vyhnul nasazovani gssapi kvuli tomu.

Disk namountovany jako:
/srv/nfs

/etc/exports:
Kód: [Vybrat]
/srv/nfs/dira ip4a(rw,fsid=1,sync,subtree_check,root_squash,crossmnt,sec=sys)
/srv/nfs/dirb ip4b(rw,fsid=1,sync,subtree_check,root_squash,crossmnt,sec=sys)

Co potrebuji, aby ip4a nemohla zapsat do dirb a obracene...Zkousim vsemozne kombinace vcetne parametru nohide, ro atd, ale nic. Vi nekdo, jak na to?

Diky.

56
Server / Ansible - netdata a php-fpm status
« kdy: 21. 11. 2019, 16:17:49 »
Ahoj,

hledam inspiraci. Mam na webserverch php-fpm per uzivatel, takze netdata je automaticky nezdetekuji. Takze je musim do konfigu generovat. Ale vzhledem k tomu, ze nemuzu pouzivat group_vars, tak nelze tak snadno zjistit promenne pro vytvoreni url...Rekneme ze
Kód: [Vybrat]
pm.status_path = php-status-$pool

Ten $pool odpovida "project_username", pod kterym to php-fpm bezi. A ted jak ho ziskat?

1] prohledat /etc/php/X.Y/fpm/pool.d/*, vyextrahovat pm.status_path?
2] zjistit, do jakych skupin v inventory spada dany server a pak nasledne sparovat s "vars/project_username.yml"? Ta vazba mi ale pripada nejista (stromova struktura skupin)
3] ??

Je to obdobny pripad, jako kdyz bych chtel menit certifikaty napr. pro nginx - ta role "certificates" nevi sama o sobe (nema seznam), kde je jaky certifikat, certifikaty se sparuji pri spusteni role "nginx" v ramci "projekt.yml".

Vzhledem k tomu, ze ty parametry nejsou v databazi, tak se mi moc ty seznamy delat nechce, takze propaguju nastaveni projektu skrz projektovy varfile, nez to definovat na urovni host_vars.

Diky

57
Server / Rspamd - když není ClamAV dostupný, propustí email
« kdy: 04. 11. 2019, 15:02:00 »
Ahoj,

zatim jsem narazil na jednu issue na gitu rspamd ohledne tohoto, pry az nekdy ve v2 pokud vubec. Nema nekdo rspamd nasazeny? Rad bych, aby clamav byl ovladany pres rspamd (jednodussi konfig nez postfix/amavis), ale nevim jak se vyhnout tomu, ze kdyz neni clamav na IP/portu dostupny, tak aby ho rspamd nepustil dale...Jedine, co me napada, je mit restransmision na vysokem cisle - existuje nekonecno/time limit?

Jak na to?
Diky

58
Server / Ansible - update baličků z backportu
« kdy: 22. 10. 2019, 11:40:43 »
Caus,

mam tyhle konfigy:

server:
Kód: [Vybrat]
/etc/apt/preferences.d/preferences
Package: *
Pin: release a=buster-backports
Pin-Priority: 450

ansible:
Kód: [Vybrat]
---
- name: Install haproxy packages
  apt:
   name: "{{ haproxy_packages }}"
   state: present
   update_cache: true
  tags: haproxy_packages

Pri spusteni tohoto tasku doslo k upgradu stable verze haproxy v Deb 10 z 1.8.x na 2.0.x z backportu. Pritom podle priority by mel byt preferovan stable. V host_vars pro dany server bylo:
Kód: [Vybrat]
 haproxy_version="*"
Je mozny, ze to prebilo prioritu v aptu a proc? Cekal jsem, ze to bude drzet maximalni stable verzi (aneb, priprava, pokud by to muselo byt v presne dane verzi).

Diky.

59
Sítě / Proxmox a více switchů
« kdy: 21. 10. 2019, 11:13:50 »
Ahoj,

zkousim tu nove nastaveni nasi site a znamena to zmenu z hlediska konfigurace site pro Proxmox. Nas bezny postup byl:

2x fyzicka linka ze switche popr. stacku -> lacp -> proxmox -> openvswitch -> bridge/ovsporty(mgmt, corosync apod s prislusnou vlan)

Toto reseni umoznilo pridavat vlany pouze na hw switchi a pak jiz nastavit v konfiguraci VM (openvswitch bridge).

Nyni tu mam ale 2 switche misto ve stacku v routovacim setupu. Bezny lacp/stp ze serveru tedy nemuzu udelat (active-backup linky nechci). Ma nekdo vzorovou konfiguraci, jak zajistit stejnou funkcionalitu jako v uvedenem priklade? At uz ve forme openvswitch/native linux. Potrebuji se hlavne vyhnout nutnosti upravovat sitovou konfiguraci na proxmox hostech kvuli pridani dalsi a dalsi vlan.

Diky

60
Server / SPF záznam + include a parametr MX
« kdy: 18. 10. 2019, 10:55:36 »
Zdravim,

mam pro domenu domain.tld toto v DNS:

1] domain.tld in txt "v=spf1 mx include:_spf.domain.tld ~all"
2] _spf.domain.tld in txt "v= spf1 mx ip4:ip1 ip4:ip2 ... ip4:ipX ?all"

A ted...kdyz to prozenu spf kontrolou na mxtoolbox.com, tak oba zaznamy jsou v poradku. Kdyz to ale prozenu dmarcanalyzer.com spf kontrolou, tak to vyhodi:

a] spf pro domain.tld je v poradku
b] spf pro _spf.domain.tld -> Warning: No valid MX record found for the domain _spf.cortex.cz

Udajne kvuli tomu jednomu zakaznikovi nechodi emaily. Zakaznici si ve svych spf zaznamech includuji prave to _spf.domain.tld.

Existuje moznost, jak 1] a 2] zapsat tak, aby v 2] byl MX zaznam? Protoze pokud budu potrebovat pro nektereho zakaznika mit odlisny spf zaznam, tak v soucasnem stavu by to znamenalo, ze je mx paramter k nicemu, protoze se neda pouzit (je to jen txt, kdo tvrdi, ze to je skutecna domena??).

Stran: 1 2 3 [4] 5 6