Příspěvky

106

Server / Re:Proxy s API pro nastavení přístupu uživatelem

« kdy: 03. 06. 2022, 14:50:00 »

máme squid, pravidla v vault/consul, do těch máš api/cli/ui s podrobnými oprávněními a při změně přes consul-template se změna okamžitě propaguje (squid -k reconfigure pomůže k změně nastavení bez restartu).

Pokud je to pro tebe přílišný overkill, tak nahoď nějakou databázi, nad ní adminer, udělej cron, který z databáze bude generovat konfiguraci a refreshovat squid. Asi bych v tom nějaké složitosti nehledal, těhle udělátek máme všude tuny, vždy je vhodné to hodit do TODO, aby se to do budoucna udělalo systémově a do wiki, že něco takového existuje.

Jn, asi jednodussi cesta ted nebude, nez to generovat cronem, spis me prekvapilo, ze neexistuje nejaky reseni typu proxy/gateway, ktere by slo modifikovat uzivatelsky (jako pouzivaji hostingy/cloudy)

107

Server / Re:Proxy s API pro nastavení přístupu uživatelem

« kdy: 03. 06. 2022, 13:52:22 »

No a co tam prostě uploadovat pravidla firewallu?
Tj. mít systém, kde vedeš co kam může a tohle ládovat do FW? Třeba na té proxy?
Pokud systém k proxy může, ale ta od něj zahazuje data...tak to je stejně dobré, jako jiné ověření.

Asi mi neco unika, ale jestli se bude rekonfigurovat firewall (iptables a novejsi) ci proxy (squid apod) je defacto to same (pomineme-li, ze proxy umi jen nektere typy protokolu), oboji by vyzadovalo akci na urovni root prav, pokud by nebylo nejake SW reseni, kere umi i "uzivatelskou" uroven.

108

Server / Proxy s API pro nastavení přístupu uživatelem

« kdy: 03. 06. 2022, 09:23:33 »

Ahoj,

mam tu takovy specificky use-case - nova aplikace (vicemene webova) by potrebovala pristupovat na externi webove sluzby tak, jak si to nastavi zakaznik. Vzhledem k tomu, ze zatim jedeme politiku, kdy se ze serveru externi sluzby povoluji na vyzadani, tak to koliduje s tim, aby to nemusel nastavovat dev/sys. Nastaveni proxy s neomezenym pristupem do internetu a vyuziti v ramci aplikace zatim nekterym nevoni (vidi v tom bezpecnostni riziko).

Hledal jsem neco ve stylu proxy, ktere se da nastavovat pres api, ale snad krome par zminek, ze by squid umel db, jsem nenasel nic? Dalsi navrh byl, zda cast te aplikace nevystrcit mimo nasi infrastrukturu, tim bychom ze serveru povolili pristup jen na tu cast, a dal uz by to mohlo byt neomezene. Je to samozrejme slozitejsi na spravu apod. Treti variantou bylo pouzit proxy s dodatecnym konfig souborem, ktery se bude "aplikacne" upravovat a nejaky planovac by pak zavolal rekonfiguraci proxy.

Nevi nekdo nejake realne moznosti, ktere by takovyhle use case dobre resilo? Jde o to, ze zde neni automatizace, ktera by umoznovala uzivatelsky menit veci, ktere vyzaduji root pristup (sudo cestu zatim ponechme stranou).

Diky

109

Vývoj / Re:DB master/slave - čtení/zápis na straně aplikace

« kdy: 31. 05. 2022, 11:54:18 »

Zde https://scalegrid.io/blog/managing-high-availability-in-postgresql-part-3/ je mozne si procist, jak se zachovaly ruzna HA reseni v pripade ruznych failover scenaru.

Bohuzel implementace automaticke HA v postgresql dost pokulhava oproti jinym db resenim (nutno externi procesy, a to opet v HA...) i ve slozitosti.
Sami bychom to potrebovali, ale pri par let stare konzultaci od p. Stehule jsme se dozvedeli, ze skoro nezna firmu, kde by to meli resp. uspesne pouzivali.

110

Server / Re:Přístup k logům mailserveru

« kdy: 21. 04. 2022, 13:22:51 »

Rsyslog a systemd timeouty mam v defaultni podobe z Debian 11. Jedine upravy jsou:

cat /etc/rsyslog.d/*:

Kód: [Vybrat]

##graylog
*.* @@SOMEFQDN:1514;RSYSLOG_SyslogProtocol23Format

##postfix
# Ansible managed
# Transfer postfix logs to postgresql

#Load the imfile input module
module(load="imfile")

#Load the ompgsql output module
module(load="ompgsql")

#Define a template for row insertion of data
template(name="postgresql" type="list" option.sql="on") {
 constant(value="INSERT INTO maillog.maillog (message, timereported) values('")
 property(name="msg")
 constant(value="','")
 property(name="timereported" dateformat="pgsql" date.inUTC="on")
 constant(value="')")
}

ruleset(name="postfix_to_postgresql") {
 action(
  type="ompgsql"
  server="SOMEFQDN"
  user="SOMEUSER"
  pass="SOMEPASS"
  db="maillog"
  template="postgresql"
  queue.filename="postfix-queue"
  queue.maxDiskSpace="2G"
  queue.type="LinkedList"
  queue.timeoutWorkerthreadShutdown="1000"
  queue.timeoutEnqueue="10000"
  queue.workerthreads="5"
  queue.workerthreadMinimumMessages="1000"
  queue.SaveOnShutdown="on"
  action.resumeRetryCount="-1"
  action.resumeInterval="30"
 )
}


input
(
 type="imfile"
 file="/var/log/mail.log"
 tag="postfix"
 ruleset="postfix_to_postgresql"
 PersistStateInterval="10"
)

##postfix package
# Create an additional socket in postfix's chroot in order not to break
# mail logging when rsyslog is restarted.  If the directory is missing,
# rsyslog will silently skip creating the socket.
$AddUnixListenSocket /var/spool/postfix/dev/log

core dumpy a gdb nemam.

111

Server / Re:Přístup k logům mailserveru

« kdy: 21. 04. 2022, 10:08:20 »

Tak zkousim doporucenou rsyslog variantu, ctu z mail.log, zapisuju primo do vzdalene psql databaze, zatez to umi udelat peknou Takze me zatim zaujal restart rsyslogu  :

Kód: [Vybrat]

Apr 20 14:25:31 HOSTNAME kernel: [778771.993811] rsyslogd[57142]: segfault at 1a ip 00007fa80c9ba73c sp 00007fff55af8ee0 error 4 in libc-2.31.so[7fa80c955000+14b000]
Apr 20 14:25:31 mail-11 kernel: [778771.993826] Code: 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 40 00 48 83 ec 18 48 8b 05 cd 37 13 00 48 8b 00 48 85 c0 0f 85 81 00 00 00 48 85 ff 74 74 <48> 8b 47 f8 48 8d 77 f0 a8 02 75 38 48 8b 15 29 36 13 00 64 48 83

jaký máš OS a jakou verzi systemd, verzi rsyslogd?

Tohle je hodně netradiční chyba, error 4 vznikl v libc-2.31.so a ta 4 znamená čtení nemapované paměti. Chytl to traps.h, to vypadá buď na nějaký divný bug nebo nekonzistentní knihovny.

Debian 11:

Kód: [Vybrat]

systemd:
  Installed: 247.3-7
  Candidate: 247.3-7
  Version table:
     250.4-1~bpo11+1 450
        450 http://ftp.cz.debian.org/debian bullseye-backports/main amd64 Packages
 *** 247.3-7 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

rsyslog:
  Installed: 8.2102.0-2
  Candidate: 8.2102.0-2
  Version table:
     8.2110.0-4~bpo11+1 450
        450 http://ftp.cz.debian.org/debian bullseye-backports/main amd64 Packages
 *** 8.2102.0-2 990
        990 http://ftp.cz.debian.org/debian bullseye/main amd64 Packages
        100 /var/lib/dpkg/status

Kód: [Vybrat]

Apr 21 10:06:59 mail-10 systemd[1]: Stopping System Logging Service...
Apr 21 10:06:59 mail-10 kernel: [849694.727937] rsyslogd[56410]: segfault at 1a ip 00007f56c2eda73c sp 00007ffe21e8dca0 error 4 in libc-2.31.so[7f56c2e75000+14b000]
Apr 21 10:06:59 mail-10 kernel: [849694.727949] Code: 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 40 00 48 83 ec 18 48 8b 05 cd 37 13 00 48 8b 00 48 85 c0 0f 85 81 00 00 00 48 85 ff 74 74 <48> 8b 47 f8 48 8d 77 f0 a8 02 75 38 48 8b 15 29 36 13 00 64 48 83
Apr 21 10:06:59 mail-10 rsyslogd: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="56410" x-info="https://www.rsyslog.com"] exiting on signal 15.
Apr 21 10:06:59 mail-10 systemd[1]: rsyslog.service: Main process exited, code=killed, status=11/SEGV
Apr 21 10:06:59 mail-10 systemd[1]: rsyslog.service: Failed with result 'signal'.
Apr 21 10:06:59 mail-10 systemd[1]: Stopped System Logging Service.
Apr 21 10:06:59 mail-10 systemd[1]: rsyslog.service: Consumed 1min 23.945s CPU time.
Apr 21 10:06:59 mail-10 systemd[1]: Starting System Logging Service...
Apr 21 10:06:59 mail-10 rsyslogd: imuxsock: Acquired UNIX socket '/run/systemd/journal/syslog' (fd 3) from systemd.  [v8.2102.0]
Apr 21 10:06:59 mail-10 rsyslogd: [origin software="rsyslogd" swVersion="8.2102.0" x-pid="177746" x-info="https://www.rsyslog.com"] start
Apr 21 10:06:59 mail-10 systemd[1]: Started System Logging Service.

112

Server / Re:Přístup k logům mailserveru

« kdy: 20. 04. 2022, 14:29:47 »

Tak zkousim doporucenou rsyslog variantu, ctu z mail.log, zapisuju primo do vzdalene psql databaze, zatez to umi udelat peknou Takze me zatim zaujal restart rsyslogu  :

Kód: [Vybrat]

Apr 20 14:25:31 HOSTNAME kernel: [778771.993811] rsyslogd[57142]: segfault at 1a ip 00007fa80c9ba73c sp 00007fff55af8ee0 error 4 in libc-2.31.so[7fa80c955000+14b000]
Apr 20 14:25:31 mail-11 kernel: [778771.993826] Code: 66 2e 0f 1f 84 00 00 00 00 00 0f 1f 40 00 48 83 ec 18 48 8b 05 cd 37 13 00 48 8b 00 48 85 c0 0f 85 81 00 00 00 48 85 ff 74 74 <48> 8b 47 f8 48 8d 77 f0 a8 02 75 38 48 8b 15 29 36 13 00 64 48 83

113

Server / Re:Jak resite to, ze vice a vice sluzeb loguje do journald, pricemz rsyslog zustal?

« kdy: 20. 04. 2022, 14:10:41 »

Ahoj
Nemusíš přesunovat celý /var, vytvořit a přimontovat jen /var/log FS vytvořený v samostatném oddílu ti nepomůže ?
Myslím z hlediska místa ve /var
Jinak dvojí logování do messages a jeste do /var/log/syslog bude asi chybkou v konfiguraci syslog, jak psal Tomáš

To se mi snad dodnes nevyplatilo nikdy delat, ty logy maji stovky MB az desitky GB, a oddelit to na samostatne oddily by znamenalo administrativni zatez, nemluve o vetsich narocich na kapacitu diskovych poli (rezervace mista, hladiny monitoringu apod). Takze to oddeluji jen pro urcite aplikace (vetsinou sdili datovy disk pro tu aplikaci).

114

Server / Re:Jak resite to, ze vice a vice sluzeb loguje do journald, pricemz rsyslog zustal?

« kdy: 20. 04. 2022, 14:05:00 »

v tom případě ukaž jak máš konfigurace jednotlivých částí.

Vlastně nevím, co chceš dělat. Pokud máš journald ve výchozím stavu v CentoOS, tak ti to loguje pouze do ramdisku, přesměrovává vše do syslogu a ten to rozděluje do jednotlivých souborů v /var/log.

Pokud chceš nějakou aplikaci filtrovat z journald, nastavíš jí StandardOutput=null, StandardError=null a tím vypneš systémové logování do journald, syslogu a tím do /var/log.

Pokud chceš nějakou aplikaci odstranit pouze z /var/log/messages a ponechat journald, nastavíš přes tag pravidlo do rsyslogu, aby zahodil logy pro tuhle aplikaci:

Kód: [Vybrat]

# /etc/rsyslog.d/pgbouncer.conf
# $programname je podle názvu aplikace v systemd službě
if $programname == 'pgbouncer' then stop

Zbytek je poté na logování v samotné aplikaci, neznám balíček pgbouncer a nevím jak to má nastavené, to musíš ověřit z dokumentace.

Debian ma od verze 244 zapnuty persistentni journald (na Deb11 je nyni verze 247).
No  a k tomu ma defaultne nainstalovany i rsyslog:

Kód: [Vybrat]

# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html


#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="imklog")   # provides kernel logging support
#module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
#module(load="imudp")
#input(type="imudp" port="514")

# provides TCP syslog reception
#module(load="imtcp")
#input(type="imtcp" port="514")


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# First some standard log files.  Log by facility.
#
auth,authpriv.*                 /var/log/auth.log
*.*;auth,authpriv.none          -/var/log/syslog
#cron.*                         /var/log/cron.log
daemon.*                        -/var/log/daemon.log
kern.*                          -/var/log/kern.log
lpr.*                           -/var/log/lpr.log
mail.*                          -/var/log/mail.log
user.*                          -/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail.info
mail.warn                       -/var/log/mail.warn
mail.err                        /var/log/mail.err

#
# Some "catch-all" log files.
#
*.=debug;\
        auth,authpriv.none;\
        mail.none               -/var/log/debug
*.=info;*.=notice;*.=warn;\
        auth,authpriv.none;\
        cron,daemon.none;\
        mail.none               -/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg                         :omusrmsg:*

Takze mi "krasne" loguje i maily prosle postfixem do syslogu (vcetne standardniho do mail.log, .warn, .err, .info)...

115

Distribuce / Re:Debian 11 - chybí /var/run/reboot-required

« kdy: 19. 04. 2022, 14:46:56 »

btw: v Xubuntu pouzivam needrestart, dokaze restartovat sluzby po instalaci knihoven
https://packages.debian.org/bullseye/needrestart

Ten ja pouzivam pro restart sluzeb, ale otestovani kernelu mi to zobrazuje jen v tui...cli verzi (obdobu aplikacniho list mode) jsem tam nevidel.

116

Server / Re:Jak resite to, ze vice a vice sluzeb loguje do journald, pricemz rsyslog zustal?

« kdy: 19. 04. 2022, 14:44:12 »

Zkusil jsem ten ForwardToSyslog, to mi odstavilo veskere logovani do /var/log/* (pokud to dana sluzba nema nejak extra reseno). To je sice reseni, jen dost rozsahle, takze bych ho pouzil, kdybych presel kompletne na journald a logoval si extra jen nektere sluzby.

Zkousel jsem i nejake zakladni restrikce na rsyslog strane, tam ale pak zmizi i blby reload sluzby ze syslogu...prekerka.

No budu zatim doufat, ze mi treba postgresql nezacne logovat do journald...

117

Server / Více a více služeb loguje do journald a rsyslog zůstal

« kdy: 19. 04. 2022, 11:14:36 »

Ahoj,

tak nas po posledni aktualizaci serveru malem vypekl pgbouncer. Zapnuli tam defaultne logovani do journald, coz v kombinaci s rsyslog znamenalo, ze ty logy byly 4x...
1x specificky nastavena cesta v pgbounceru
1x journald
1x /var/log/messages
1x /var/log/syslog

Uzasny. Zatim jsem nouzove doplnil do override.conf:

Kód: [Vybrat]

[Service] #pgbouncer package version
LimitNOFILE=4096 #pgbouncer package version
StandardOutput=null #manual override
StandardError=null #manual override

Vypnout globalne journald se mi nezda jako vhodna cesta. Ale x-nasobneho logovani je smrtici...Vypinat to per sluzba je zase otravne hlidani, kdy to same zacne delat nejaka jina. Presunout kvuli tomu cely /var na samostatny oddil se mi velmi prici (treba z duvod zaloh blokovych disku).

Je nejake elegantnejsi reseni? V tuhle chvili asi muzu tak max volit mezi vypinani v rsyslog nebo v override dane sluzby...

118

Distribuce / Re:Debian 11 - chybí /var/run/reboot-required

« kdy: 19. 04. 2022, 11:08:02 »

Hoj,

pokud nejsi limitovan tim, co instalovat, tak jsem to resil pres balik unattended-upgrades, ktery by si mel sahnout na cestu /var/run/reboot-required (respektive to tak pres Ansible resim doted).

Dalsi HC moznost je sledevat, zda se instaluji baliky, ktere vyzaduji restartovat masinu, tech bude par (kernel/kernel-devel, glibc, systemd... a asi par dalsich), coz jde pres Ansible vychytat taky

Mam to chapat tak, ze spustis aktualizaci prikazem "unattended-upgrades"? Nebo jak?

119

Distribuce / Re:Debian 11 - chybí /var/run/reboot-required

« kdy: 11. 04. 2022, 12:39:17 »

Note: for debian systems, /var/run/reboot-required does not get created unless the update-notifier-common (pokud chapu, tak je v baliku reboot-notifier) package is installed.

ale nevim, jak je to pravdive

No prave, tahle vec neni uz od jessie, misto toho je reboot-notifier. Ale stejne mi uchazi, proc tato vec neni nikde znama...

120

Server / Re:Lze vynutit starší verzi syntaxe pg_dump?

« kdy: 11. 04. 2022, 10:52:37 »

Nainstalovat soubezne starsiho klienta a odkazovat se primym nastavenim cesty na konkretni pg_dump.