Příspěvky

136

Server / Re:Přístup k logům mailserveru

« kdy: 24. 03. 2022, 09:22:14 »

No holt to budu muset odzkouset, zda se.
Prave ze u tech non-rsyslog nastroju mi vyhovuje, ze to jde napojit primo na cteni souboru (kdyz zatim existuji), takze rekonfigurace/restarty techto sluzeb se umi "vratit na posledni bod". Reseni s rsyslogd tohle ale "zpetne" nedela...

Ono jde i o vykon, na tom starem serveru jedeme i 20 tisic mailu za hodinu, tady ocekavame zrychleni zprocesovani...

137

Server / Re:Přístup k logům mailserveru

« kdy: 23. 03. 2022, 12:42:40 »

nxlog má funkci reliable delivery při přerušení tcp spojení až v placené verzi, to je povětšinou dost zásadní funkce a nechceš ztrácet logy při restartech servové části.

Proč chceš používat tyhle obskurní nástroje (ano, nxlog je prostě takový běžný enterprise SW, u nás ho třeba máme v rajfce) místo poměrně etablovaného a stabilního řešení v podobě rsyslogu? Stejně tak se tady nabízí ještě syslog-ng.

Ty moderní nástroje mají často problém se spolehlivostí, neumí se snadno vypořádat s pády, restarty, rotováním souborů a jinými neduhami.

U postfixu se mi dlouhé roky osvědčuje používat syslog logování, dávat to do rsyslog relay s lokální cache a rovnou posílat na rsyslog server, z kterého se to poté již může distribuovat do různých grafických udělátek. Při výpadku konektivity se logy pošlou dodatečně, mohu jednoduše alertovat, když logy přestanou chodit, mám to jednotné s ostatními nástroji a infrastrukturou.

Z těch placených je poměrně solidní Splunk, umí se totiž asi nejlépe vypořádávat s rotováním souborů, jejich truncování po rotování, s přejmenováním a jinými operacemi, když už teda pustíš aplikaci, aby si mohla sama spravovat logy a sama do nich zapisovat.

Diky za zhodnoceni.
Ja pouzivam filebeat pro graylog, ktery s rotacemi logu a vypadky spojeni problem nema, tak jsem necekal u nxlogu, ze by to bylo v zakladni verzi problem. Ale protoze se mi automaticky konfiguruje z graylogu, tak ho jiz vyuzit nemuzu.

Duvodu, proc nepouzivam rsyslog na tyhle veci (pokud to z principu jinak nejde, napr. switche) je tento:
1] vice a vice se prechazi na journald
2] standarizace konfigurace/zabezpeceni/nahraditelnost aplikace nasaditelna defacto vsude, nez se prat s tim, jak to rsyslogem nekam poslat
3] nesnasim regexpy, je to neintuitivni, casovy zrout

138

Server / Re:Přístup k logům mailserveru

« kdy: 23. 03. 2022, 09:08:19 »

Zatim se mi libi toto:
https://nxlog.co/documentation/nxlog-user-guide/postfix.html at uz v rezimu filtrovani ci poslat veskery text
+ pripadne
https://nxlog.co/documentation/nxlog-user-guide/om_dbi.html

Do budoucna pripadne to cist rovnou z journald
https://nxlog.co/documentation/nxlog-user-guide/linux-logs.html#reading-systemd-journal

139

Server / Re:Pristup k logum mailserveru

« kdy: 22. 03. 2022, 13:58:34 »

Ahoj,
mate nejaky duvod proc nepouzit standardni syslog? Napr. rsyslog umi lokalni frontu na klientu v pripade vypadku site/serveru a pres protokol REPL by melo byt zaruceno 100% doruceni logu na server.
Michal

Přimlouvám se za rsyslog. A zlomit ho na logování přímo do DB je otázka chvilky.

Rsyslog me nenapadl, pro kriticke veci ho nepouzivame. Zatim bych preferoval cestu specifickych nastroju, ale zaradim to do moznosti.

140

Server / Přístup k logům mailserveru

« kdy: 22. 03. 2022, 11:39:08 »

Ahoj,

z duvodu kompletni prestavby naseho mailoveho reseni potrebuji vyresit pristup logum mailserverum, aby z nich mohla nase aplikace tahat data. Jde zejmena o maximalni spolehlivost.

Momentalni nastaveni je takove, ze na mailserveru bezi skripty, ktere parsuji logy a predavaji to zpracovatelskemu serveru. Na ten zpracovatelsky server jsou pak navazany nase dalsi aplikace. Tech mailovych serveru bude mnohem vice, takze overuji cestu, zda to parsovani logu nepresunout z mailserveru primo na zpracovatelsky. Otazkou je, ale jak zajistit spolehlivy pristup. Logy postfixu jsou navic nepristupne beznemu uzivateli

Varianty co me napadaji (styl veskery obsah logu, at si to pak prefiltruji vyvojari):
a] ssh omezeny na "cat mail.log" - pull
b] neco ve stylu filebeat apod.  - push

Mala komplikace je, ze napr. filebeat jiz pouzivam pro graylog. A graylog tu mame v rezimu - kdyz to bezi, fajn, kdyz ne, nic se nedeje. Takze napojeni zpracovatelskeho systemu na graylog neni vhodne a filebeat tedy nevyuziju.

Jeste me napadlo logovani primo do db z postfixu, ale to jsem nikdy nezkousel. Jde o to, aby i ten redeployment serveru byl jednodussi nez doted (kontejnery nevedeme).

Diky za napady.

141

Hardware / Re:Chytřejší vytápění s řízením po místnostech

« kdy: 07. 03. 2022, 21:21:46 »

Centrální termostat je principiální <|>vina, které se dodnes nychtsmochři drží jak h*vn* košile.
Řešením je na topná tělesa umístit hlavice (klidně samostatných) a kotel regulovat dle ekvitermní křivky na danou teplotu výstupní vody.

To neni zrovna pravda. Zalezi na podminkach. Taky jsem chtel vice termostatu pri rekonstrukci systemu, ale zatim mi to topenari vymlouvaji. Jeden z duvodu je, ze mame vecne vsechny dvere otevrene, takze efekt samostatnych termostatu mizi. Nemluve o tom, ze se vyladi jednotlive okruhy na urcitou teplotu mistnosti a neustale zmeny nastaveni teplot s tim blbnou.

142

Server / Re:Záloha desítek GB u kamaráda

« kdy: 22. 02. 2022, 09:42:47 »

Proc vymyslite kolo? Kupte si kazdy treba synology, nebo pouzivejte uz vytvorene backup systemy typu borg apod.

143

Distribuce / Re:Lze zablokovat instalaci další verze PHP?

« kdy: 17. 02. 2022, 11:12:51 »

Tak celkove reseni je:
1] odinstalace vsech baliku php, php-jmenomodulu
2] odinstalace baliku php7.4 (pro compute servery, zbaveni se zbytecneho fpm modulu)
3] odinstalace vsech baliku ostatnich phpX.Y

V systemu pak zustane jen 7.4 a pri upgradu se jiz nic nevaze zavislostmi na pridavani novych verzi - pridavaly se napr. diky baliku php-geoip apod.

144

Distribuce / Re:Lze zablokovat instalaci další verze PHP?

« kdy: 16. 02. 2022, 10:31:59 »

Hm. Tak ted koukam na ty servery a metabalik php nemam vubec nainstalovany...

A jeste oprava:
Problem s tahanim fpm baliku do serveru, kde nejsou zadouci, je primo v php7.4 - to ma zavislost na:

Kód: [Vybrat]

libapache2-mod-7.4 | php7.4-fpm | php7.3-cgi

Takze to spis vypada, ze bych pro cli servery bych se spis mel zbavit i php7.4 baliku...

145

Distribuce / Re:Lze zablokovat instalaci další verze PHP?

« kdy: 15. 02. 2022, 11:55:59 »

Ty balíčky různých verzí jsou nezávislé, propojené jsou přes metalíček php, který vždycky odkazuje závislostí na jednu verzi. Třeba v Debianu Bullseye závisí tenhle balíček na balíčku php7.4. Čili řešení spočívá v tom vůbec neinstalovat ten metabalík php, ale vybrat si přímo verzi, kterou chcete. Ta se pak bude normálně aktualizovat, jak budou přijíždět nové verze toho balíku.

Pokud nebude jeste nejake dalsi moznosti, tak zrejme pujdu touto cestou, uz jsem o vylouceni metabaliku php uvazoval, protoze jako nutnou zavislost ma php-fpm/cgi/whatever, coz zrovna na nekterych serverech spis nepotrebuju (staci php-cli).

146

Distribuce / Re:Lze zablokovat instalaci dalsi verze php?

« kdy: 15. 02. 2022, 10:53:31 »

Hold znam, ale zrovna u php si s nim jisty nejsem. Nejedna se totiz o upgrade tech samych baliku, ale instalace dalsi verze vedle soucasne. Navic, nechci holdovat soucasnou verzi, tam bych potreboval prubezne aktualizace funkcni bez nutnosti deaktivovat hold (v tu chvili by se tam mohla nacpat i ta jina verze...).

147

Distribuce / Lze zablokovat instalaci další verze PHP?

« kdy: 15. 02. 2022, 10:18:47 »

Ahoj,

bezim servery s php7.4 z repozitare deb.sury.org. Verzi si ridim skrz ansible, jen jsem zatim neprisel na to, jak zablokovat out-of-box instalaci ruznych verzi pro danou verzi debianu. Tzn., skacou mi tam 5.6 ~ 8.1 verze momentalne.

Existuje moznost nastavit apt, aby videl jen tu 7.4 (plus max. default deb repo), resp, aby aspon nevidel ty "novejsi" verze? Starsi takovy problem nejsou, update-alternatives to drzi na te "nejnovejsi nainstalovane".

preferences.d/php:

Kód: [Vybrat]

Package: *
Pin: origin packages.sury.org
Pin-Priority: 450

148

Software / Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1

« kdy: 09. 02. 2022, 10:10:53 »

Na jedne sluzbe u nas, bezici pry na Centos5, externi dodavatel udelal zasah, ktery zprovoznil tls1.2. Jakym zpusobem toho mohl dosahnout? Jedine, co mne napada, je pouziti jinych *ssl baliku pro system/sluzbu, nebo instalace/kompilace extra baliku s vlastnimi *ssl knihovnami.

Vi nekdo, ktera proxy/web server/*ssl lze nainstalovat bez kompilace, aby bylo mozno nasadit tls1.2 na dalsi sluzby? Staci  mi to pro debian.

149

Software / Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1

« kdy: 07. 02. 2022, 14:42:36 »

Tak dle https://support.google.com/chrome/a/answer/7679408?hl=en, resp. https://support.google.com/chrome/a/answer/7679408#noMoreTLS jiz nelze povolit starsi tls, takze tudy cesta nepovede.

150

Software / Re:Chrome 98: nelze potvrdit průchod na TLS 1.0 a 1.1

« kdy: 07. 02. 2022, 13:53:10 »

Pokud potřebujete přístup k nějakým starým systémům, nejlepší možnost je předřadit jim reverzní proxy, která bude terminovat TLS a na druhou stranu bude komunikovat s původním serverem třeba dálnopisem. Pak je dobré ještě zajistit, aby ten původní server nebyl dostupný odkudkoli, ale jen z toho reverzního proxy serveru, a aby trasa mezi reverzním proxy serverem a původním serverem byla zabezpečená jinak, než přes to zastaralé TLS (třeba tak, že jsou oba servery v jedné serverovně propojené přímo kabelem nebo přes jeden switch a nejde ta komunikace přes půl světa).

Pokoušet se snižovat bezpečnost na straně prohlížeče není dobrý nápad.

Jasne, predradim pred kazdy ILO/switch/hypervizor HW proxy. Kam na takoveto napady chodite?