Příspěvky

196

Server / Re:Spouštění úloh na pozadí - zálohy a workflow

« kdy: 16. 09. 2021, 09:42:30 »

Užít pre-backup a post-backup fáze ze zálohovacího SW by znamenalo, že se zálohovací server musí připojit někam, kde udělá navazující akce. To není úplně pěkné, protože nechceme, aby databázový server měl přístup k zálohám či jinam. ( v případě úspěšného útoku na bychom přišli o databázový server i o jeho zalohy ).

Proc by mel mit db server pristup na zalohovaci server, kdyz veskere akce provede zalohovaci server? Pull metoda.

197

Server / Re:Spouštění úloh na pozadí - zálohy a workflow

« kdy: 16. 09. 2021, 09:41:14 »

Pokud se jedná o zálohy databáze (jak jsem z dotazu pochopil, nebylo ani řečeno o jakou konkrétně se jedná), tj. ne filesystém, tak s konzistencí není problém, prototože dump se pouští v transakci.

V jaky transakci? Treba postgresql dump je cisty select, co je na tom transakcniho? Jako, ze to zamkne celou db, aby to udelalo zalohu, aby se nezmenilo nic v tabulkach behem dumpu?

198

Server / Re:Spouštění úloh na pozadí - zálohy a workflow

« kdy: 15. 09. 2021, 09:50:45 »

Mate v uvaze velkou chybu. Pokud trva zaloha db 1-3h, tak zaloha na disku neni konzistentni.

Pouzijte replikaci/snapshoty apod.

Vetsina slusnych backup programu navic ma pre-backup a post-backup faze. Anebo neco jako rundeck.

199

Distribuce / Re:Debian 11 - persistent journal plus postgresql atd

« kdy: 07. 09. 2021, 10:06:02 »

Dnes jsem delal nejake upravy na jednom z deb11 a postgresql. Podle vypisu journalu se z postgresql logu zapisovalo jen systemd akce, zatimco standardni "query" log v tom nebyl. To by mi prozatim stacilo, ale i tak kdyby nekdo uz tohle resil, pripadne zda ma nekdo dalsi informace.

200

Distribuce / Debian 11 - persistent journal plus postgresql atd

« kdy: 06. 09. 2021, 14:38:46 »

Ahoj,

od deb11 je journal out-of-box persitentni. Vzhledem k tomu, ze rsyslog zatim zustava, tak se tu dostavam do situace, kde zatim nevim co a jak:

Use case:
Mam sluzbu, treba postgresql, ktera generuje velke mnozstvi logu. Velikost kolisa dle serveru od desitek MB po desitky GB. Logy mam z toho duvodu nasmerovane na jiny datovy oddil. Podobna vec muze byt treba ELK atd. Zajimaji me logy 2 dny zpet (napr.)

Analyza:
Journal ma nastaveno by default, ze maximum obsazeneho prostoru je 10% kapacity datoveho oddilu, popr. 4GB max.

Problem:
Jak vyresit umisteni logu sluzby, ktera bude logovat do persistentniho journalu? On pro mne je ten journal velmi zajimavy uz z principu - lze z nej parsovat napr. jsonem do ELK, coz se z rsyslogu dela sakra blbe (zvlast veci jako postgresql logy).

Otazka:
Resil jiz nekdo neco takoveho?

201

Windows a jiné systémy / Re:Zdroj přesného času ve Windows síti - hlavní NTP - NTP server

« kdy: 06. 09. 2021, 10:50:12 »

Mikrotik by tam nedával a samostatný HW nechce.

Vsechna AD virtualni:

a] vyuzit firewally/centralni switche jako zdroj ntp pro AD
b] pouzit primo ntp pool z internetu

A to, zda a] nebo b] pouzije pouze drzitel FSMO nebo vsechny AD, si clovek rozhodne sam.

202

Server / Re:SAAS mailserver(Postfix)?

« kdy: 02. 09. 2021, 09:21:24 »

Pořád taky musím manuálně přidávat nové uživatele a staré blokovat. Navíc když přibyde doména, tak vygenerovat nové DKIMy atd...

A to na jakkemkoli jinem reseni delat nebudete? Kdo to udela? AI?

203

Server / Re:Lokální DNS server pro služby v dockeru

« kdy: 31. 08. 2021, 13:19:19 »

Tuto síť je třeba buďto ohlašovat routeru pomocí ndppd nainstalovaného na hostiteli dockeru, nebo je třeba přidat na routeru route této podsítě na rozhraní dockeru. Výhodou je čisté řešení a funkčnost i na jiné věci než přiblblý web, TCP atd. Mapování portu kontejneru na společnou adresu dockeru pak není nutné. Použití je možné jak pro soukromé, tak veřejné adresy, IPv4 i IPv6.

(nejsem Op)
jasně, takhle to mám. Existuje s tímto designem nějaký triviální způsob, jak dynamicky mapovat hostnames na IPs kontejnerů?

( obecně mě to asi napadá, použít nějaký DNS s API a před startem kontejneru si tam nějakým prologem vzít A/AAA/SRV záznam na svoji IP. )

( A jsem si vědom toho, že v rámci docker network se resolvují názvy kontejnerů na jejich IPs. Ale ten kontejner musí běžet. A je to jen na lokálním boxu )

Nepruzna reseni:
wildcard & subdomeny, smerujici na urcite docker ip (kde bezi dns sluzba, standalone ci cluster) v autoritativnim dns, to same v rekurzivnich dns serverch

Pak je tu neco jako https://hub.docker.com/r/bitnami/external-dns/

Obecne - bez jakkehokoliv dns api (rdnss, proste cokoli) nic fungovat nebude. A staticka reseni jsou dost omezujici.

204

Vývoj / Re:SMS brána použitelná v Linuxu

« kdy: 26. 08. 2021, 11:17:12 »

Na starem serveru mam smstools3, na novem jsem presel na gammu-smsd.

205

Server / Re:Lokální DNS server pro služby v dockeru

« kdy: 20. 08. 2021, 10:23:47 »

Já používal kdysi https://github.com/phensley/docker-dns.

Tohle tema me taky docela zajima.

ohledne toho consulu - ostatni non-docker zarizeni je urcite out-of-box nenajdou pres dns. protoze ostatni non-docker zarizeni se budou dotazovat na dns, co maji v systemu. takze musi byt pak nekde propojovak na urovni dns sluzeb...

To nekdo nema realnou zkusenost s provozem kontejnerizace a jak se mapuji dns? Ne kazdy ma totiz k dispozici takova dns, umoznujici bezpecne zasahovani do obsahu zon.

Tak ale tohle resi preklad dns v docker ekosystemu, neresi to preklad dns pro pristup ke kontejnerum z klientu, kteri nejsou soucasti docker ekosystemu.

206

Server / Re:Lokální DNS server pro služby v dockeru

« kdy: 20. 08. 2021, 10:07:10 »

Tohle tema me taky docela zajima.

ohledne toho consulu - ostatni non-docker zarizeni je urcite out-of-box nenajdou pres dns. protoze ostatni non-docker zarizeni se budou dotazovat na dns, co maji v systemu. takze musi byt pak nekde propojovak na urovni dns sluzeb...

To nekdo nema realnou zkusenost s provozem kontejnerizace a jak se mapuji dns? Ne kazdy ma totiz k dispozici takova dns, umoznujici bezpecne zasahovani do obsahu zon.

207

Server / Re:SFTP server s administrací

« kdy: 19. 08. 2021, 10:09:09 »

Pouzit nejaky modernejsi protokol?

A to je co?

208

Server / SFTP server s administrací

« kdy: 18. 08. 2021, 12:31:45 »

Na windows je toho mraky i zdarma, ale na linux...

Koukam po mozne nahrade za proftpd+sql custom reseni. Spravovat ty konfiguracni soubory pres ansible je trosku pruda. Narazil jsem asi jen na jednoho zajimaveho kandidata - drakkan/sftpgo. Ma to snad vse, co by chtel (web administraci pro projektaky, dokonce i api na spravu, podpora pdbkf2 apod, umi sql backendy, klice/hesla/atd atd atd...). Jen je to one-man show projekt...

Co obecne potrebuju:
sftp server
virtualni uzivatele
administraci (hlavne uzivatelu)
on-premise, non-docker idealne

Pouzivate nekdo ten sftpgo, dali byste si to do produkce, mate nejaka dalsi reseni, ktera jsem neobjevil?

209

Sítě / Re:Připojení přes ADSL s více WAN IP adresami

« kdy: 12. 08. 2021, 16:40:28 »

V mém případě je ještě šance, že těm 2-3 samostatným domácnostem, které budou mít samostatnou WAN IP adresu bude stačit IP v6. Pokud to budou jen surfaři po netu a budou mít novější zařízení, tak by jim to mělo stačit, nebo ne?

Nebude. Prilis mnoho velkych sluzeb stale nema ipv6 verzi...Takze bez nat64/dns64 se nehnete.

210

Server / Re:Ubuntu server - ansible - vault password

« kdy: 11. 08. 2021, 10:40:28 »

Zeptal jsem se na ofiko emailové diskuzi a prozatím odpovědi jsou takové, že ani tvůrci ansible nechápou pojem bezpečnost. Klidně nechají válet přihlašovací údaje k účtu s právy suda na tisícovce řízených serverech úplně nezabezpečené, jen tak napsané v cfg a nebo host, případně v yml. Vůbec jim nedoteklo, že s jedním tak silným účtem může kdokoliv dělat na serverech cokoliv. Cokoliv je škodit. Cokoliv je krást či měnit data. Cokoliv je ukrást citlivá data. není to tak? Pak mi poraďte jak je hlásit na podřízené servery pomocí ssh klíčů a heslo k tomu klíči předávat ansible v takové podobě aby on tomu rozuměl ale člověk aby to za 150 let nedokázal rozluštit. Jak na to?

On bude asi problem v tom, ze jste dodnes nepochopil, ze vicefaktorove prihlasovani se mezi servery casto nepouziva, protoze dalsi faktor neni jak zadat.