Příspěvky

331

Software / Re:Generování UID pro adduser

« kdy: 22. 01. 2020, 09:25:18 »

Podle mě spoléhat na stejné uid/gid je chybné. Sám jste popsal situaci, kdy to může selhat. Do budoucna mohou takové situace přibývat a uspravujete se nad něčím, co je postavené na vetchém základě. Když už bych to potřeboval, využíval bych třeba něco z toho, co píšete. Je menší zlo být závislý na této spolehlivosti, než rizika z ručního řešení, jaké popisujete. Ano, musíte počítat s tím, že metoda ověření nemusí být chvíli dostupná - ale s tím dnes spousta systémů počítá.

Jenze staticky uzivatele na tom serveru jsou bez ohledu na to, zda neco funguje ci ne. Pokud ten uzivatel neexistuje, tak nenastartuji ani sluzby, ktere jsou vazany na toho uzivatele. Navic, umoznuje mi to konfigurovat uzivatele jen tam, kde maji mit pristup vcetne spravy ssh klicu - to ldap urcite nebude umet. To jsem tehdy zkousel s FreeIPA, ale byly tam urcite problemy, proc jsem nakonec od toho ustoupil.

332

Software / Re:Generování UID pro adduser

« kdy: 22. 01. 2020, 09:22:41 »

pokud potřebuješ synchronizovat uid napříč servery, tak si to připrav někde předem a předávej uid rovnou commandu. taky bych se vyvaroval adduser a použil rovnou useradd.

Pouzivam modul "user" v ansible, ten koukam, useradd pouziva. Ale treba --firstuid --lastuid parametry ten modul neumi.

333

Software / Generování UID pro adduser

« kdy: 21. 01. 2020, 17:00:23 »

Ahoj,
obcas si clovek neuvedomi, s jakou logikou nektere veci funguji...no budiz. Problem je jednoduchy, na debian10 automaticke generovani uid pri "adduser" se ridi hlavne adduser.conf parametry FIRST_GID(1000) a LAST_GID (59999).
Pridavam napric servery lokalni uzivatele a nastavuji jim uid:gid, problem je, ze to vazne nevzalo volne uid mezi 1000 a 2000, ale pridavalo to vzdy po poslednim 2xxx. Super, ceka me pregenerovani nekterych uzivatelu na hromade serveru.

Zakladni otazka je, jak bezpecne je dnes pouzivat uid:gid nad LAST_GID - napr., kdyz si zvolim 100k+, aby se mi normalni veci generovali stale v tom FIRST_GID a LAST_GID a tam, kde to potrebuju mit shodne mezi servery, pouziju 100k+? Pouziva to nekdo mimo LDAP/SSSD atd?
Menit adduser.conf LAST_GID z defaultu se mi moc nechce. A nasadit LDAP atd. mi v tomhle pripade pripada zvyseni rizika nefunkcnosti...

Diky.

334

Server / Re:Přenos velkého množství dat po síti

« kdy: 21. 01. 2020, 12:20:41 »

1] po jake siti to pujde. Interni, verejna, jake jsou rychlosti infrastruktury na trase.
2] jak jsou ulozena data. Lze realizovat prenos blokove nebo souborove?
3] je to jednorazove, nebo opakovatelne?
4] jaky je diskovy vykon zdroje a cile?
5] ohledne bezpecnosti, lze pripadne postavit oddelenou vlan, kde by bezpecnost nebylo nutne resit a propoji se jen konkretni servery? (souvisi s 1])

V pripade velkych objemu je vhodne i zvazit cestu zkopirovani na disk a prenest disk, misto tahani to po siti.

335

Server / Re:Group Email / potreby SVJ

« kdy: 15. 01. 2020, 17:11:46 »

Pokud mate smtp u webhostingu, tak predpokladam, ze tam mate i spravu mailovych schranek. Tam je mozne pak udelat i alias/redirect. Problem je s tim pozadavkem, ze jen vybor smi posilat na cleny...to asi jen tak nejaky smtp hosting neresi...bude chtit podivat se na moznosti u toho webhostingu ohledne takove restrikce.

336

Sítě / Re:Zabezpečení manažovatelné infrastruktury

« kdy: 26. 12. 2019, 14:43:57 »

Pokud nove, tak ze Zyxel GS 19xx rady se da vybirat podle potreby.

337

Sítě / Re:Zabezpečení manažovatelné infrastruktury

« kdy: 26. 12. 2019, 10:40:06 »

co je nizsi cena? musi to byt nove?
hp/cisco/zyxel atd., at uz ebay ci nove, je kde vybirat.

338

Sítě / Re:IPv6 a dynamické DNS

« kdy: 23. 12. 2019, 18:58:54 »

ulozto.cz a neresil bych nejake kraviny s pripojovanim na nejaky porty atd.

339

Hardware / Re:termostatické hlavice z-wave / zigbee - zkušenosti?

« kdy: 20. 12. 2019, 15:22:48 »

termostatická hlavice je od toho, aby udržovala konstantní teplotu

jo, jenže máme zateplený dům, a sousedi topí dostatečně na to, abych vůbec netopil a měl pořád okolo 21 stupňů.

Takze sousedi plati teplo za Vas?

340

Server / NFS4: zabránění zápisu do složky podle IP

« kdy: 12. 12. 2019, 16:40:02 »

Ahoj,

dulezity bod - nfs3(popr. cifs) reseni vim, ale primarne zkousim nfs4. Migruji zalohovani "na lokal" -> "na nfs". Problem je, ze zalohovani probiha pod shodnym uzivatelem z ruznych klientu, navic rad bych se vyhnul nasazovani gssapi kvuli tomu.

Disk namountovany jako:
/srv/nfs

/etc/exports:

Kód: [Vybrat]

/srv/nfs/dira ip4a(rw,fsid=1,sync,subtree_check,root_squash,crossmnt,sec=sys)
/srv/nfs/dirb ip4b(rw,fsid=1,sync,subtree_check,root_squash,crossmnt,sec=sys)

Co potrebuji, aby ip4a nemohla zapsat do dirb a obracene...Zkousim vsemozne kombinace vcetne parametru nohide, ro atd, ale nic. Vi nekdo, jak na to?

Diky.

341

Server / Re:ZFS na controlleru s HW RAID a s jedním diskem v logickém poli

« kdy: 06. 12. 2019, 10:29:36 »

Pokud mate backplane s vice jak 8 sloty, tak na dva ruzne typy radicu zapomente.

Proč? Viděl jsem backplane s počtem nedělitelným 4, měla 2 x SFF8něco se 4 linkami a pak několik samostatných linek. Proč by to nešlo zavést do více řadičů? Nevím, jen mě to zajímá. Díky.

Zapomel jsem uvest, ze se to tyka 12/14 LFF a hadam i 25sff. Na nasi 12LFF je backplane s expanderem, takze oba SFF porty vidi vsechny disky a s tim si system neporadil...

342

Server / Re:ZFS na controlleru s HW RAID a s jedním diskem v logickém poli

« kdy: 05. 12. 2019, 09:42:25 »

Ne, nelze mixovat HBA a RAID mod. To umi az nektere moderni radice.

A ja bych dodal...
P4xx ma v HBA modu horsi vykon. Pokud mate backplane s vice jak 8 sloty, tak na dva ruzne typy radicu zapomente.

343

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 10:23:25 »

Hm, no ti ostatni klienti by se meli pripojovat verejnou adresou...V tom ma isp pravdu. Spis je podivne, ze na tu danou verejnou ip se dostavaji klienti z lokalni ip, meli by jit prece pres nejakou verejnou ip jako kdyz jdou smerem do site (NAT). Ta sit je podivna...

344

Server / Ansible - netdata a php-fpm status

« kdy: 21. 11. 2019, 16:17:49 »

Ahoj,

hledam inspiraci. Mam na webserverch php-fpm per uzivatel, takze netdata je automaticky nezdetekuji. Takze je musim do konfigu generovat. Ale vzhledem k tomu, ze nemuzu pouzivat group_vars, tak nelze tak snadno zjistit promenne pro vytvoreni url...Rekneme ze

Kód: [Vybrat]

pm.status_path = php-status-$pool

Ten $pool odpovida "project_username", pod kterym to php-fpm bezi. A ted jak ho ziskat?

1] prohledat /etc/php/X.Y/fpm/pool.d/*, vyextrahovat pm.status_path?
2] zjistit, do jakych skupin v inventory spada dany server a pak nasledne sparovat s "vars/project_username.yml"? Ta vazba mi ale pripada nejista (stromova struktura skupin)
3] ??

Je to obdobny pripad, jako kdyz bych chtel menit certifikaty napr. pro nginx - ta role "certificates" nevi sama o sobe (nema seznam), kde je jaky certifikat, certifikaty se sparuji pri spusteni role "nginx" v ramci "projekt.yml".

Vzhledem k tomu, ze ty parametry nejsou v databazi, tak se mi moc ty seznamy delat nechce, takze propaguju nastaveni projektu skrz projektovy varfile, nez to definovat na urovni host_vars.

Diky

345

Software / Re:Sledování statistik jednotlivých procesů

« kdy: 20. 11. 2019, 09:39:01 »

atop