Настроен ли IPv6 у вас дома, у домашнего провайдера?
anonymous poll

Нет, IPv6 не использую. – 45
👍👍👍👍👍👍👍 96%

Да, использую IPv6 дома. – 2
▫️ 4%

👥 47 people voted so far.

За время работы админом, сформировалась собственная небольшая инфраструктура из нескольких серверов. Среди этих серверов есть такие, на которых задачи по обновлению можно автоматизировать. Но ставить на автомате абсолютно все обновления не безопасно. С помощью утилиты yum-cron администратор может выбрать, обновления какого типа будут установлены автоматически. Например, на своих площадках, там где это допустимо, я настроил автоустановку обновлений безопасности, а все остальные обновления ставлю в ручную по мере возможности. Небольшая заметка по быстрой настройке yum-cron на сайте.

#будничное #yum #centos

Если во время попытки получить доступ к ISPmanager 5 мы этого не можем сделать из-за вот такой вот ошибки:

"Доступ к панели заблокирован администратором. Возможно панель в данный момент обновляется"

И если при этом, мы точно ничего не обновляем, то стоит проверить лог панели, скорее всего там будет вот такая строка:

May 14 22:30:02 [25962:1] core ERROR ispmgr locked. If you think that is error remove file tmp/ispmgr.lock

Так что просто удаляем файл /usr/local/mgr5/tmp/ispmgr.lock и пробуем получить доступ к панели вновь.

#будничное #ispmanager

Человеческая лень порой творит чудеса. Смотрите, вжух...

for book in `wget -qO- http://www.oreilly.com/webops/free/ | cat | grep -o "http://.*csp" | sed -e 's|/free/|/free/files/|g; s|.csp|.pdf|g;'`; do wget $book; done;

... и у меня для вас есть 31 достойная внимания бесплатная мини-книга (скорее это мини-доклады) от O'Reilly для DevOps\WebOps специалистов. Если ещё не видели их раньше, выберите время для ознакомления.

P. S. Здесь для sed используются вертикальные разделители, такое может сработать не везде, так что если вы решите поробовать эту команду, а sed будет отдавать ошибку, используйте стандартный разделитель и экранируйте слеш в нужном месте.

#книга #oreilly #devops

Неофициальный репозиторий последних доступных публично версий патчей от проекта Grsecurity. Возможно среди подписчиков есть люди, которые с этим проектом работали ранее, и которых новость об отказе от публичного предоставления исходников удручила так же как и меня.

https://github.com/minipli/linux-unofficial_grsec

#grsecurity

К обсуждаемым по всему рунету проблемам с потенциальной блокировкой Telegram и законе о блокиовке на территории Украины ряда российских ресурсов, людям которые занимаются хостингом, добавилась ещё одна головная боль. Хостеры и владельцы серверов пытаются добиться от mail.ru ответов на вопросы о блокировке входящей почты с некоторых IP адресов. Если кратко, то с недавнего времени, некоторые хостеры и просто владельцы серверов при попытке отправить почту на серверы mail.ru могут получить примерно такой отлуп:

550 Try again later (1.2.3.4). Please contact [email protected].

К сожалению, при обращении в поддержку, получить оперативный ответ удаётся далеко не всегда. Кому-то просто говорят что разблокировка не возможна - так попал один клиент на работе, и надо сказать что он не спамер, но некоторое время назад несколько сайтов у него были взломаны и с них была выполнена рассылка. С кем-то диалог слабо, но выстраивается. Те кому удаётся, смогли прояснить, что основные претензии mail.ru связаны с большим количеством спама и/или большим количеством писем, нарушающих политику DMARC доменов mail.ru с указанного IP.

Похоже что mail.ru надоело текущее положение дел, и кто-то решил немного закрутить гайки. Печально что при этом, под удар попали как простые клиенты, так и хостеры, к которым теперь клиенты идут с жалобами на недоставленную почту.

#нужнобольшеблокировок

В связи с последней проблемой блокировки писем от некоторых IP, возникли вопросы как быстро эту блокировку обойти. Самый простой вариант здесь - попробовать отправить почту с дополнительного IP на сервере. На примере Exim всё будет выглядеть так... Открываем конфиг exim.conf и находим там строки:

remote_smtp:
driver = smtp

Дописываем к ним параметр interface, и указываем для него наш дополнительный IP, который уже поднят на сервере:

remote_smtp:
driver = smtp
interface = 1.2.3.4

Сохраняем конфиг exim'а, перезапускаем его и отправляем тестовое письмо. В заголовках письма должен остаться прописанный нами IP адрес.

#будничное #exim

Ещё одна тематическая подборка бесплатных книг от O'Reilly. В подборке затрагиваются вопросы безопасности систем. Полистайте при возможности. Может быть найдёте для себя что-то интересное.

#книга #oreilly #security

Иногда в ходе работ появляется задача запустить какую-то команду на нескольких серверах одновременно, либо отправить на неколько серверов какой-то файл. Например на VPN серверы раскидать обновлённый конфиг и перезапустить OpenVPN после этого. Не всегда есть возможность (и необходимость) ставить для этого полноценную систему управления конфигурациями. В таких случаях на выручку приходит простая утилита pssh.

1. Создаём для утилиты список хостов, с которыми будем работать:

$ cat ./hosts.pssh
[email protected]:2222
[email protected]:2222

2. И выполняем команду (на них предварительно должна быть настроена авторизация по ключам):

$ pssh -i -h ./hosts.pssh uptime

3. Для копирования файлов на несколько серверов выполняем:

$ pscp.pssh -h ./hosts.pssh ./test12345.txt /tmp/

Если авторизация по ключам на серверах не настроена, можно воспользоваться sshpass и автоматизровать при этом ввод пароля. Подробнее об этом можно прочитать в заметке на сайте.

#будничное #ssh

Lynis - очень хорошая утилита для аудита безопасности. Анализатор выполняет проверку всех компонентов системы, и формирует для администратора отчёт с предупреждениями и рекомендациями по увеличению уровня безопасности на сервере. Проверяются настройки загрузки, настройки ядра, фаервола, параметры сети, активные порты, установленное ПО, доступные и запущенные сервисы в системе и ещё много чего, в зависимости от того какой софт на сервере установлен и работает.

Для установки утилиты можно использовать подготовленные разработчиками пакеты и репозитории. На примере CentOS установка и запуск проверки выглядят так:

# yum install lynis
# lynis audit system

В ходе проверки Lynis вычисляет некий индекс безопасности системы. На эту циферку можно ориентироваться при выполнении рекомендаций сканера и последующих проверках.

Hardening index : 75 [############### ]
Tests performed : 226
Plugins enabled : 0

В соответствующей заметке на сайте можно увидеть пример работы утилиты, и дополнительные подробности о плагинах и настройке периодических проверок сервера с помощью Lynis.

#будничное #security #lynis

А вот вам удобный инструмент для быстрой записи действий в терминале - Asciinema. Очень выручает, когда клиенту или коллеге нужно показать какую-то последовательность действий/команд и их результаты. Пакеты с утилитой доступны для установки во всех популярных дистрибутивах.

Для того что бы начать запись действий в терминале необходимо ввести команду:

# asciinema rec

Далее можно продолжить работу. Для окончания записи нажать нужно нажать Ctrl+D или ввести exit, затем программа предложит загрузить запись на удалённый сервер:

# exit
exit
~ Asciicast recording finished.
~ Press <Enter> to upload, <Ctrl-C> to cancel.

https://asciinema.org/a/2240qchisau5k3f4zhrnix90j

Указанную ссылку можно передать собеседнику, перейдя по ней он увидит всё то, что вы выполняли и видели в терминале во время записи. Кроме этого, сделанные записи можно встраивать на сайты, добавив предварительно на них скрипт плеера.

В заметке на сайте есть дополнительная информация о настройке авторизации, управлении своими записями и пример работы Asciinema.

#будничное

Отличная актуальная книга о Zabbix на русском языке. В архиве доступна как сама книга в формате djvu, так и исходники скриптов и примеров использования.

#book #zabbix

Помните писал о том, что в обновлениях Windows появится возможность установить Linux дистрибутивы прямо из Windows Store? Оказывается что ребята таки ввели здесь некоторые ограничения. В рамках этих ограничений в Windows 10 S установка Linux дистрибутивов, некоторых утилит для командной строки и консоли будет запрещена.

Запрет объясняется тем, что эти утилиты и приложения не подходят под концепцию Windows 10 S, которую разработчики в первую очередь представляют как ОС для не подкованных технически пользователей. По мнению Microsoft, ограничение установки "сложных" утилит, есть не что иное как забота о самом пользователе, и о стабильной работе его системы.

Разработчикам, сисадминам и технарям, желающим использовать запрещённые для установки утилиты и приложения, Microsoft рекомендует установить полноценную Windows 10, в которой весь необходимый инструментарий будет доступен для использования.

За подробностями можно сходить в соответствующий блог.

Друзья, в Asterisk 13.15.1 и 14.4.1 разработчиками были устранены опасные уявимости, эксплуатация которых может привести к краху работы ПО. Не забудьте проверить обновления и установить их по мере возможности.

Подрбности http://www.mail-archive.com/[email protected]/msg00667.html

#security #asterisk

А мы с вами давайте сегодня пройдёмся по утилитам для оптимизации и контроля производительности MySQL\MariaDB сервера. Некоторые из них известны широко, другие, к моему удивлению, администраторами используются редко...

1. При установке сервера БД, в директории /usr/share/mysql/ можно найти готовые конфигурационные файлы для разных конфигов сервера. Например владельцы VDS с 512 Mb памяти могут попробовать использовать отсюда конфиг my-small.cnf, либо, если его лимитов будет не достаточно, конфиг my-medium.cnf.

2. На сайте tools.percona.com имеется доступ к генератору конфигов сервера БД. Если предустановленного конфига по какой-то причине оказалось не достаточно, можно авторизоваться на сайте и попробовать сгенерировать конфигурацию здесь.

3. Скрипты для оптимизации mysqltuner.pl и tuning-primer.sh. Первый - популяный сегодня, второй - к сожалению теряющий актуальность для последних версий сервера БД. Принцип работы обоих скриптов аналогичен - скачиваем, запускаем, получаем анализ текущей ситуации и рекомендации по увеличению конкретных параметров в конфиге. Для получения оптимального результата, имеет смысл запускать анализ после того как сервер БД проработал без перезапуска более 24-36 часов.

# wget https://raw.githubusercontent.com/major/MySQLTuner-perl/master/mysqltuner.pl
# chmod u+x mysqltuner.pl
# ./mysqltuner.pl

# wget https://launchpadlibrarian.net/78745738/tuning-primer.sh
# wget https://launchpadlibrarian.net/251274960/5.7.patch
# patch -p0 -i ./5.7.patch
# chmod u+x ./tuning-primer.sh
# ./tuning-primer.sh


4. Утилиты mytop, mtop, innotop. С помощью этих утилит, мы можем подключится к серверу БД нужным пользователем, при необходимости можем указать конкретную базу данных и посмотреть статистику - какой запрос был сделан, к какой базе, сколько этот запрос выполнялся, от какого хоста, в каком состоянии запрос находится сейчас и т. п. Имеется возможность принудительно завершить любой процесс. Нужные опции утилитам можно передать как через параметры запуска, так и через конфиги. Все три утилиты имеют поддержку ввода команд, которые позволяют администратору использовать весь доступный функционал. Список команд можно получить введя уже в запущеном приложении символ знака вопроса - ?

# mytop -u sysadmin_wtuser -p superpassword -d sysadmin_wtdbase
# mtop --dbuser=root --password=superpassword
# innotop -u root -p superpassword

Расширенная версия заметки (сюда и правда не влезло всё что хотелось показать) доступна на сайте. По возможности рекомендую ознакомиться именно с ней.

#будничное #mariadb #mysql #утилиты

Друзья, кажется мне предстоит пропасть на следующие 36 часов, а пока меня не будет, хотел бы обратиться к вам за помощью вот в каком вопросе - расскажите мне, как вам удобнее получать материал на канале? Удобно ли использование отдельного сайта и чтение статьи в отдельном браузере? Или же было бы лучше публиковать статьи с применением instant view, что бы их можно было читать прямо в приложении? А может быть и вовсе кому-то удобно получать весь материал целиком прямо в ленте канала? Будет здорово если вы проявите активность и поучавствуете в опросе. Это займёт у вас всего минуту времени, а мне поможет определить дальнеший путь развития канала. Заранее благодарен вам.

Как вам удобнее всего получать информацию по теме канала?
anonymous poll

Коротко на канале, подробности в Instant View. – 32
👍👍👍👍👍👍👍 63%

Коротко на канале, подробности на сайте. – 11
👍👍 22%

Статьи целиком прямо на канале. – 8
👍👍 16%

👥 51 people voted so far.

Появилось немного времени и я таки нашёл способ публикации материала в Instant View без использования Telegraph и Medium ресурсов, так что бы контент оставался на собственном сайте, и в то же время вы, друзья мои, смогли бы получить его в удобном для пользователя Telegram виде. Короткая заметка об этом, для того что бы поделиться ею с другими заинтересованными людьми, останется на канале. А вместе с этим сообщением я протестирую новый способ публиковать материал.