Обновил вчера свою очень старую статью про настройку CAPsMAN в Mikrotik. Это уже третья редакция статьи на эту тему. Первая была написана в 2014, вторая в 2016 и вот сейчас третья. Как быстро время летит. Сайту уже более 6-ти лет. Его развитие началось практически сразу же после моего ухода с офисной пятидневки. По сути, переломный момент в жизни, так как она кардинально изменилась в лучшую сторону, причем не только в профессиональной плоскости.

На примере этой статьи наглядно видна особенность ИТ тематики и сайтов по этой теме. Все очень быстро и кардинально устаревает, а писать статьи большой труд. Эту я писал с нуля где-то неделю по несколько часов в день, когда появлялась возможность. Нужен тестовый стенд, нужно подтянуть знания, чтобы осветить как можно глубже и емко тему. Надо скрины подобрать, обработать, не ошибиться. А через год - два все устареет и надо будет повторять снова.

Когда статей много, ты попадаешь в бесконечный цикл обновления и редактирования. Движение вперед останавливается. Пока думаю, как выйти из этого цикла, либо сфокусироваться на чем-то одном. Гораздо проще вести telegram канал. Заметка для него пишется за 15-20 минут, иногда и за 5. Достаточно одной в день. При одинаковом вложении времени, выхлоп в денежном выражении с канала в разы больше, чем с сайта. Рекламодателей много. Это инфа для тех, кто думает о заработке на сайте или канале. Время информационных сайтов ушло в плане монетизации.

Но в то же время канал это пустота. Тут полезной информации минимум. Я подписался на много ИТ каналов из любопытства (все замьючены и в арихве) и реально ни один мне не нравится. Там какие-то репосты новостей, сборки книг, курсов, программ и т.д. Очень мало чего-то интересного и полезного. Кто-то с реддита или других англоязычных ресурсов постит картинки и шутки. Скучно. Стараюсь сам не доходить до этого, а привносить частичку себя, своих мыслей и опыта. Надеюсь, у меня получается писать интересно.

При этом в других тематиках у меня есть в подписках каналы, которые я регулярно читаю и считаю их интересными. Если вам нравятся какие-то ИТ каналы, которые вы регулярно читаете, поделитесь в личку. Может мне просто не попадалось ничего интересного.

https://serveradmin.ru/nastroyka-capsman-v-mikrotik/

#статья #mikrotik

​​Как понять, что ты пишешь хорошие статьи? Мне на глаза попались 2 примера:

1. Ссылку на мою статью дает техподдержка Битрикс, как пример настройки nginx proxy_pass.

2. Zabbix в своей статье про настройку уведомлений в telegram дает в конце ссылку на мою статью. К слову сказать, по моей статье уведомления действительно удобнее получаются, нежели то, что предлагает сам Zabbix в своей статье. Специально проверил. Планирую обновить ее, так как появились более тесные интеграции tg + zabbix.

‍Еще раз про бэкапы. Заглянул на днях человек в чат и рассказал историю о том, что скачок электричества грохнул УПС и сам сервер. В итоге он не стартует. Интерфейс у дисков SAS, ему воткнуть их некуда. Бэкап на сервере, все по классике 🙂 Но призадумался я вот над чем. А ведь такой скачок может и бэкап сервер грохнуть, если он с основными серверами в одной серверной и от одной линии питается. Так что удаленные бэкапы обязательно должны быть. У меня у одного заказчика как-то пожар был и вообще все сгорело. Переехали в другой офис и восстановили деятельность. До сих пор работают. Данные не потеряли.

Смотрите, какая наглядная новость про уязвимости. Кто-то много лет ходил на сервера, как к себе домой, пока уязвимости не вышли в открытый доступ и их не закрыли.

Почему я обратил на это внимание? Я часто слышу мнение на тему того, что если ставить обновления, то можно особо не бояться уязвимостей. Об этом заявляют в контексте того, что надо закрывать из открытого доступа по возможности все сервисы.

Так вот. Существенно обезопасить себя можно закрывая доступ на уровне фаервола ко всему, что не нуждается в этом доступе. Я последнее время стал и ssh закрывать белыми списками ip, хотя раньше делал это очень редко, так как не припоминаю серьезных уязвимостей в этом протоколе, хотя допускаю, что они есть, просто знает о них ограниченный круг лиц.

Рекомендую поступать так же. Все, что только можно, закрывайте фаерволом и не ленитесь его настраивать. Чем меньше информации о вас можно собрать, тем надежнее будет ваша защита. Это универсальный совет. Возможно со временем дойду до того, что и пинги закрою :) Пока оставляю.
https://www.opennet.ru/opennews/art.shtml?num=53535

#заметка #вирус

Написал небольшую заметку на тему совместной работы над сайтом от bitrix. Подход древнючий с прямой правкой файлов. Но по факту до сих пор много кто работает так над сайтами, а с битриксом особенно, так как там есть объективные сложности при работе через git, с которыми не все умеют справляться.
https://serveradmin.ru/dobavlenie-polzovatelya-sftp-dlya-dostupa-k-bitriks-v-bitrixenv/

#статья #bitrix

‍Всех приветствую и поздравляю с пятницей. Сегодня время очередной загадки на тему ИТ и сисадминства. Как обычно, я переведу 500р. на Яндекс.Кошелек (и только туда) тому, кто напишет свой вариант ответа на загадку в комментариях VK к записи и он наберет больше всего лайков до воскресенья, 21:00.
============================
Бежит пользователь к сисадмину и плачет. Почему он плачет?
============================
https://vk.com/serv_adm

Подвожу итог пятничной активности. На текущий момент больше всего лайков получил такой вариант:

⚠️ "Инвентарный номер на ручке окна не подходит для активации Windows."

Вот мой ответ, задуманный изначально. В принципе, он не смешной, но поучительный. Случай из моей практики:

✅ "Слетал в дальнюю командировку, сделал подробные фотографии объекта для начала проектирования и случайно их удалил (история из жизни, юзеру фотки восстановил)."

Вот еще варианты, на которые я обратил внимание:

📋 "Мышь повесилась."

📋 "Дочь на сисадмина учиться пошла."

📋 "Наша Таня громко плачет,
Там упала сетка значит.
Тише Танечка, не ной,
Мы найдём отчетик твой."

📋 "Плачет от счастья, потому что сисадмин из отпуска вернулся."

#юмор

Полностью переработал свою очень популярную статью про настройку уведомлений из Zabbix в Telegram. Рассмотрел нововведения 5-й версии, когда уведомления стали работать из коробки с помощью webhook. Визуализация этого способа очень бедная, так что при наличии других вариантов, лучше остановиться на них.

Помимо дефолтной настройки рассмотрел два популярных скрипта из github с графиками, ссылками, emoji и т.д. Особенно понравился последний, который мне недавно подсказали в комментариях к старой статье. Там и визуализация хорошая, настройки, в сообщении сразу ссылки на тригггер, график и т.д.

В общем, рекомендую ознакомиться, если вы используете уведомления из заббикса в телеграм. Я последнее время по дефолту настраиваю наравне с оповещениями на email.
https://serveradmin.ru/nastroyka-opoveshheniy-zabbix-v-telegram/

#статья #zabbix

Написал небольшое сравнение Zabbix и Prometheus, как вижу это я. Сразу говорю, что сравнение полностью субъективное, так как сам в основном использую Zabbix, а Пром изучал на курсах, плюс делал тестовые установки у себя. У меня под него просто нет задач.

Так что для объективности нужны комментарии и замечания от тех, кто как минимум, хорошо знает Prometheus, а в идеале обоих.

https://serveradmin.ru/sravnenie-zabbix-vs-prometheus/

Какой мониторинг используете у себя?

#статья #zabbix #prometheus

Описал свой подход к созданию и актуализации подменного веб сервера для небольшого типового веб проекта. На данный сервер регулярно заливается и проверяется копия сайта для того, чтобы в случае каких-то проблем с основным, на него можно было переключиться.

Подобный запасной веб сервер очень пригодился бы многим во времена недавних падений на несколько дней хостеров Ihor и Masterhost.
https://serveradmin.ru/nastrojka-rezervnogo-web-servera-s-kopiej-sajta/

#статья #webserver #backup

Смотрел вебинар Zabbix на тему Zabbix + Prometheus. Выкладываю для вас презентацию с него. Там есть полезные примеры, как самому настраивать шаблоны и собирать метрики с промовских экспортеров, в том числе и с автообнаружением. Благодаря http агентам Zabbix это не представляет большой сложности.

Вообще, странно, что Zabbix не делает записи вебинаров и не выкладывает на yuotube вместе с презентациями. Мне кажется, это только повысит охват аудитории. Записываться на вебинар по конкретному времени, да еще и утром, не очень удобно.

#zabbix #pdf

​​Хочу сделать предостережение, основанное на личном опыте. Не так давно делал рядовое обновление сервера, которое требовало перезагрузку. Сервер далеко, в необслуживаемой серверной. То есть там никого нет вечером, кто смог бы хоть что-то сделать. Как обычно, время выбрал позднее, так как на сервере полезная нагрузка. Его активно используют люди в течении рабочего дня. И кто бы мог подумать, что сервер не выйдет из ребута.

Ноу проблем. Сервер Supermicro, там ipmi, сейчас посмотрим консоль и поймем, в чем там дело. И тут начинаются танцы. Сервер старый, версия BMC древняя. Для подключения к консоли нужна java какой-то старой версии. Апплет не запускается, так как блочится настройками безопасности из-за отсутствия сертификата и актуальной версии tls. В общем, мрак. Думаю тем, кто используют supermicro, хорошо знакома эта тема.

Проблемы в итоге решил, подключился и все сделал. А мораль тут такова - перед перезагрузкой сервера, проверьте, есть ли у вас доступ к консоли. У меня столько всяких историй было (раз, два, три), так что для меня ребут это всегда потенциальная возможность потерять доступ к серверу. Так что я обязательно проверяю бэкапы перед этим, а теперь и доступ к консоли сервера. И всегда держу в голове схему, что я буду делать, если сервер не поднимется. А после установки обновления это не такая уж и большая редкость. Вот недавний пример - https://www.opennet.ru/opennews/art.shtml?num=53460

Моя статья про обновление Zabbix на 5-ю версию собрала огромное количество комментариев. По ним стало понятно, что обновление проблемное. Связано это с тем, что zabbix перешел на минимальную версию php 7.2. А, к примеру, в Centos 7 ее вообще нет в базовых репозиториях. Зачастую php свежих версий ставятся из разных реп и разными способами. Кто-то вообще по несколько версий ставит на сервер.

Таким образом, сделать безпроблемное обновление практически невозможно. Процедура будет зависеть от установленной системы, от версии php, от подключенных репозиториев и т.д. А добавьте сюда еще возможность использования nginx или apache. Таким образом, в каждом конкретном случае надо разбираться отдельно. Гладко и по инструкции обновление проходит на Centos 8. Это понятно, так как там php 7.2 дефолтная версия. Но больше всего установок Zabbix Server 4.X на Centos 7, так как 8-й версии еще не существовало на тот момент, когда большинство разворачивали мониторинг 4-й версии.

К чему я все это. Я обновил статью и могу точно сказать, что по ней можно без проблем обновить Zabbix до 5-й версии на Centos 7 и 8. Проверял несколько раз, так как сам пользуюсь этой статьей. В Ubuntu и Debian лично не проверял, взял общий подход. Там возможны нюансы.

В общем случае, для того, чтобы успешно провести обновление в нетиповых ситуациях, рекомендую действовать следующим образом:

1. Сделать бэкап базы и фронта.
2. Обновить самим вручную php до 7.2 или выше. Я лично на более свежих версиях не проверял работу.
3. Настроить работу web сервера apache или nginx с новой версией php.
4. Обновить сам zabbix.

https://serveradmin.ru/obnovlenie-zabbix-4-4-do-5-0/

Столкнулись с проблемами при обновлении Zabbix до 5-й версии?

#статья #zabbix

В тему Zabbix. Пришла сегодня рассылка от него на тему завтрашнего митапа (10.00 - 13.00) на русском языке. Вот список выступлений:

10:00. Поддержка черных и белых списков для метрик на стороне агента
Тихон Усков, Инженер интеграции, Zabbix

10:20 Шифрование соединений базы данных, сервера и фронтэнда
Александр Петров-Гаврилов, Инженер технической поддержки, Zabbix

10:40 Новые шаблоны - IPMI, Mikrotik, MSSQL
Максим Чудинов, Инженер интеграции, Zabbix

11:00 Вопросы и ответы

Первые темы не особо интересуют, а вот на мониторинг mssql любопытно посмотреть. У меня часто про него спрашивают, но я сам никогда не настраивал. Не было нужды.

https://www.eventbrite.com/e/zabbix-meetup-online-tickets-116075642371

#zabbix #видео

Обновил на днях старую статью про настройку ftp сервера. Она была написана года 4 назад и уже тогда я не пользовался ftp протоколом и не рекомендовал его никому. Есть же sftp, никакой особой настройки не надо, если есть ssh. Но тем не менее, иногда встречаю просьбы настроить ftp, либо от вебмастеров просьбу предоставить доступ по ftp. В общем, статью актуализировал и добавил туда настройку ftps, то есть ftp с tls. Так что можно пользоваться, если кому-то реально нужен ftp.
https://serveradmin.ru/ustanovka-i-nastroyka-ftp-servera-na-centos-7/
Используете ftp?

#статья #centos #ftp

​​Типичная ситуация, когда не настроил нормально mysql сервер и он пытается забрать себе памяти больше, чем есть на сервере. Просто приходит oom killer и грохает сервер баз данных. Чтобы этого не было, настраиваем хотя бы автоматически через mysqltuner основные параметры, которые отвечают за потребление памяти - https://serveradmin.ru/bitrixenv-optimizacziya-nastroek-servera-pod-sajt-na-bitrix/#_Mysql Ну а потом и мониторинг - https://serveradmin.ru/monitoring-mysql-v-zabbix/

Меня частенько спрашивают, какое решение для организации vpn я предпочитаю. Отвечаю - Openvpn. Закономерный вопрос далее, а чем он лучше всех остальных. Отвечаю по пунктам то, что ценю конкретно я:

1. Самое главное - простой и удобный механизм передачи маршрутов клиенту. Все настраивается и управляется централизованно с сервера. Считаю это основным преимуществом openvpn.
2. Легко конфигурируется на один из протоколов tcp или udp, а так же на любой порт. Выбрав tcp 443, легко проходить любые блокировки. Например, сейчас я сижу в автосервисе в зоне ожидания, использую публичный wifi, который пускает только по 80-му и 443-му порту. Все остальное закрыто. Чтобы подключаться по ssh, я просто использую свой vpn сервер, который работает по 443 порту.
3. Есть клиенты под все популярные платформы и системы. Конфигурация передается в одном файле. Я даже sip телефоны настраивал на работу через openvpn, так как в них был встроенный openvpn client.
4. Ну и в целом это популярный и проверенный временем продукт. Легко настраивается, легко решаются проблемы. Хорошее логирование на стороне клиента. Легко дебажить проблемы.

Существенный минус openvpn - низкая производительность по сравнению с аналогами. Но минус этот становится заметен только на скоростях 100+ мегабит. Мне не так часто приходится сталкиваться с такими каналами в интернет, так что для меня не существенно. Чаще всего все же скорость в районе 100 мегабит или ниже.

В статье пример объединения офисов через openvpn - https://serveradmin.ru/nastroyka-openvpn-na-centos-7/ Статья устарела в техническом плане, ее в ближайшее время ждет актуализация. Но вся теория и подход показаны нормально.

Какую реализацию vpn используете?

#заметка #openvpn

Попал сегодня в неожиданную ситуацию, о которой хочу вас предупредить. Речь пойдет о systemd-mount в linux. Вообще, systemd должен был упростить жизнь системных администраторов. По факту, все не так однозначно. Как известно, у systemd есть свой планировщик (timer), свой ntp клиент (timesyncd). Как я сегодня узнал, еще и свое средство для монтирования разделов.

Узнал я вот о нем как. Есть облачный хостинг, который позволяет подключать к серверам высокопроизводительные сетевые диски. Я ими активно пользуюсь. Мне нужно было один диск заменить на другой и прицепить его к той же точке монтирования, что и старый.

Никаких проблем. Создаю второй диск, подключаю к серверу. Останавливаю приложение и копирую (!важно, лучше всегда копировать, а потом удалять, не переносить) данные на новый диск. Потом отключаю старый и монтирую новый в ту же точку монтирования. Запускаю приложение и убеждаюсь, что все нормально работает. А дальше самое неожиданное.

Иду в панель управления хостера и отключаю старый диск от сервера. Напоминаю, что в системе я его предварительно уже отмонтировал. Диск как-то подозрительно долго не отключался. Иду в системный лог сервера посмотреть, отключился ли диск. И вижу там очень неожиданную информацию.

Идут постоянные попытки от systemd отмонтировать раздел, к которому подмонтирован уже НОВЫЙ диск. То есть у него записано где-то (я нашел в /run/systemd/generator), что к этой точке монтирования подключен старый диск. Софт хостера по управлению ресурсами просит systemd отключить старый диск от его точки монтирования, хотя по факту она уже занята другим диском.

В общем, я в итоге не пострадал, так как приложение активно писало на диск и не дало его отмонтировать. В итоге systemd отстал и отключил диск принудительно. Будьте внимательны с systemd. Он уже не первый раз преподносит мне сюрприз.

#systemd