Смотрите, какая наглядная новость про уязвимости. Кто-то много лет ходил на сервера, как к себе домой, пока уязвимости не вышли в открытый доступ и их не закрыли.

Почему я обратил на это внимание? Я часто слышу мнение на тему того, что если ставить обновления, то можно особо не бояться уязвимостей. Об этом заявляют в контексте того, что надо закрывать из открытого доступа по возможности все сервисы.

Так вот. Существенно обезопасить себя можно закрывая доступ на уровне фаервола ко всему, что не нуждается в этом доступе. Я последнее время стал и ssh закрывать белыми списками ip, хотя раньше делал это очень редко, так как не припоминаю серьезных уязвимостей в этом протоколе, хотя допускаю, что они есть, просто знает о них ограниченный круг лиц.

Рекомендую поступать так же. Все, что только можно, закрывайте фаерволом и не ленитесь его настраивать. Чем меньше информации о вас можно собрать, тем надежнее будет ваша защита. Это универсальный совет. Возможно со временем дойду до того, что и пинги закрою :) Пока оставляю.
https://www.opennet.ru/opennews/art.shtml?num=53535

#заметка #вирус

Написал небольшую заметку на тему совместной работы над сайтом от bitrix. Подход древнючий с прямой правкой файлов. Но по факту до сих пор много кто работает так над сайтами, а с битриксом особенно, так как там есть объективные сложности при работе через git, с которыми не все умеют справляться.
https://serveradmin.ru/dobavlenie-polzovatelya-sftp-dlya-dostupa-k-bitriks-v-bitrixenv/

#статья #bitrix

‍Всех приветствую и поздравляю с пятницей. Сегодня время очередной загадки на тему ИТ и сисадминства. Как обычно, я переведу 500р. на Яндекс.Кошелек (и только туда) тому, кто напишет свой вариант ответа на загадку в комментариях VK к записи и он наберет больше всего лайков до воскресенья, 21:00.
============================
Бежит пользователь к сисадмину и плачет. Почему он плачет?
============================
https://vk.com/serv_adm

Подвожу итог пятничной активности. На текущий момент больше всего лайков получил такой вариант:

⚠️ "Инвентарный номер на ручке окна не подходит для активации Windows."

Вот мой ответ, задуманный изначально. В принципе, он не смешной, но поучительный. Случай из моей практики:

✅ "Слетал в дальнюю командировку, сделал подробные фотографии объекта для начала проектирования и случайно их удалил (история из жизни, юзеру фотки восстановил)."

Вот еще варианты, на которые я обратил внимание:

📋 "Мышь повесилась."

📋 "Дочь на сисадмина учиться пошла."

📋 "Наша Таня громко плачет,
Там упала сетка значит.
Тише Танечка, не ной,
Мы найдём отчетик твой."

📋 "Плачет от счастья, потому что сисадмин из отпуска вернулся."

#юмор

Полностью переработал свою очень популярную статью про настройку уведомлений из Zabbix в Telegram. Рассмотрел нововведения 5-й версии, когда уведомления стали работать из коробки с помощью webhook. Визуализация этого способа очень бедная, так что при наличии других вариантов, лучше остановиться на них.

Помимо дефолтной настройки рассмотрел два популярных скрипта из github с графиками, ссылками, emoji и т.д. Особенно понравился последний, который мне недавно подсказали в комментариях к старой статье. Там и визуализация хорошая, настройки, в сообщении сразу ссылки на тригггер, график и т.д.

В общем, рекомендую ознакомиться, если вы используете уведомления из заббикса в телеграм. Я последнее время по дефолту настраиваю наравне с оповещениями на email.
https://serveradmin.ru/nastroyka-opoveshheniy-zabbix-v-telegram/

#статья #zabbix

Написал небольшое сравнение Zabbix и Prometheus, как вижу это я. Сразу говорю, что сравнение полностью субъективное, так как сам в основном использую Zabbix, а Пром изучал на курсах, плюс делал тестовые установки у себя. У меня под него просто нет задач.

Так что для объективности нужны комментарии и замечания от тех, кто как минимум, хорошо знает Prometheus, а в идеале обоих.

https://serveradmin.ru/sravnenie-zabbix-vs-prometheus/

Какой мониторинг используете у себя?

#статья #zabbix #prometheus

Описал свой подход к созданию и актуализации подменного веб сервера для небольшого типового веб проекта. На данный сервер регулярно заливается и проверяется копия сайта для того, чтобы в случае каких-то проблем с основным, на него можно было переключиться.

Подобный запасной веб сервер очень пригодился бы многим во времена недавних падений на несколько дней хостеров Ihor и Masterhost.
https://serveradmin.ru/nastrojka-rezervnogo-web-servera-s-kopiej-sajta/

#статья #webserver #backup

Смотрел вебинар Zabbix на тему Zabbix + Prometheus. Выкладываю для вас презентацию с него. Там есть полезные примеры, как самому настраивать шаблоны и собирать метрики с промовских экспортеров, в том числе и с автообнаружением. Благодаря http агентам Zabbix это не представляет большой сложности.

Вообще, странно, что Zabbix не делает записи вебинаров и не выкладывает на yuotube вместе с презентациями. Мне кажется, это только повысит охват аудитории. Записываться на вебинар по конкретному времени, да еще и утром, не очень удобно.

#zabbix #pdf

​​Хочу сделать предостережение, основанное на личном опыте. Не так давно делал рядовое обновление сервера, которое требовало перезагрузку. Сервер далеко, в необслуживаемой серверной. То есть там никого нет вечером, кто смог бы хоть что-то сделать. Как обычно, время выбрал позднее, так как на сервере полезная нагрузка. Его активно используют люди в течении рабочего дня. И кто бы мог подумать, что сервер не выйдет из ребута.

Ноу проблем. Сервер Supermicro, там ipmi, сейчас посмотрим консоль и поймем, в чем там дело. И тут начинаются танцы. Сервер старый, версия BMC древняя. Для подключения к консоли нужна java какой-то старой версии. Апплет не запускается, так как блочится настройками безопасности из-за отсутствия сертификата и актуальной версии tls. В общем, мрак. Думаю тем, кто используют supermicro, хорошо знакома эта тема.

Проблемы в итоге решил, подключился и все сделал. А мораль тут такова - перед перезагрузкой сервера, проверьте, есть ли у вас доступ к консоли. У меня столько всяких историй было (раз, два, три), так что для меня ребут это всегда потенциальная возможность потерять доступ к серверу. Так что я обязательно проверяю бэкапы перед этим, а теперь и доступ к консоли сервера. И всегда держу в голове схему, что я буду делать, если сервер не поднимется. А после установки обновления это не такая уж и большая редкость. Вот недавний пример - https://www.opennet.ru/opennews/art.shtml?num=53460

Моя статья про обновление Zabbix на 5-ю версию собрала огромное количество комментариев. По ним стало понятно, что обновление проблемное. Связано это с тем, что zabbix перешел на минимальную версию php 7.2. А, к примеру, в Centos 7 ее вообще нет в базовых репозиториях. Зачастую php свежих версий ставятся из разных реп и разными способами. Кто-то вообще по несколько версий ставит на сервер.

Таким образом, сделать безпроблемное обновление практически невозможно. Процедура будет зависеть от установленной системы, от версии php, от подключенных репозиториев и т.д. А добавьте сюда еще возможность использования nginx или apache. Таким образом, в каждом конкретном случае надо разбираться отдельно. Гладко и по инструкции обновление проходит на Centos 8. Это понятно, так как там php 7.2 дефолтная версия. Но больше всего установок Zabbix Server 4.X на Centos 7, так как 8-й версии еще не существовало на тот момент, когда большинство разворачивали мониторинг 4-й версии.

К чему я все это. Я обновил статью и могу точно сказать, что по ней можно без проблем обновить Zabbix до 5-й версии на Centos 7 и 8. Проверял несколько раз, так как сам пользуюсь этой статьей. В Ubuntu и Debian лично не проверял, взял общий подход. Там возможны нюансы.

В общем случае, для того, чтобы успешно провести обновление в нетиповых ситуациях, рекомендую действовать следующим образом:

1. Сделать бэкап базы и фронта.
2. Обновить самим вручную php до 7.2 или выше. Я лично на более свежих версиях не проверял работу.
3. Настроить работу web сервера apache или nginx с новой версией php.
4. Обновить сам zabbix.

https://serveradmin.ru/obnovlenie-zabbix-4-4-do-5-0/

Столкнулись с проблемами при обновлении Zabbix до 5-й версии?

#статья #zabbix

В тему Zabbix. Пришла сегодня рассылка от него на тему завтрашнего митапа (10.00 - 13.00) на русском языке. Вот список выступлений:

10:00. Поддержка черных и белых списков для метрик на стороне агента
Тихон Усков, Инженер интеграции, Zabbix

10:20 Шифрование соединений базы данных, сервера и фронтэнда
Александр Петров-Гаврилов, Инженер технической поддержки, Zabbix

10:40 Новые шаблоны - IPMI, Mikrotik, MSSQL
Максим Чудинов, Инженер интеграции, Zabbix

11:00 Вопросы и ответы

Первые темы не особо интересуют, а вот на мониторинг mssql любопытно посмотреть. У меня часто про него спрашивают, но я сам никогда не настраивал. Не было нужды.

https://www.eventbrite.com/e/zabbix-meetup-online-tickets-116075642371

#zabbix #видео

Обновил на днях старую статью про настройку ftp сервера. Она была написана года 4 назад и уже тогда я не пользовался ftp протоколом и не рекомендовал его никому. Есть же sftp, никакой особой настройки не надо, если есть ssh. Но тем не менее, иногда встречаю просьбы настроить ftp, либо от вебмастеров просьбу предоставить доступ по ftp. В общем, статью актуализировал и добавил туда настройку ftps, то есть ftp с tls. Так что можно пользоваться, если кому-то реально нужен ftp.
https://serveradmin.ru/ustanovka-i-nastroyka-ftp-servera-na-centos-7/
Используете ftp?

#статья #centos #ftp

​​Типичная ситуация, когда не настроил нормально mysql сервер и он пытается забрать себе памяти больше, чем есть на сервере. Просто приходит oom killer и грохает сервер баз данных. Чтобы этого не было, настраиваем хотя бы автоматически через mysqltuner основные параметры, которые отвечают за потребление памяти - https://serveradmin.ru/bitrixenv-optimizacziya-nastroek-servera-pod-sajt-na-bitrix/#_Mysql Ну а потом и мониторинг - https://serveradmin.ru/monitoring-mysql-v-zabbix/

Меня частенько спрашивают, какое решение для организации vpn я предпочитаю. Отвечаю - Openvpn. Закономерный вопрос далее, а чем он лучше всех остальных. Отвечаю по пунктам то, что ценю конкретно я:

1. Самое главное - простой и удобный механизм передачи маршрутов клиенту. Все настраивается и управляется централизованно с сервера. Считаю это основным преимуществом openvpn.
2. Легко конфигурируется на один из протоколов tcp или udp, а так же на любой порт. Выбрав tcp 443, легко проходить любые блокировки. Например, сейчас я сижу в автосервисе в зоне ожидания, использую публичный wifi, который пускает только по 80-му и 443-му порту. Все остальное закрыто. Чтобы подключаться по ssh, я просто использую свой vpn сервер, который работает по 443 порту.
3. Есть клиенты под все популярные платформы и системы. Конфигурация передается в одном файле. Я даже sip телефоны настраивал на работу через openvpn, так как в них был встроенный openvpn client.
4. Ну и в целом это популярный и проверенный временем продукт. Легко настраивается, легко решаются проблемы. Хорошее логирование на стороне клиента. Легко дебажить проблемы.

Существенный минус openvpn - низкая производительность по сравнению с аналогами. Но минус этот становится заметен только на скоростях 100+ мегабит. Мне не так часто приходится сталкиваться с такими каналами в интернет, так что для меня не существенно. Чаще всего все же скорость в районе 100 мегабит или ниже.

В статье пример объединения офисов через openvpn - https://serveradmin.ru/nastroyka-openvpn-na-centos-7/ Статья устарела в техническом плане, ее в ближайшее время ждет актуализация. Но вся теория и подход показаны нормально.

Какую реализацию vpn используете?

#заметка #openvpn

Попал сегодня в неожиданную ситуацию, о которой хочу вас предупредить. Речь пойдет о systemd-mount в linux. Вообще, systemd должен был упростить жизнь системных администраторов. По факту, все не так однозначно. Как известно, у systemd есть свой планировщик (timer), свой ntp клиент (timesyncd). Как я сегодня узнал, еще и свое средство для монтирования разделов.

Узнал я вот о нем как. Есть облачный хостинг, который позволяет подключать к серверам высокопроизводительные сетевые диски. Я ими активно пользуюсь. Мне нужно было один диск заменить на другой и прицепить его к той же точке монтирования, что и старый.

Никаких проблем. Создаю второй диск, подключаю к серверу. Останавливаю приложение и копирую (!важно, лучше всегда копировать, а потом удалять, не переносить) данные на новый диск. Потом отключаю старый и монтирую новый в ту же точку монтирования. Запускаю приложение и убеждаюсь, что все нормально работает. А дальше самое неожиданное.

Иду в панель управления хостера и отключаю старый диск от сервера. Напоминаю, что в системе я его предварительно уже отмонтировал. Диск как-то подозрительно долго не отключался. Иду в системный лог сервера посмотреть, отключился ли диск. И вижу там очень неожиданную информацию.

Идут постоянные попытки от systemd отмонтировать раздел, к которому подмонтирован уже НОВЫЙ диск. То есть у него записано где-то (я нашел в /run/systemd/generator), что к этой точке монтирования подключен старый диск. Софт хостера по управлению ресурсами просит systemd отключить старый диск от его точки монтирования, хотя по факту она уже занята другим диском.

В общем, я в итоге не пострадал, так как приложение активно писало на диск и не дало его отмонтировать. В итоге systemd отстал и отключил диск принудительно. Будьте внимательны с systemd. Он уже не первый раз преподносит мне сюрприз.

#systemd

Ко мне обратились представители биржи kwork и предложили попробовать заказать что-то на ней, познакомиться и написать отзыв. Пробовать мне не пришлось, так как биржу и так знаю давно, взаимодействовал с ней. Поэтому решил написать статью и просто поделиться своим опытом заказа на этой бирже. В целом, я ее давно уже рекомендовал как для выполнения типовых задач, так и для дополнительного заработка. В общем, искренне рекомендую на нее обратить внимание.
https://serveradmin.ru/moj-opyt-raboty-s-birzhej-kwork-ru/

#статья #реклама

​​Недавно узнал про любопытную возможность Anydesk. Он, оказывается, умеет строить TCP туннели наподобие того, как это можно делать через ssh. Но для ssh нужен проброс порта, тогда как для Anydesk нет.

Я лично пользовался этим, когда мне нужно было настраивать мониторинг закрытой инфраструктуры без доступа в интернет. Была рабочая станция на Linux с графической оболочкой и доступом в интернет. Рабочая станция подключена к инфраструктуре. На нее поставили Anydesk и дальше я сам открывал необходимые мне туннели для доступа к самому мониторингу и наблюдаемым серверам и системам.

Получается универсальное средство удаленного доступа, которое работает как на windows, так и linux. Можно подключаться к экрану конкретного устройства, где запущен Anydesk, а так же пробрасывать порты к устройствам через TCP туннели. И это все бесплатно.

Хочу порекомендовать youtube канал одного сисадмина и devops инженера - https://www.youtube.com/c/KirillSemaev/videos. Это первый ИТ канал с практической информацией, который мне понравился (смотрел не много других). Автор, во-первых, сам хороший специалист, во-вторых, хорошо рассказывает, в-третьих дает актуальную информацию из своей практики. Особенно понравились его истории из практики поддержки биржи криптовалют с кучей кошельков. Я одно время активно занимался криптобиржами и натерпелся от них :)

Отдельно отмечу вот это видео - https://www.youtube.com/watch?v=QT5cNrMQBGo Автор рассуждает о будущем профессии сисадминов и devops инженеров. Очень совпало с моим видением, особенно насчет уклона в программирование. Если кратко, то для получения зарплат выше среднего в скором времени необходимо будет программировать всем. Это будет обязательное требование. Если не готовы программировать, думайте уже сейчас, чем будете заниматься, либо соглашайтесь с тем, что на самые высокие зарплаты претендовать не сможете. Кто не любит учиться, обрадую. Менять картриджи в принтерах и протягивать кабели под столами все еще будет нужно.

Отметил для себя такие моменты из некоторых его рассказов, когда ему приходилось ночью или в выходные утром срочно вставать и чинить упавший прод. Это та причина, по которой лично я не стал углубляться в большой бизнес с высокими зарплатами и компетенциями. Я просто понял, что не хочу так жить. А в разработке, где самые высокие зарплаты отрасли ИТ, такое - обычно дело.

В общем, посмотрите канал, рекомендую. Жаль, что видео мало, но это и понятно. Создание подобных роликов очень трудоемкий процесс.

#заметка #видео