ServerAdmin.ru
28.7K subscribers
281 photos
34 videos
13 files
2.61K links
Авторская информация о системном администрировании.

Информация о рекламе: @srv_admin_reklama_bot
Автор: @zeroxzed

Второй канал: @srv_admin_live
Сайт: serveradmin.ru
Download Telegram
​​Попался на глаза любопытный проект play-with-docker - https://play-with-docker.com/. Он существует уже давно, с 2017 года, но я впервые его увидел на днях. Это тренажер для изучения Docker.

Вам дается тестовая лаба на 4 часа, состоящая из пяти инстансов (instances) с докером внутри. Эти инстансы можно объединять в Docker кластер или использовать по отдельности. Я толком не понял, что это за инстансы. То ли отдельные виртуалки, то ли контейнеры с докером внутри. Но не суть.

Главное, что все это бесплатно, но только на 4 часа. После этого можно заново получить лабу, но снова на 4 часа. В довесок к окружению идет обучающая теория и практические задания, которые можно выполнять в этой лабе. Причем сделано все удобно и интерактивно.

В левой части браузера задания, в правой лаба, где можно их выполнять. Учеба разбита на темы и уроки. Все задания на английском языке. В конце контрольные вопросы для закрепления материала.

Я немного потыкал там, мне понравилось. Другое дело, что я докер и так неплохо знаю на том уровне, что мне необходим. В самих уроках много всего. Там и сети, и безопасность, и оркестрация. Обучение разбито на два потока - для администраторов и разработчиков.

Так что если вы не знакомы с докером, то рекомендую попробовать познакомиться с ним по этому тренажеру. Сделано добротно, качественно и полностью бесплатно.

#docker #бесплатно
На днях столкнулся с неприятной ошибкой запуска lxc контейнера в proxmox. Арендуемый дедик ребутнулся аварийно. Причина неизвестна и выяснить ее невозможно. Нужно просто понимать, что так бывает. Скорее всего рядом монтировали чей-то сервер в стойку и задели провод моего. Обычное дело. Много раз сталкивался с подобным. Могут либо питание вырубить, либо сетевой кабель отключить.

Я однажды присутствовал при монтаже, так при мне мой же сервер чуть не уронили. Пришлось самому его ловить и помогать в салазки крепить. Я всегда и всем рекомендую лично контролировать монтаж ваших серверов в ЦОД. Там всякое может быть. На монтаже работают в основном рукожопы с низкой ЗП. Они ни за что не отвечают. Потом ничего выяснить не получится. Все нужно контролировать. Хотя в этом цоде, после того, как описал инцидент с монтажом руководству в официальном письме, дали месяц бесплатного размещения.

Что-то я отвлекся. Возвращаемся к LXC. Вообще, мне нравится технология контейнеров, особенно то, как они организованы в lxc. Контейнеры быстро запускаются, потребляют минимум ресурсов, организационно очень похожи на виртуалки, в отличие от докера. Но при этом являются контейнерами. Но вот ошибок с ними больше, чем с виртуалками. Сталкиваюсь уже не первый раз.

В общем, после этого аварийного перезапуска, контейнеры не стартовали. Не буду тут долго останавливаться на описании симптомов. Все это есть в статье. Расскажу суть. Система внутри контейнера обновлялась чаще, чем сам гипервизор. В итоге так получилась, что в контейнере были свежее обновления. Из-за этого возникла проблема с их запуском. После того, как обновил сам гипервизор, контейнеры запустились.

А вы как относитесь к lxc? Пользуетесь ими?

https://serveradmin.ru/lxc-proxmox-start-container-error/

#proxmox
​​На днях тестировал полезную и удобную программу для анализа логов веб сервера. Как я уже рассказывал ранее, я всегда по возможности собираю логи веб серверов в ELK Stack. Понятно, что это монструозная конструкция не везде может быть поднята. На небольших проектах ее можно заменить goaccess.

Это бесплатный анализатор логов веб сервера с репой на гитхабе - https://github.com/allinurl/goaccess На Debian / Ubuntu можно поставить из их репозитория. Для Centos 8 не нашел готового пакета в Epel, но встречал в других репах. Я не очень люблю сторонние репозитории, поэтому для теста собрал у себя из исходников. Там никаких сложностей и нюансов нет. Если вы хипстер и девопсер (я не такой), запускайте в докере - allinurl/goaccess, никаких проблем.

Утилита из коробки понимает дефолтные логи nginx / apache. У меня часто свои кастомные логи. Под них придется писать правила парсинга самостоятельно. Утилита может как в режиме реального времени показывать статистику в терминале, так и генерить готовые html страницы для просмотра в браузере.

Со страничками все понятно. Подобный софт известен 100 лет в обед. Я еще лет 15 назад настраивал webalizer или awstats (смахнул ностальгическую слезу). А вот статистика прямо в консоли порадовала. Удобно быстро посмотреть, что у нас в логах. Там по разделам можно ходить, какие-то сортировки, выборки делать.

Пример статистики, которую генерит утилита в html, можно посмотреть в demo - https://rt.goaccess.io/ Мне понравилась программулина, добавил себе в закладки и даже на веб сервер поставил :)

#webserver
​​Хочу поделиться с вами информацией об одном любопытном продукте. ZeroTier One - приложение с открытым исходным кодом (https://github.com/zerotier/ZeroTierOne), которое позволяет пользователям создавать защищенные управляемые сети. С их помощью можно объединять устройства, как-будто они находятся в локальной сети.

В отличие от обычных vpn решений, ZeroTier использует пиринговую технологию, так что хосты могут напрямую обмениваются друг с другом информацией, а не через центральный сервер. За счет этого достигается максимальная скорость и отклик между хостами.

Для управления всей этой штукой есть GUI интерфейс. То есть зайти в эту тему не сложно. Всё управление через браузер. У некоторых хостеров я видел готовые виртуалки с ZeroTier в маркетплейсах. В веб интерфейсе создаете сеть, хосты. На конечные устройства ставите клиента, подключаете их к сети. Потом в веб интерфейсе видите всю информацию по подключенным клиентам, в том числе их адреса, по которым они могут общаться по виртуальной сети между собой.

Так же этот сервис продается по подписке saas. Есть и бесплатный тарифный план с некоторыми ограничениями. Если хочется посмотреть и попробовать, можно зарегистрироваться на zerotier.com и потестить тариф Free.

Я сам эту шутку не пробовал и не использовал. Лежит в закладках с начала пандемии, но так и не дошли руки попробовать. Я давно и успешно использую openvpn, хорошо в нем разбираюсь, быстро настраиваю. Так что объединяю сети обычно с ее помощью. Но возможно кому-то будет полезно как более простое и быстрое для внедрения решение.

Забыл сказать, что для мобильных приложений тоже есть клиенты в сторах.

Пробовали ZeroTier в деле? Как впечатления? Лучше, удобнее, к примеру, Veeam PN, о котором я недавно рассказывал?

#vpn
Media is too big
VIEW IN TELEGRAM
Один из подписчиков поделился песней. Ранее ее не слышал, понравилось исполнение. Особенно вокал и мимика певицы. Группа Дореволюционный советчик. Это у них единственная айтишная песня. Наверняка была записана на волне блокировок телеграма.

Которыя сутки не грузитъ страницы, 
Процессоръ скрипитъ, словно старый сарай. 
Настройте же прокси, креаторъ Голицынъ, 
Админъ Оболенскій, раздайте вай-фай.

Сидятъ черезъ SOCKS баринъ и пролетарій - 
Народъ на Руси оказался непростъ, 
Но въ чатахъ публичныхъ не спятъ комиссары, 
И могутъ тебя посадить за репостъ.

Но какъ же намъ, право, безъ дѣвичьей ласки, 
Безъ теплыхъ эмодзи, шальныхъ телеграмъ? 
Манагеръ Голицынъ, а можетъ быть въ Аську?
Генъ. диръ. Оболенскій, давайте въ ТАМЪ-ТАМЪ.

Сатрапы режима, холопы системы
Заблочатъ Вотсапъ и закроютъ Порнхабъ, 
Куда теперь постить забойные мемы
И кто проорётся съ моихъ фотожабъ…

Сидимъ съ VPN-номъ въ глухой деревенькѣ. 
На синемъ экранѣ сіяютъ скрипты. 
Предатель Голицынъ раздайте печеньки,
Масонъ Оболенскій, пишите посты.
Решил сделать подборку телеграм ботов по it тематике, которые пробовал и иногда пользовался сам. На полноту и охват темы не претендую. Специально вообще ничего не искал. Если попадалось что-то интересное, то сохранял у себя и иногда пользуюсь. Погнали.

@VirusTotalAV_bot - проверяет файлы сервисом virustotal на вирусы.

@DrWebBot - бот известного антивируса. Проверяет файлы одноименной антивирусной программой.

@dnsibot - простенький бот с сетевыми сервисами. Умеет определять ptr у ip, делать whois запросы, резолвить dns записи и т.д. Отличная тематика для тех, кто хочет научиться писать бота. У самого была идея потренироваться на этой теме, но какой смысл, если таких ботов уже полно?

@mailsearchbot - бот проверяет по email адресу сливы паролей. Пароли целиком не показывает, часть закрывает звездочками. Наверное денег хочет за полную версию. База там актуальная.

@g_jobbot - хорошие it вакансии. Целый сервис вокруг этого бота построен. Приятно и информативно пользоваться.

@tmpmailbot - бот для одноразовых email ящиков. Письмо сразу в чат приходит. Удобно пользоваться.

Это весь мой набор. Если у вас есть какие-то полезные it боты, делитесь в комментариях. Возможно со временем сделаю новую, более широкую подборку.
​​В комментариях в интернете к какой-то статье про ошибку 1С прочитал простую и очень полезную мысль, как максимально обезопасить себя от ошибок, связанных с обновлением платформы или конфигурации 1С. Делюсь идеей с вами.

Существует проект от самой компании 1С - 1cfresh.com. Сервис обеспечивает доступ через Интернет к прикладным решениям на платформе 1С:Предприятие по модели SaaS. Или по простому, готовая 1С в облаке. Оплатил доступ и пошел пользоваться, подключаясь через браузер. Все обслуживание на себя берет сервис.

Так вот, идея в том, что к себе надо ставить ровно ту же версию платформы и конфигурации, что стоит на этом сервисе. 1С не будут заливать нестабильные выпуски на этот сервис. Накатывают туда максимально надежный и проверенный релиз. И вам следует обновляться за ним. Это позволит максимально обезопасить себя от неожиданных ошибок и проблем новых версий. А таковые случаются регулярно.

Для того, чтобы узнать версию в 1С фреш, туда нужно как-то попасть. Я просто зарегистрировался. 30 дней дают бесплатно. Зайдя в личный кабинет, уже видно используемые версии. По идее, этой информации достаточно. Не знаю, что будет через 30 дней. заблокируют ли доступ в панель управления, или просто базы отключат.

Я сам веду свою бухгалтерию ИП, так что для меня актуально. Разок установил новую версию платформы, интеграция с банком сломалась. Начали разбираться с тех. поддержкой банка, нашли баг платформы. В следующем обновлении его исправили, а мне пришлось откатиться на предыдущий релиз.

#1С
​​Недавно рассказывал про web интерфейс для управления reverse proxy nginx. Удобная и полезная штука. В комментариях читатель поделился ссылкой на подобный проект, только для HAProxy. Еще один бесплатный балансировщик.

Сам я haproxy не использую, так как мои потребности закрывает nginx, но знаю, что функционал haproxy богаче в сравнении с бесплатной версией nginx. Часть плюшек, которые есть в хапрокси, продаются в nginx plus за деньги.

А вот и сама веб панель для управления
haproxy-wi - https://github.com/Aidaho12/haproxy-wi На ютубе куча видео, где можно наглядно посмотреть, как все работает - https://www.youtube.com/channel/UCo0lCg24j-H4f0S9kMjp-_w/videos

Функционал тут очень богатый:
 Автоматически ставится связка из HAProxy, Nginx и Keepalived.
 Тут же идет связка для мониторинга из Grafana и Prometheus вместе с оповещениями.
 Простой и user-friendly веб интерфейс.
 Просмотр и анализ логов через веб интерфейс.
 HA конфигурация по схеме master - slave.
 Куча настроек по безопасности, в том числе есть Web application firewall.
 Бесплатные сертификаты от let's Encrypt и многое другое.

Посмотреть на все это дело можно на демо стенде - https://demo.haproxy-wi.org/ Учетка admin / admin Ставится на rpm дистрибутивы из репозитория разработчиков. Для deb дистров такой возможности нет. Их поддержка в статусе бета. Можно установить все вручную по инструкции.

Выглядит все очень круто, как по функционалу, возможностям, так и по управлению. Надо присмотреться к этой штуке и где-то попробовать. Если у кого-то есть опыт работы с этой панелью, дайте обратную связь.

#webserver
​​Товарищи админы! У меня тут невероятная находка. Один из читателей поделился ссылкой на сайт https://www.katacoda.com/ Я пошел посмотреть, что там есть интересного и залип.

Там огромное количество бесплатных курсов на самые актуальные devops темы. Я тут же заказал крафтовый кофе у своего баристы (жена), причесал бороду и стал смотреть.

Все структурировано по урокам. Есть подробная теоретическая часть и тут же практическая лаборатория для самостоятельного выполнения заданий. Сделано все очень удобно и наглядно. И качественно. Даже регистрация не нужна, чтобы учиться. За чей счет банкет? А как же лиды с актуальным номером телефона? Алло, где нас тут обманывают?

Как с такими шикарными бесплатными уроками не стать devops и не зарабатывать удаленно хотя бы 150 - 200 т.р. я не знаю. Дерзайте.

#бесплатно #курсы
У меня заказали платный обзор новой системы видеоконференций VideoUnion от российских разработчиков. Я все собственноручно протестировал и описал в статье. В целом, мне понравился продукт. Из особенностей:

 Нативное приложение на C++. Работает быстро, весит 10 мб (шок 😱).
 Очень скромное в потреблении ресурсов компьютера во время видеоконференции.
 Есть клиент под linux, он работает, проверил с товарищем.
 Распространяется по подписке (saas) или как коробочное решение (self hosted).
 Бесплатная версия позволяет одновременное общение не более 5-ти человек, дальше стоимость 50 р. в месяц за каждого онлайн пользователя.
Личный кабинет для управления пользователями.
 Минималистичный и интуитивно понятный интерфейс, где нет ничего лишнего.

Если вам актуальна тема видеоконфренций, а тем более, если у вас стоит задача подобрать какое-то бюджетное корпоративное решение, то обратите внимание. И тем более обратите внимание, если вам нужно именно отечественное решение (бюджетникам привет). Цены очень демократичны.

Можно и между собой попробовать, если часто с кем-то общаетесь. Не придется для этих целей запускать таких монстров по потреблению ресурсов, как skype и zoom. И тем более регистрироваться там, если нет учетки. Можно кому-то отправить ссылку на дистр с привязкой к своей учетке в сервисе и быстро связаться друг с другом. Например, с родителями.

https://serveradmin.ru/obzor-sistemy-videorazgovorov-i-konferenczij-video-soyuz-videounion/
​​Мне регулярно пишут и спрашивают на тему того, каким дистрибутивом linux для серверов лучше пользоваться и что ставлю я сам. В свете истории с Centos, такие вопросы стали появляться почти каждый день. Отвечаю разом всем, кто ко мне с таким вопросом обращался. Многих я проигнорировал, потому что нет возможности отвечать всем, кто мне пишет.

Сам я в настоящее время везде устанавливаю Centos 8. К концу 2021 года, я думаю, станет более ли менее ясно, на какой форк RHEL имеет смысл переключиться. Процесс этот простой и быстрый. Все текущие форки предоставляют такую возможность. Надо будет просто подключить их репу и поставить какой-нибудь пакет, либо запустить bash скрипт. И все, вы превратите свой Centos 8 в Oracle Linix 8 или что-то другое. Я не вижу в этом проблемы, поэтому не суечусь.

Мне видится неплохим вариантом использовать 16 бесплатных лицензий, которые предоставляет RedHat по Developer подписке. Если бы я был админом в небольшой компании, я бы наверное поставил RHEL и вообще не заморачивался. Но так как у меня много всевозможных проектов и не везде получится использовать RHEL или 16-ти лицензий будет недостаточно, я его скорее всего не буду ставить, чтобы сохранить единообразие дистрибутивов во всех проектах, что я администрирую. Так что я буду ждать и выбирать какой-то форк.

Много вопросов, почему не Ubuntu / Debian. Убунта мне не нравится, потому что там постоянно идут изменения. То одно поменяют, то другое, то третье. Сейчас опять выкатывают новый установщик. Мне не нравится эта вечная суета с обновлениями и переучиванием, когда я не получаю практической пользы от предложенных изменений. Мне, к примеру, нравится, что в Centos с 5-й версии плюс, минус один и тот же установщик. Зачем его менять?

В Debian изменений меньше, но мне не нравится жизненный цикл релиза в 5 лет. 5 лет вроде бы много, но это если ты ставишь систему сразу после ее релиза. А если прошло почти 2 года, нового релиза еще нет. Ты ставишь существующий и получаешь время поддержки чуть более трех лет. Это мало. Да, можно обновлять релизы, но лично я в проде этого никогда не делаю. Я считаю, что обновление релиза потенциально небезопасная процедура, так что подходить к ней надо со всевозможными подстраховками, тестированием и т.д. То есть тратить на это время.

Таким образом, лично мне оптимальна система типа Centos с жизненным циклом релиза в 10 лет. У меня так получается, что я всегда работаю в долгую. Есть сервера, которыми я управляю уже более 5-ти лет. Занимался обновлением Centos 5, 6. Сейчас еще есть сервера на 6-й версии, которые я ставил. Им предстоит обновление. Мне чем дольше актуален релиз, тем лучше.

А вы как на все это смотрите? На чем остановили свой выбор в качестве linux сервера для прода?

#centos #debian #ubuntu
​​Недавно изучал решения по мониторингу, которые предлагает один из интеграторов. Сразу скажу, что это не реклама, просто делюсь полезной информацией. Мне понравилось то, что они описываю и делают. Отправной точкой можно взять вот эту ссылку - https://gals.software/solutions/free

Там основные идеи по мониторингу и внизу ссылки на некоторые статьи по данной теме. Они ведут свой блог на хабре. Мне понравилась связка в виде Zabbix + Grafana + iTop. Посмотрел на некоторые визуализации и дашборды, понравилось и решил, что имеет смысл повторить то же самое при случае. В Zabbix 5.4 появилась интеграция с iTop через вебхуки.

Статьи у интегратора скорее обзорные, так что просто взять и повторить без глубокого понимания работы предлагаемых инструментов вряд ли получится. Наиболее простое, что повторить не очень сложно - мониторинг принтеров. Возможно, если у меня будет в ближайшее время проект по мониторингу, я попробую что-то из увиденного реализовать и написать более развернутую статью.

Хочу подробнее посмотреть на iTop. Я сам его не использовал, только слышал о нем. У кого-то есть опыт интеграции с Zabbix? Это вообще удобно и имеет смысл?

#zabbix #мониторинг
​​Очередной бесплатный хостинг с неплохими лимитами - awardspace.com Я его потестил, вроде работает все. IP адрес сервера хостится в Болгарии. Полностью бесплатный тариф включает в себя следующие возможности:

1 GiB дискового пространства
5 GiB месячного трафика
Бесплатный субдомен или свой домен
1 База данных Mysql и 1 база PostgreSQL
Ftp доступ, задания crontab
Php разных версий или Perl
Панель управления на русском языке
Конструктор сайтов с возможностью быстро накатить Wordpress

Как и зачем все это использовать - думайте сами. Очевидно, что для реальной эксплуатации подобные хостинги непригодны, так как лимиты мешают, плюс они чаще всего тормозные. Понятно, что это замануха для перехода на платные тарифы.

Но, к примеру, если вам нужно разместить какую-то заглушку для Европы или простой лендинг, можно поставить ее на бесплатный хостинг. Либо для теста каких-то скриптов. Может пригодится в мониторинге своем для увеличения точек присутствия. Можно простой скрипт залить и запускать по крону.

#бесплатно #хостинг
​​Вчера одного из заказчиков сильно ддосили. Решил поделиться опытом и написать заметку на этот счет. А опыт тут очень простой. Сами вы ничего не сделаете, поэтому лучше не терять время, а сразу заказывать услугу по защите.

Атака развивалась стандартно. Нашли тяжелые урлы на сайте и начали туда лить трафик. Сначала немного, так что сайт начал тормозить и иногда пятисотые ошибки выдавать. Потом усилили так, что он прилег. Сайт за reverse proxy был, так что пошел на него и попытался что-то сделать.

Как только я каким-то образом автоматизировал бан ip и сайт оживал, атака менялась, запросы добавлялись, ip адресов было все больше и больше. В какой-то момент все легко. Провайдер просто отправил наш ip в blackhole. Написал об этом сообщение. Прислал подробности атаки, количество и тип запросов и т.д. И сказал, что атака влияет на его инфраструктуру, так что он вынужден нас отключить.

Предложил подключить ddos защиту, что и было сделано. Пока не понятно, насколько это будет эффективно. Защит существует огромное количество на любой бюджет. От слабых атак иногда помогает бесплатный тариф cloudflare, был такой опыт. Но если атака серьезная, то что-то дешевое за 3-5 т.р. в месяц вас вряд ли спасет.

Если вам важен и дорог аптайм, планируйте защиту от ddos заранее и не своими силами. Вас практически любой провайдер быстро отключит, как только на его ip адреса пойдет атака. Потом включит через несколько часов. Если атака не прекратится, быстро отключит снова.

Если все плохо и атаки будут продолжаться, то готовьтесь серьезно к настройке сервера, сайта, почты и т.д. Вам нужно будет прятать свои реальные ip и закрываться защищенными, которые предоставит сервис защиты от ddos.

Кстати, сервер был на тех. поддержке у одного аутсорсера, который обещал реакцию в течении 15 минут круглые сутки в случае проблем с сайтом. У него был свой мониторинг, бэкапы и т.д. Как вы понимаете, они ничего не сделали и не предложили, так что пришлось подключить меня.

#ddos
​​Продолжая тему ddos, расскажу, что делал я на самом сервере для защиты. Напомню, что это не сам web сервер, а reverse proxy с iptables. Первым делом сразу же настроил с помощью netstat вывод всех ip адресов, у которых больше 10-ти подключений к серверу. Обработал этот вывод, получив чистый список ip.

netstat -ntu | awk '{print $5}' | grep -vE "(Address|servers|127.0.0.1)" | cut -d: -f1 | sort | uniq -c | sort -n| sed 's/^[ \t]*//' | awk '{if ($1 > 10 ) print$2}';

Дальше не стал его отправлять в iptables, так как фаервол начнет тормозить, когда список будет из десятков тысяч адресов и более. Уже проходил это. Так что сразу настроил ipset и поставил правило с блокировкой адресов из этого списка в самый верх:

iptables -A INPUT -m set --match-set blacklist src -j DROP

Важно сделать список ipset не с дефолтными параметрами, а поставить побольше hashsize и maxelem, на случай, если списки будут очень большими. Потом начал его заполнять простым bash скриптом, в цикле перебирая все адреса, полученные из команды выше.

Далее пошел в nginx и настроил там лимит подключений для одного ip. Все, кто его превышают, отмечаются в error логе. Настроил его парсинг и добавление адресов в ipset.

Потом стал смотреть, по каким урлам идут запросы. Это были запросы к поиску и сортировке каталога. Добавил отдельные location и deny правила для этих урлов и так же начал банить ip адреса, которые обращаются к этим урлам, забирая их из error лога nginx.

Скрипты по парсингу и бану запускал каждые 5 секунд. Важно парсить не весь error.log, а только его хвост из нескольких сот строк. Иначе можно повесить сервер, так как лог быстро разрастается до гигабайтов и просто так грепнуть его не получится. Поэтому в таких случаях не поможет fail2ban. Он очень тормозной, начнет вешать сервер своим анализом логов.

В целом, этого хватало, чтобы оперативно банить все фейковые запросы от ботов. На сайт и сервера можно было нормально заходить и настраивать что-то. Но когда все это заработало эффективно, атакующие просто увеличили масштаб атаки и нас заблокировал хостер за превышение какого-то его внутреннего лимита по запросам на ip адрес.

С теми, у кого нет масштабного ботнета, так вполне успешно можно справляться. Так же можно легко закрыться, если весь трафик ботов идет не из вашего региона и вы его можете забанить по спискам стран. Например, отсечь все, что не из РФ. Я так делал и это нормально работает. Но тут ботнет из России был.

А у вас какой опыт отражения ddos атак? Пытались что-то своими силами делать или сразу подключали услугу?

#ddos
Все уже слышали, что у OVH сгорел весь датацентр и пострадали несколько соседних?
https://www.opennet.ru/opennews/art.shtml?num=54736

Ситуация кошмарная для тех, у кого там прод был, а бэкапы в соседнем датацентре. Кто ж знал, что они так близко стоят. Сам я тоже неоднократно использовал OVH. Это крупнейший лоукостер и в целом хостер в мире. Если не ошибаюсь, четвертый, после Amazon, Azure и Google Cloud.

Вообще, странная ситуация. Европа, цивилизация, современный датацентр, в котором все многократно резервируется, даже резервное оборудование. Обязательно должны быть автоматические системы пожаротушения. Сгорает полностью датацентр и частично поджигает соседние. Представляю, что бы начали злые языки судачить, если бы подобное в России произошло.

Сам я лично один раз столкнулся с пожаром в организации, когда сгорело оборудование. Так что обязательно нужно иметь резервные копии в разных, географически распределенных местах. Также мне приходилось сталкиваться с падениями хостеров на несколько дней и срочно переезжать всей инфраструктурой в другое место.

На этот счет у меня есть статья с теоретическими выкладками на тему бэкапов. Сейчас самое время о ней напомнить и почитать самому, чтобы не терять тонус в этом деле - https://serveradmin.ru/kak-pravilno-delat-bekapy-i-sledit-za-nimi/

Есть кто пострадал в ovh? Бэкапы не там же лежали?
Я только вчера узнал, что существует сериал про техподдержку. Сижу вчера вечером в наушниках, смотрю фрагмент из этого сериала, где сотрудник техподдержки долго не берет трубку, а потом отвечает.

Мне жена говорит "Он сейчас скажет, выключить и включить пробовали?" Удивленно спрашиваю, откуда она это знает. Говорит, что этот сериал на русском языке смотрела. И находит мне этот же фрагмент в переводе.

Удивительно, но я про этот сериал не слышал ничего и тем более не смотрел. Нашел случайно ролик, когда искал что-то из айтишного юмора. Сам ролик очень крутой по качеству юмора. Кто понимает инглиш, рекомендую посмотреть в оригинале - https://www.youtube.com/watch?v=rksCTVFtjM4 А для тех, кто не понимает, русская озвучка - https://www.youtube.com/watch?v=8tUhvt3opLE

Скажите, кто смотрел, сам сериал в целом интересный? Есть смысл смотреть сисадмину?

#юмор
Я давно уже познакомился с любопытной программой CrowdSec, аналогом Fail2Ban. Сейчас дошли руки подробно все исследовать, опробовать и написать статью. Предлагаю вам с ней ознакомиться. Мне лично очень понравился этот продукт и я 100% буду им пользоваться вместо Fail2Ban.

Вот список основных отличий:

 Crowdsec более производительный, так как написан на Go, в отличие от Fail2ban, который на Python.

 У crowdsec современный yaml формат конфигов.

 В качестве парсера лог файлов crowdsec использует фильтры grok, хорошо известные тем, кто активно использует elk stack. Мне лично этот фильтр нравится. Я научился на нем писать правила парсинга.

 У crowdsec есть готовая web панель, с помощью которой можно управлять защитой и просматривать статистику.

 Есть готовые контейнеры docker, которые призваны упростить установку и запуск. На практике особого упрощения нет, так как надо прокидывать в контейнеры все лог файлы для анализа. Тем не менее, кому актуален докер, не надо будет самому делать контейнеры.

 CrowdSec собирает глобальную статистику по заблокированным ip адресам и предоставляет возможность настроить у себя списки блокировки на основе этой статистики. Как по мне, инициатива сомнительная, так как получится то же самое, что и с подобными списками в почте. Потом употеешь себя из этих списков убирать или разбираться, почему кто-то из клиентов не может получить доступ к твоему сервису. Более того, через ботнет доверенных хостов crowdsec можно умышленно банить какие-то ip адреса.

 С локальной службой защиты можно взаимодействовать через встроенное API, что открывает безграничные возможности для интеграции.

 Из коробки работает экспорт всех основных метрик в формате Prometheus. То есть мониторинг вообще настраивать не надо, он сразу готов.

По сравнению видно, что авторы CrowdSec взяли тот же принцип анализа лог файлов, что и Fail2ban, но развили его и адаптировали под современные реалии. Я читал, что они работают над интеграцией своего продукта с Kubernetes и его Ingress Controller.

Так что рекомендую вам тоже к нему присмотреться, если для вас актуален подобный функционал. Подробное описание работы программы и мои тесты в статье.

https://serveradmin.ru/ustanovka-i-nastrojka-crowdsec/
​​Неоднократно в комментариях к Zabbix видел вопросы на тему более простого мониторинга для одного или нескольких серверов. Когда надо быстро и без лишних заморочек поднять локальный мониторинг. Для этого отлично подходит Munin - http://munin-monitoring.org Он, кстати, идет в комплекте в BitrixEnv и разворачивается автоматически, при желании.

Munin как раз отличает простота установки и настройки. Не нужны будут никакие sql базы для хранения состояния и метрик. Все, что нужно, хранится в конфигах и rrdtool. Используя rrdtool, я очень давно, еще на freebsd, лет 15 назад настраивал свой собственный мониторинг. Скриптами парсил данные и складывал в rrdtool. Потом появился zabbix и я все стал мониторить в нем.

Для работы munin нужен perl. Собственно, он на нем и работает. Может мониторить как одиночный сервер, так и группу серверов. Один будет являться сервером, где будут храниться собранные данные, на остальные сервера нужно будет установить локальную службу, которая будет отправлять все метрики на сервер.

Ставится и настраивается он реально очень просто. Нужно установить сам munin и веб сервер, к примеру, apache. Мунин сам положит необходимые конфиги для работы с веб сервером. Запускаете обоих и настраиваете. В сети много инструкций по munin, так что разобраться будет не сложно.

При всей простоте, munin неплохо кастомизируется. То есть это не только мониторинг cpu / ram / hdd и прочих базовых метрик. Туда без проблем можно добавить мониторинг nginx, mysql и других сервисов. Функционал расширяется за счет плагинов. Так как проект старый и достаточно известный, плагинов для него накопилось огромное количество - https://gallery.munin-monitoring.org/

#мониторинг
⚡️ Хочу в очередной раз предостеречь всех администраторов почтовых серверов. Вчера утром мониторинг предупредил, что очень много писем в статусе deffered и очередь писем больше обычного. Сразу же пошел на почтовый сервер и по содержимому очереди понял, что кто-то рассылает спам.

Заглянул в лог и сразу понял, что утек пароль одного из ящиков. По логу увидел отправителя писем и сменил ему пароль. Спам стали рассылать аккуратно, а не так что сразу тысячами. Очередь была буквально в 20-30 писем. Если бы не мониторинг, можно было бы долго не замечать, что сервер используют посторонние люди не по назначению.

У меня мониторинг настроен очень старым способом. Я все время, что обслуживаю почтовые сервера, настраиваю его таким образом. Есть утилита для парсинга логов postfix - pflogsumm. С помощью скрипта и этой утилиты я регулярно обрабатываю почтовый лог и отправляю метрики в zabbix. Способ устарел, но все руки не доходят его переработать.

Я параллельно собираю логи в ELK, чтобы удобно смотреть и анализировать было. Можно обойтись без pflogsumm и делать аналитику в elk. Но все время откладываешь рассмотрение задачи, потому что старое и так нормально работает и решает поставленные задачи.

Сам мониторинг postfix с помощью zabbix описываю в статье - https://serveradmin.ru/monitoring-postfix-v-zabbix/

#mailserver #zabbix #мониторинг
​​Попался на днях в руки интересный роутер Mikrotik. Как вы уже поняли, дальше будет тема для настоящих админов 😊 Надо было автопереключение на резервный канал настроить при отвале основного. Ну и по мелочи некоторые вещи, в том числе подключение к vpn.

Устройство было взломано. Я там все изучил. Перечисляю, что было настроено злоумышленниками на роутере.

 Добавлен новый пользователь с правами администратора.
 Настроен на выполнение скрипт каждые 3 минуты, который обращается в интернете к какому-то серверу, скачивает скрипт и запускает его.
 Отключен winbox, включен ssh на нестандартном порту.
 Настроено l2tp и pptp подключение к серверу в Германии.
Настроен socks proxy с белым списком ip адресов, которым можно подключаться.
 Удалены все правила в firewall.
 
Взломано устройство, судя по всему, уже давно. Адрес для загрузки скрипта из интернета отдает 404, последний логин пользователя был осенью. Тогда же и обновление было поставлено. Судя по всему, после взлома, злоумышленник все настроил и обновил устройство, чтобы другие не закрепились в нем.

Сам микротик напрямую в интернет не смотрел. Были серые ip в разное время от мгтс и yota. Наверно через них в роутер и залезли. А может из локалки. Прошлое этого роутера мне не известно.

Подобные изменения удобно искать через export всех настроек микротика. Удобный функционал. Не надо лазить по настройками и смотреть, где что изменили. Достаточно выгрузить весь конфиг в текстовый файл и проанализировать.

Чтобы с вами такого не случилось, закрывайте доступ к mikrotik максимально строгими списками. Либо через vpn, либо по статическим ip. Микротики из-за их популярности постоянно на прицеле хакеров или тех, кто пользуется их плодами.

#mikrotik