J3qx

information archive

Archive for the ‘sysadmin’ Category

OpenSSL, ssl_ciphers и nginx: прокачиваем на 100% tutorial

Posted by j3qx на 4 июня, 2017

 

Много где написано о том, как получить 100% и A+ по тесту от Qualys. При всём при том практически везде директивы ssl_ciphers и подобные даются как эдакие магические строки, которые нужно просто вставить, и надеяться, что автор не подводит вас под монастырь. Эта статья призвана исправить это недоразумение. По прочтению этой статьи директива ssl_ciphers потеряет для вас всякую магию, а ECDHE и AES будут как друзья да братья.

Подготовка

 

Работать будем с Debian 8.7. Если у вас другой дистрибутив, то версии должны быть такие же или более новые.

 

# lsb_release -d
Description:    Debian GNU/Linux 8.7 (jessie)

# openssl version
OpenSSL 1.0.1t  3 May 2016

# nginx -V
nginx version: nginx/1.6.2

 

 

Читать далее…

Posted in sysadmin | Отмечено: , , , | Leave a Comment »

Мастеру на все руки: 5 лучших инструментов для DevOps

Posted by j3qx на 21 мая, 2017

Слoжно представить сегодняшнюю разработку без DevOps-специалиста (Development + Operations), как клей, соединяющего несколько процессов — разработку, деплой, теcтирование и дальнейшее сопровождение. Чтобы укладываться в сроки и при этом выпускaть качественный продукт, абсолютно все процессы необходимо автомaтизировать и контролировать. И конечно, здесь выручают специализиpованные инструменты. Представляем пятерку must have приложений, без кoторых сложно обойтись.

Ansible

Задача номер один в любой организaции — автоматизация развертывания ПО и приложений, настройка серверов. На сегoдня доступно более двадцати систем управления конфигурацией, из них самые известные — Chef, CFEngine, Puppet, но Ansible, пoявившийся позже всех, в 2012 году, пользуется наибольшей популярностью. Причина — низкий пoрог входа, максимальная простота работы и безопасность. На удаленных системах для управления не используются агeнты, все производится через SSH. Для подключения настраивается беспарольная аутентификaция при помощи ключей, также поддерживается LDAP и Kerberos.

Возможно выполнение на удалeнных узлах одиночной команды, скрипта или любых операций, выполняемых обычно вручную: пpоверки состояния, установки, удаления пакетов, создания учетных записей и пpав, копирования данных, управления системой, сервисами и мнoгих других. Причем большинство функций реализованы с помощью модулей, упpощающих написание кода, при необходимости можно использoвать системные команды напрямую, хотя это рекомендуется только для тех случаев, когда это дeйствительно необходимо. Список модулей есть на сайте проекта.

Читать далее…

Posted in linux, sysadmin | Отмечено: , , | Leave a Comment »

Что такое драйвера-призраки с именами dump_diskdump.sys и аналогичными

Posted by j3qx на 21 мая, 2017

Posted in sysadmin | Отмечено: , | Leave a Comment »

Logstash и Graphite

Posted by j3qx на 20 мая, 2017

Недавно читал серию постов от Datadog про сбор метрик, и в частности статью про метрики Nginx (думал, вдруг что-то новое узнаю). Что меня в этой статье зацепило — так это то, что только версия Nginx Plus показывает статистику количества ответов, разделенную по HTTP-кодам. Поскольку я использую перед Nginx балансировщик HAProxy, который не жадный и показывает подробную статистику по кодам ответов для каждого бекенда и фронтенда, я о таком минусе статистики Nginx даже не думал.

Поскольку я совсем недавно решал схожую задачу получения метрик от сервиса, который сам эти метрики не отдает, решил поделиться достаточно универсальным рецептом, который поможет, к примеру, получать от обычного Nginx подробную статистику по кодам ответов.

 

Читать далее…

Posted in sysadmin | Отмечено: , | Leave a Comment »

О пользе Python и костылях с Docker

Posted by j3qx на 20 мая, 2017

В процессе организации авто-очистки Docker Registry 2, устав ждать в появления в нем столь «ненужного» функционала, как удаление образов с диска (DELETE запросы удаляют тег, но сами данные остаются на диске и жрут место), я в очередной раз прибег к помощи скрипта из delete-docker-registry-image, и уперся в то, что этот самый скрипт (написанный изначально на bash) невероятно медленно работает на большом Registry.

К примеру, удаления одного тега для repository с 70 тегами, в каждом из которых много слоев, занимает 49 минут. А мне надо удалить 60 старых тегов из 70.

 

Читать далее…

Posted in sysadmin | Отмечено: , | Leave a Comment »

Ping и некоторые его параметры

Posted by j3qx на 20 мая, 2017

«Для чего в команде ping используются опции Loose, Strict, Record, Timestamp и Verbose?» — такой вопрос мне недавно встретился в вендорном экзамене. Они позволяют влиять на маршрутизацию ICMP пакетов и собирать информацию о транзитных L3-устройствах. Но занимаясь сетевыми технологиями уже достаточно давно, я почти никогда их не использовал.

Читать далее…

Posted in sysadmin | Отмечено: , | Leave a Comment »

Вирус-вымогатель WannaCrypt – ситуация и меры безопасности

Posted by j3qx на 13 мая, 2017

Ransom:Win32.WannaCrypt и методы противодействия

С 12 мая 2017 года в СМИ стали появляться сообщения о новом и достаточно серьёзном зловреде.

Его называют по разному – и WanaCrypt0r 2.0, и WannaCrypt, и WCry. В более-менее стандартизированной номенклатуре – Ransom:Win32.WannaCrypt.

Кратко про ситуацию и что предпринимать.

Причина заражения

В семействе ОС Windows обмен файлами в LAN-сетях практически полностью реализуется протоколом SMB. Данный протокол разработан фирмой IBM (в сотрудничестве с 3Com) в 1983 году, используется в OS/2, и оттуда уходит в состав сетевого стека Microsoft, более известного как “семейство протоколов и сервисов LAN Manager”.

Читать далее…

Posted in HelpDesk, sysadmin | Отмечено: , | Leave a Comment »

Как мы Redis Cluster готовили

Posted by j3qx на 25 апреля, 2017

В мире опен сорс есть огромное количество технологий, подходов, паттернов, тулзов и аппов, которые юзает очень много компаний. Как превратить используемое ПО или технологию в конкурентное преимущество? Предлагаю рассмотреть на примере Redis Cluster — как мы прокладывали наш путь.

Начало

Стоит начать с того, что Redis — это, по сути, очень удобная штука. В двух словах, Redis — это персистентное key-value хранилище в памяти, со своим блэкджеком и куртизантками. Чаще всего его сравнивают с устаревшим Memcached, который не умеет делать почти ничего из того, что умеет делать Redis.

Читать далее…

Posted in highload, sysadmin | Отмечено: , , , , | Leave a Comment »

Как отсюда выйти: шпаргалка по Vim

Posted by j3qx на 25 апреля, 2017

Вы собираетесь создать файл crontab и внезапно оказываетесь в этом странном редакторе по умолчанию. В том, в котором всё никак не разберётесь.

ESC? Ничего не произошло. CTRL + C? Нет. ESC ESC ESC? Неа. Вы в тупике.

Ну вот, опять. Склонив голову от стыда, вы запускаете очередной терминал, чтобы исполнить команду killall vim и продолжить заниматься своими делами.

 

Читать далее…

Posted in sysadmin | Отмечено: , | Leave a Comment »

Подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd

Posted by j3qx на 25 апреля, 2017

На большом количестве разных интернет-ресурсов можно встретить описание процедуры присоединения серверов на базе ОС Linux к домену Active Directory, и практически везде в таких описаниях в виде неотъемлемой части присутствует установка Samba с последующим использованием Winbind. Мы тоже не стали в этом плане исключением. В этой заметке я хочу рассмотреть пример использования альтернативного средства расширения функционала аутентификации и авторизации в Linux – службы SSSD (System Security Services Daemon), которая будет автоматически настроена с помощью пакета realmd (Realm Discovery). В этом примере нами будет настроена аутентификация и авторизация на сервере Debian GNU/Linux 8.6 (Jessie) с подключением к домену Active Directory (на базе Windows Server 2012 R2).

Читать далее…

Posted in sysadmin | Отмечено: , | Leave a Comment »