ServerAdmin.ru

Подписчик поделился песней про сисадмина, которую я ранее не слышал. Мне понравилась. Такая лёгкая, чиловая песенка с простеньким текстом, поэтому решил поделиться. Чижа мне напомнила. Такие сейчас можно создавать с помощью нейросетей. Главное текст написать, а всё остальное и в разных вариациях можно оформить автоматически. Я уже слышал такие самодельные песни от знакомых. Да что там песни, сейчас уже и полноценные клипы можно снимать на свои стихи. Интересные времена нас ждут. Для тех, кто не знает, напомню, что у меня есть отдельный канал с тематической музыкой и некоторыми шутками. Я его специально не веду, а использую просто как хранилище материала. Музыку оттуда регулярно слушаю сам. Много хороших песен, а в Telegram их удобно слушать. Достаточно просто музыку в группу отправлять, она автоматом в общий плейлист группы попадает. ⇨ https://t.me/srv_admin_humor Если знаете что-то прикольное по этой теме, поделитесь в комментариях. Пополню коллекцию. Давно уже ничего нового не добавлял, потому что и так собрал всё самое популярное. #музыка

🎥 Вебинар по Linux: Docker в продакшене: сборка образов, безопасность и CI/CD От локальных контейнеров — к стабильным, безопасным и воспроизводимым сборкам в продакшене. На вебинаре вы узнаете: - Как писать эффективные Dockerfile и собирать собственные образы. - Как минимизировать размер образов и управлять слоями. - Как работать с приватными реестрами и хранить секреты. - Как интегрировать Docker в CI/CD и управлять версиями приложений. В результате вебинара вы: - Освоите сборку и оптимизацию Docker-образов. - Сможете создавать безопасные и воспроизводимые контейнеры. - Поймёте, как интегрировать Docker в процесс деплоя. - Получите уверенность в работе с контейнерами в продакшене. 🎁 Все участники вебинара получат специальные условия на полное обучение курса "Administrator Linux. Professional" 👉 Для участия зарегистрируйтесь: https://clck.ru/3QnorN Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Рассказываю, как выполнить важную базовую настройку, которую я обычно делаю на всех серверах. Речь пойдёт про отправку системной почты пользователя root через внешний почтовый сервер. Для этого можно использовать любой smtp клиент, например ssmtp или msmtp. Я обычно использую в этой роли Postfix, потому что хорошо его знаю, плюс он позволяет в случае необходимости делать расширенные настройки, которые иногда нужны. Например, заменять заголовки, использовать разные сервера для отправки, блокировать отправку по разным направлениям, разрешая только одно и т.д. Если Postfix не установлен, то надо поставить: # apt install postfix Сохраняем на всякий случай стандартную конфигурацию и заменяем своей: # cp main.cf main.cf.orig Содержимое main.cf: relayhost = mail.zeroxzed.ru:465 smtp_sasl_auth_enable = yes smtp_sasl_security_options = smtp_tls_CAfile = /etc/ssl/certs/Entrust_Root_Certification_Authority.pem smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_session_cache smtp_tls_session_cache_timeout = 3600s smtp_tls_wrappermode = yes smtp_tls_security_level = encrypt smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_generic_maps = hash:/etc/postfix/generic Здесь достаточно поменять адрес сервера и порт mail.zeroxzed.ru:465 на свои. Создаём файл sasl_passwd, где будут храниться данные для аутентификации. Формат такой: mail.zeroxzed.ru servers@zeroxzed.ru:password123 ◽️mail.zeroxzed.ru - имя почтового сервера, такое же как в параметре relayhost ◽️servers@zeroxzed.ru:password123 - почтовый ящик и пароль от него Файл generic имеет следующий формат: root servers@zeroxzed.ru Здесь мы указываем, что в письмах отправителя root меняем на servers@zeroxzed.ru. Это нужно для того, чтобы не было проблем с доставкой. Если у вас имя сервера имеет вид srv.local, то без этой замены отправитель будет root@srv.local. С таким отправителем вашу почту большинство серверов не примут, ответив что-то в духе: "Sender address rejected: Domain not found". А почтовая служба Яндекса в обязательном порядке требует, чтобы имя пользователя для аутентификации совпадало с адресом отправителя, иначе письмо не будет отправлено. Вы можете для каждого сервера делать отдельный почтовый ящик, либо использовать один и тот же. Я обычно использую один и тот же, чтобы не плодить лишние сущности. Но с разными ящиками более гибкие настройки могут быть. Я различаю сервера по имени сервера в теме письма, а отправитель везде один. Формируем на основе текстовых файлов локальные базы данных, с которыми будет работать Postfix, и перезапускаем его: # postmap /etc/postfix/generic /etc/postfix/sasl_passwd # systemctl restart postfix Проверяем отправку: # echo "Test body message." | mail -s "$(hostname)" zeroxzed@gmail.com Письмо нормально улетело в Gmail. В теме письма - имя сервера, в отправителе - root <servers@zeroxzed.ru>. Теперь сделаем так, чтобы локальная почта, адресованная пользователю root, отправлялась куда-то на внешний ящик. Для этого добавляем в /etc/aliases: root: root@zeroxzed.ru И обновляем базу алиасов: newaliases Проверяем: # echo "Test body message." | mail -s "$(hostname)" root В ящик root@zeroxzed.ru должно прийти письмо от root <servers@zeroxzed.ru>. Теперь все системные уведомления для root будут отправляться в этот ящик. Проверим на каком-нибудь задании crontab с ошибкой. Для этого создадим такое ошибочное задание на выполнение несуществующей команды: # crontab -e Добавляем задачу: * * * * * /usr/bin/command-not-found Сохраняем и ждём минуту. Получаем на почту ошибку выполнения задания cron. Тема письма будет примерно такая: "Cron <root@srv-web01> /usr/bin/command-not-found". По имени сервера srv-web01 можно сделать правило фильтрации. С такими настройками, к примеру, кроны с rsync и ключами -v или --progress шлют вывод rsync на почту. Удобно бегло посмотреть, что там куда копируется, или увидеть ошибки, если есть. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #linux

В стандартных репозиториях Debian, да и многих других дистрибутивов давно живёт небольшая и неприметная утилита grc, которая умеет подкрашивать терминал для популярных утилит и типовых логов. Использовать её очень просто, ничего запоминать не надо. # apt install grc И теперь можно подсвечивать почти все типовые действия в консоли: # grc ss -tulnp # grc ps axf # grc ping ya.ru # grc cat /var/log/syslog # grc tail -f /var/log/syslog На картинках ниже примеры того, как это выглядит. Вроде и ничего особенного, но глазу приятнее и в целом более наглядно при анализе информации. А главное запоминать ничего не надо. Никаких ключей, настроек и т.д. Просто добавляете перед командой grc и всё. При желании, можно алиасы добавить. Причём в Debian для алиасов уже всё настроено. Достаточно в в файле /etc/default/grc указать параметр: GRC_ALIASES=true После этого активируется файл конфигураций /etc/profile.d/grc.sh и подсветка будет активирована для добавленных туда утилит. Некоторые современные SSH клиенты сами умеют подкрашивать некоторые строки. Например, в MobaXterm по умолчанию по шаблонам есть подсветка некоторых элементов: подсветка IP адресов, слов error, warn и т.д. Но я обычно это отключаю, что видеть исходный терминал так, как он есть. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #linux #terminal

Ниже будет простая информация на тему шифрования данных. Вспомнил про это, когда меня один знакомый спросил, как ему зашифровать систему на арендованной VPS, чтобы хоть как-то защитить личные данные, которые там будут храниться. Зашифровать всю систему на арендованной виртуалке, раскатанной по шаблону хостера - задача хлопотная и чаще всего не имеет большого смысла. Зачем шифровать всю систему? Обычно достаточно зашифровать только данные. А для этого можно создать виртуальный диск, зашифровать только его и примонтировать к системе. Всю приватную информацию хранить только там. Ему это просто в голову не пришло, так как до этого он сам создавал виртуалки и шифровал их целиком. Причём подход этот работает примерно одинаково и в Linux, и в Windows. Эта функциональность уже есть в ядре. Покажу, как это примерно может выглядеть. Для начала Linux. Ставим набор утилит: # apt install cryptsetup Создаём виртуальный диск: # dd if=/dev/zero of=~/crypt.img bs=1M count=1024 status=progress Шифруем его: # cryptsetup -y -v luksFormat ~/crypt.img Вам нужно будет подтвердить команду, написав YES заглавными буквами. Затем ввести парольную фразу. Открываем зашифрованный образ и присваиваем любое имя, например, crypt: # cryptsetup luksOpen ~/crypt.img crypt Появится диск /dev/mapper/crypt, с которым можно работать как обычно. Создаём файловую систему и монтируем: # mkfs.ext4 /dev/mapper/crypt # mkdir -p /mnt/crypt # mount /dev/mapper/crypt /mnt/crypt Всё, с шифрованным диском можно работать, как с обычным. После перезагрузки нужно будет вручную его открыть через luksOpen и смонтировать. Можно это автоматизировать через файл с секретом, но тогда и особого смысла в шифровании не будет. В Windows всё примерно то же самое, только в качестве шифрования используется BitLocker. Выполнить создание диска проще всего через оснастку Управление компьютером. Открываем её и переходим в Управление дисками ⇨  Дополнительные действия ⇨ Создать виртуальный жёсткий диск. Указываете все необходимые параметры и создаёте файл с виртуальным диском. Потом тут же в оснастке выполняете его инициализацию, создаёте простой том и назначаете имя диска. После этого переходите в Этот (давно уже не Мой) Компьютер, выбираете подключенный виртуальный диск, жмёте правой кнопкой мыши и выбираете Включить BitLocker. Дальше указываете пароль, файл для парольной фразы и дожидаетесь окончания шифрования. Такие вот простые способы хранить данные в зашифрованном виде. Не требуется делать каких-то потенциально опасных для системы действий. Устанавливать дополнительный софт. Шифруется только то, что действительно нужно шифровать. Выбираете эти данные сами. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #security

Наконец-то ребята из контейнерной платформы “Штурвал” прислушались к сообществу и сделали альтернативу бесячей форме на сайте для получения community-лицензии. Теперь ее можно получить через бота в телеге: @l4_helper_bot. Может ещё и Open-Source-версию сделают? Реклама ООО «Лаборатория Числитель» ИНН 9731042193 erid: 2W5zFGMWdSY