ServerAdmin.ru

Очередная подборка статей авторов, которые согласились в ней участвовать. Кто не понимает, о чём идёт речь, может прочитать прошлые публикации по этой теме (раз, два). ⇨ Initramfs в Astra Linux на практике. Загрузка по USB ключу. Хороший пример для практического понимания принципа загрузки ОС на базе Linux. Эти знания пригодятся, когда надо будет разобраться, почему система не грузится, к примеру, после восстановления или переноса на другом гипервизоре. Автор настроил запрет загрузки ОС, если не уставлена определённая флешка. Отдельно отмечу, что очень приятно видеть mcedit на скринах 😁. ⇨ Настройка восстановления пароля в Authentik ⇨ Настройка процессов регистрации и приглашений пользователей в Authentik ⇨ Настройка двухфакторной аутентификации в Authentik ⇨ Настройка Cloudflare Turnstile для защиты формы входа в Authentik без CAPTCHA Очередные статьи про настройку Authentik. У автора большой цикл статей и видео на эту тему. Тема непростая для самостоятельного изучения, так что материалы вам сильно помогут, если осваиваете этот продукт. ⇨ Сети в Docker ⇨ Docker Compose — установка и базовое использование Тоже продолжение цикла на заявленную тематику. У автора несколько заметок про основы докера. ⇨ Как установить Passbolt на Ubuntu 24.04 ⇨ Passbolt: базовая настройка и начало работы Установка и настройка бесплатного менеджера паролей Passbolt с открытым исходным кодом. Он позволяет совместно вести базу данных с паролями, управлять учётными записями для доступа к ним. ⇨ Linux. Утилиты. Нестандартные. convert Пример конвертации изображений из директории в единый pdf файл с помощью консольной утилиты. ⇨ FreeBSD. Установка ⇨ FreeBSD. Первоначальная настройка Краткие инструкции по установке и настройке FreeBSD. Мне уже очень давно хочется сесть и написать цикл статей по FreeBSD. Нравилась эта система, скучаю по ней. Я её неплохо знал, так как не просто интересовался, а поднимал и администрировал реальные сервисы на ней - почтовый, веб, шлюз, мониторинг и т.д. Делал у заказчиков миграции с FreeBSD, когда они ещё попадались, на Linux. ⇨ SSH Pilot - Современный менеджер SSH сессий для Linux Linux не балует пользователей удобными менеджерами подключений. Это обзор на один из них. ⇨ PostgreSQL. Troubleshooting. Data corrupted: 7 ERROR: invalid page in block Решение очень неприятной ошибки, когда в логе ты видишь Data corrupted. Часто это означает, что надо расчехлять бэкапы. В данном случае обошлось без этого. Как я понял, данные не пострадали, просто невозможно было записать новые. Если кто-то из авторов хочет присоединиться к этой подборке, то пишите мне в личные сообщения. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #статьи

Конфигурация к заметке выше 👆👆👆👆👆👆👆👆 То же самое есть в репозитории: https://gitflic.ru/project/serveradmin/grafana-loki

Продолжу тему со сбором логов в Loki. Хочу написать законченный цикл заметок, в которых будет показан сбор логов популярных сервисов. В прошлой заметке я установил Loki + Grafana и отправил в Loki логи контейнеров Docker. Сегодня передам туда системные логи формата journald или текстовых файлов от syslog. Я покажу пример с обоими типами логов, а вы уже по месту сможете выбрать, какие использовать. Изначально у Grafana для сбора логов с хостов была небольшая программа Promtail. Её и сейчас можно использовать, но больше её не развивают и не обновляют. На замену предложен Alloy - огромный комбайн, который включает в себя и сбор логов, их обработку и насыщение дополнительными данными, и преобразование, сбор трейсов, а также отправку системных метрик в Prometheus вместо Node Exporter. То есть Alloy объединяет логи и метрики. В итоге вместо легковесного и простого в настройке продукта мы получаем комбайн всё в одном. Если используется полный стек Grafana в виде мониторинга, логов и трассировки, то наверное это удобно. Если собираются только логи, то не очень. Вместо Alloy можно взять Fluent Bit, Fluentd или Vector. Последние два легковесны, популярны, с простой настройкой. Можно взять и их. Но я в своём примере ограничусь стеком Grafana и буду использовать Alloy. Репозиторий Grafana для IP адресов из России заблокирован. В общем случае он добавляется вот так: # mkdir -p /etc/apt/keyrings # wget -O /etc/apt/keyrings/grafana.asc https://apt.grafana.com/gpg-full.key # chmod 644 /etc/apt/keyrings/grafana.asc # echo "deb [signed-by=/etc/apt/keyrings/grafana.asc] https://apt.grafana.com stable main" > /etc/apt/sources.list.d/grafana.list Мы же подключим копию репозитория из зеркала Яндекса. Для краткости я подключу его без ключа. Если вам это не подходит, то скачайте ключ и как-то передайте его на целевые машины: # echo "deb [trusted=yes] https://mirror.yandex.ru/mirrors/packages.grafana.com/oss/deb/ stable main" > /etc/apt/sources.list.d/grafana.list # apt update # apt install alloy Как я уже упомянул, конфигурация Alloy немного замороченная. Не сказать, что прям сильно сложная, но лично мной воспринимается тяжело. Нужно вникать, когда читаешь и постоянно мотать туда-сюда конфиг, чтобы удостовериться в том, что не запутался в сущностях и названиях. Я уже подготовил простой конфиг для логов, так что достаточно будет просто скачать и применить у себя. В базовом сценарии каких-то особых сложностей нет. Они начнутся, когда будете разбираться с различными метками, автоназначением и т.д. Забирайте config.alloy из моего репозитория, копируйте в /etc/alloy и перезапускайте службу. Заодно добавьте в автозагрузку. По умолчанию она вроде не делает этого: # systemctl restart alloy # systemctl enable alloy Больше ничего делать не надо. На все хосты Alloy устанавливается и настраивается аналогично. В Loki логи будут прилетать с метками в виде %hostname%-logs и %hostname%-journal. Соответственно, по именам серверов вы и сможете их там выбирать. Метки, если что, можно изменить. Они настраиваются в параметрах labels и job соответственно. В конфигурации это всё наглядно видно. По аналогии можно добавить любые текстовые логи. Тут никакой привязки к syslog нет. Просто забираем текстовые логи, определённые параметром:   __path__  = "/var/log/{syslog,messages,*.log}", Теперь можно идти в Grafana, раздел Drilldown ⇨ Logs. Выбираем в выпадающем списке service с нужным именем и типом логов и смотрим. Единственное, что мне не нравится тут, так это то, что в тексте лога есть метки времени, и в самом хранилище есть метки времени, когда запись была добавлена. Иногда они не совпадают и это неудобно. В Logstash есть модуль date для того, чтобы выделять дату из текста поступающих логов и использовать ее в качестве даты документа в Elasticsearch. ❓Кто-нибудь настраивал подобное в Loki, чтобы время документа совпадало со временем в логе? ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #loki #logs #devops

⚡️Серверная ОС SelectOS теперь включена в реестр российского ПО Минцифры. Её можно использовать в корпоративной инфраструктуре и при этом получать поддержку от вендора. Из преимуществ: 🔹поддержка по SLA, 🔹предсказуемая совместимость с 500+ конфигурациями выделенных серверов, 🔹доступ к расширенной документации с помощью ИИ-ассистента в manpages Скачайте бесплатно и протестируйте у себя: https://slc.tl/5kg3c Реклама. АО "Селектел". erid:2W5zFJM5KXn

Подписчик поделился интересной реализацией OTP (One Time Password) для подключений по RDP. При подключении пользователь сначала вводит свой основной пароль от учётной записи, а потом одноразовый через приложение на смартфоне. Это неплохо страхует сервер, доступный из интернета. Способ отлично подойдёт в том случае, когда по какой-то причине доступ по RDP нельзя убрать из прямого доступа через интернет. Ничего особенного в этом нет, подобных систем много. Но обычно это отдельный сервис, который надо разворачивать, настраивать, и это не всегда просто и быстро сделать. А описанный ниже способ очень простой. Всё устанавливается локально на ОС Windows как серверных, так и десктопных редакций. Разницы в настройке нет. Для реализации 2FA через OTP на Windows нам понадобится open source продукт под названием multiOTP, а точнее его отдельный компонент multiOTPCredentialProvider. Покажу сразу полную настройку. Я у себя всё проверил. Долго провозился, потому что разбирался, как всё это работает, собирал нужные команды, читал help. Повторить можно будет намного быстрее. ИИ не помог, тупо выдумал все команды. Вообще все. Со страницы загрузки скачиваете свежую версию multiOTP Credential Provider. Это обычный .msi пакет. Устанавливаете в системе. Во время установки ставите галочку, что не используете никакой сервис, а только локальную версию. Не запомнил, как точно настройка называлась. А на втором экране отмечаете галочками, для каких процессов будет запрашиваться одноразовый пароль. Это могут быть: - локальные и удалённые входы - локальные или удалённые разблокировки сеансов - локальный или удалённый запуск приложений в режиме "Запустить от администратора (Run as Administrator)" Я выбрал только один случай - remote logon, то есть удалённое подключение, в данном случае по RDP. После установки запускаем cmd от администратора и переходим в каталог с программой: > cd C:\Program Files\multiOTP Выбираем любого системного пользователя и задаём ему вход через TOTP: > multiotp.exe -debug -display-log -create totp_user TOTP 34443E4948A3C06A1CFB 6 ◽️totp_user - имя пользователя ◽️34443E4948A3C06A1CFB - любой 160 битный ключ (Hexadecimal, Шестнадцатеричный ключ, 20 символов), можно создать в онлайн генераторе. ◽️6 - количество символов в одноразовом пароле И сразу же создадим пользователю qr код для добавления в аутентификатор: > multiotp.exe -qrcode totp_user c:\multiotp\totp_user.png ❗️Теперь важный момент. После установки multiOTP Credential Provider для всех удалённых подключений будет требоваться TOTP, даже если вы их не добавили в базу multiotp. Я попался на этом. Пришлось подключаться локально и добавлять TOTP для остальных учёток. Только после того, как вы выполнили создание пользователя через multiotp, вы сможете отключить для отдельных пользователей использование TOTP: > multiotp -iswithout2fa zerox Для пользователя zerox отключили одноразовые пароли. Он заходит как обычно. Собственно, на этом настройка и окончена. Приведу список команд, которыми пользовался во время настройки. Список пользователей в базе multiotp: > multiotp -userslist Информация о пользователе: > multiotp -user-info totp_user Настроить длину пароля по умолчанию: > multiotp -config default-2fa-digits 6 Выпустить список одноразовых паролей. Могут пригодиться, если пользователь потерял смартфон или не может воспользоваться аутентификатором: > multiotp.exe -scratchlist totp_user Я проверил одноразовые пароли. По ним нормально заходит. Пользователю нужно установить на смартфон или компьютер какой-то аутентификатор. Их очень много. Я проверял Google Authenticator и FreeOTP. Последний можно через RuStore установить. В самой программе достаточно отсканировать qr код пользователя и генератор одноразовых паролей для multiotp будет добавлен. Если нет возможности отсканировать qr код, то можно hexadecimal ключ сконвертировать в base32 и добавить вручную. multiOTP - масштабный сервис. Может быть развёрнут в связке с AD, или по аналогии настроен в Linux для SSH. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #windows #security

Написал очередную статью из цикла про настройку своего почтового сервера: ⇨ Roundcube Fetchmail plugin - сбор почты с других почтовых ящиков Я в ней настраиваю плагин для веб клиента Roundcube, с помощью которого можно собирать в свой ящик почту с других внешних серверов. И настроить этот сбор может каждый пользователь самостоятельно в своём аккаунте. Работает всё это на базе известного и популярного решения Fetchmail. В настоящий момент цикл моих статей про почтовый сервер выглядит следующим образом: ▪️Настройка сервера на базе ОС Debian ▪️Защита от перебора учётных данных с помощью Fail2Ban ▪️Мониторинг Postfix в Zabbix ▪️Автоматическая загрузка почтовых вложений в Nextcloud при отправке через RoundCube и Thunderbird ▪️Roundcube Fetchmail plugin - сбор почты с других почтовых ящиков Это свежие статьи, обновлённые в течении последних двух месяцев. Есть более старый, но актуальный материал: ◽️Выбор сервера для отправки в зависимости от получателя ◽️Настройка маршрута отправки в зависимости от домена ◽️Ограничение на отправку писем в единицу времени ◽️Перенос почтового сервера ◽️Как изменить тему письма и адрес отправителя через Postfix ◽️Удаление из писем заголовков с локальными IP адресами ◽️Защита почтовых алиасов с множеством получателей от спама ◽️Очистка и обслуживание почтовой базы Postfix ❓Как думаете, какой ещё темы не хватает в контексте своего почтового сервера? По идее не хватает бэкапа, но я почтовую базу формата maildir бэкаплю обычным rsync, про который было много заметок и добавить нечего. Подумываю написать ещё про сбор и анализ логов. Больше ничего в голову не приходит. По идее, всё наиболее актуальное я описал. Не хватает материала по аутентификации через LDAP, но лично я всегда для почтового сервера использую отдельную базу данных учётных записей. Почтовые сервера всегда открыты для всего интернета, клиенты настроены на различных устройствах пользователей. Учётные данные нередко утекают. Мне не нравится идея объединять их с другими сервисами. Конкретно для почты я считаю, лучше использовать отдельную базу данных с учётными записями, хотя это и не совсем удобно. Для больших масштабов, наверное, не подойдёт, но для малых и средних компаний вполне. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. ——— ServerAdmin: 📱 Telegram | 🌐 Сайт | 📲 MAX #mailserver #postfix #подборка