ServerAdmin.ru

Относительно недавно (2018 год) по меркам Linux в составе базовых системных утилит популярных дистрибутивов появилась утилита choom. Узнал о ней случайно. В Debian и Ubuntu она есть по умолчанию, отдельно ставить не надо. В других не проверял. Забегая вперёд скажу, что лично я для неё применения не увидел, но решил всё равно написать для общего образования. Кому-то может пригодится. Не просто же так её написали и добавили в дистрибутивы. С помощью choom можно управлять таким параметром, как OOM score adjustment (oom_score_adj). На его основе OOM-killer принимает решение о том, какой процесс завершить при нехватке оперативной памяти в системе. Choom работает с запущенными процессами на лету, используя их pid. Примерно так: # choom -p 1994 pid 1994's current OOM score: 684 pid 1994's current OOM score adjust value: 0 Посмотрели текущее значения oom_score и oom_score_adj. Для того, чтобы максимально уменьшить шанс для процесса быть убитыми, ему нужно присвоить параметр oom_score_adj -1000. Соответственно, параметр 1000 будет означать максимальный шанс. То есть там разбег от -1000 до 1000. И чем меньше значение, тем меньше шанса быть завершённым. # choom -p 1994 -n -1000 Проверяем: # choom -p 1994 pid 1994's current OOM score: 0 pid 1994's current OOM score adjust value: -1000 Oom_score стал 0, а oom_score_adj, как и указали -1000. В данном примере pid 1994 - это процесс mariadbd. Удобней было бы сделать сразу вот так: # choom -p $(pidof mariadbd) -n 1000 Вообще, принцип работы OOM-killer довольно замороченный. Как видно, у него есть два параметра oom_score и oom_score_adj. Первый показывает текущие накопленные баллы, которые динамически изменяются в зависимости от различных условий, а второй - это то, что задаётся вручную и тоже влияет на oom_score. Сделав oom_score_adj минимальным, то есть -1000, мы и oom_score уменьшили. Вручную всё это менять имеет смысл только в каких-то отладочных целях. Для постоянной работы этими параметрами удобнее управлять через systemd. Просто указываем в unit файле сервиса нужные значения: [Service] ............ OOMScoreAdjust=-800 ............ Перезапускаем сервис и проверяем. В случае с mariadb это будет выглядеть так. Делаем корректировку стандартного юнита: # systemctl edit mariadb Добавляем в конфигурацию: [Service] OOMScoreAdjust=-800 Перечитываем параметры юнита и перезапускаем его. # systemctl daemon-reload # systemctl restart mariadb Проверяем значение: # choom -p $(pidof mariadbd) pid 2274's current OOM score: 152 pid 2274's current OOM score adjust value: -800 По сути choom удобен именно для просмотра. Смотреть значения с помощью утилиты быстрее и проще, чем напрямую: # cat /proc/2274/oom_score # cat /proc/2274/oom_score_adj Она по сути именно это и делает. И меняет значение тоже переопределяя именно эти параметры. На практике я никогда не занимался настройкой OOMScoreAdjust. Если на сервере кончается память и приходит OOM-killer - это аварийная ситуация. Надо идти и разбираться, куда утекает память и почему её не хватает. Обычно после этого её должно хватать. Исключение, наверное, для каких-то специфических случаев, когда целенаправленно нужно использовать всю память сервера, но при этом гарантированно иметь работающим какое-то приложение. Я не могу придумать таких примеров, но думаю, что они есть. Если кто-то знает такие истории, поделитесь в комментариях. Когда вам приходилось целенаправленно настраивать OOMScoreAdjust? В голову приходят агенты мониторинга. Желательно, чтобы они всегда работали, но на практике я не видел, чтобы их первым отключал OOM-killer. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. #linux #terminal #systemd

Собрал подборку из заметок на канале на тему инструментов для ведения документации. Ни разу этого не делал, а материала накопилось прилично. В списке явно прослеживаются 2 категории продуктов: 🔹классические в формате wiki; 🔹статические генераторы. Так что список будет состоять из двух этих категорий, и в конце всё остальное, что останется, в третьей. Wiki: ◽️DocuWIKI, MediaWiki - по ним не было отдельных заметок, но не мог пропустить эти очень старые и известные продукты. Я сам не раз составлял документацию в DocuWIKI. Это очень простая wiki-подобная панель управления документами, которая работает на php, не требует СУБД, а все заметки хранит в текстовых md файлах. Очень легко бэкапить и синхронизировать документацию. ◽️Wiki.js - современная реализация технологии wiki. Очень хорошая функциональность. Среди всех современных wiki, это самая навороченная и красивая. Там и API, и аутентификаций куча всяких, продвинутый поиск, синхронизация с git и многое другое. ◽️BookStack - ещё один движок на базе wiki, но не только. Больше похож на классическую CMS на PHP, которая в том числе поддерживает wiki. Это для любителей олдскула, хотя проект не брошен. Развивается и поддерживается. Есть аутентификация через AD. Статические генераторы: ◽️MkDocs - как мне кажется, наиболее популярный генератор именно для документации. С его помощью написана документация для многих известных проектов. Например - Rocky Linux. Принцип там такой - пишите документация в формате md, хранить можно в git. Отдельно пишите инструкцию по генерации сайта в формате yaml. И после каждого обновления контента запускаете генерацию новых страничек или всего сайта. ◽️Hugo - это в целом самый популярный генератор статических сайтов, который в том числе используют для документации, но вообще он для сайтов общего назначения. Многие техноблогеры используют этот движок для своих блогов. ◽️Antora - продвинутый инструмент для ведения документации профессиональными техническими писателями. Там есть деление на продукты, вертки, версии. Управление документацией ведётся по принципу docs as code. ◽️Grav - универсальная CMS, которая в том числе подходит для хранения документации. У неё есть отдельная тема для синхронизации контента с git репозиторием. Сама CMS вместе с markdown редактором работает на PHP. Это может быть удобно, если хочется писать текст во встроенном редакторе, а не где-то на стороне. ◽️Docusaurus - ещё один статический генератор, который изначально был заточен под ведение документации и написан в Facebook. У него простой, лаконичный дизайн, интеграция с git, документы хранит в формате md. Написан на Go, расширяется плагинами. Нормальное современное решение для простой документации. Разное: ◽️Onlyoffice - это целый портал для совместной работы, который включает в том числе отдельный раздел для wiki. Но лично мне нравится в нём вести текстовую документацию в формате обычных документов docx и xlsx с общим доступом к файлам. Это в целом удобно, так как хранится наглядная история версий, можно скачать файл локально, куда-то переслать, поработать с ним на компе в десктопном редакторе. Перечислил то, что знал и частично использовал. Если у вас есть ещё рекомендации бесплатных продуктов для ведения документации, поделитесь в комментариях. ❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки. #wiki #docs #подборка

🔥Коллеги, ваш production чаще напоминает поле чудес, а не отказоустойчивый кластер?) Пора сменить тактику! Приглашаем на курс «DevOps Lead» в Otus, где вы научитесь не тушить пожары, а проектировать системы, которые не горят. 🤝Разберем на пальцах и в продовых кейсах: — Как выстроить «боевой» CI/CD, который не ломается от взгляда джуна. — Стратегии мониторинга, чтобы узнавать о проблемах раньше, чем о них напишут в чат. — Управление командой: как говорить с разработчиками на одном языке без потери лица (и данных). Готовьтесь к хардкору, но без ватерфалинга! 🦸‍♂️ Пройдите бесплатное тестирование и убедитесь — вам есть, чем у нас поучиться: https://clck.ru/3PE9ah Сейчас можно зайти в группу выгодно — используйте промокод DevOpsLead_09 на скидку. Превратите героическое тушение проблем в спокойное развитие. Записывайтесь на курс! Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

💡 Хостинг и VPS от IHC — для любых задач Когда хостинг работает как часы, вы о нем даже не вспоминаете. Всё просто: зашли, выбрали тариф, нажали кнопку — и уже устанавливается CMS или VPN-шаблон. Так работает ИХЦ. Мы предоставляем: *️⃣мощные VPS на KVM-виртуализации; *️⃣хостинг с поддержкой популярных CMS (WordPress, Joomla, Bitrix); *️⃣облачные решения под 1С; *️⃣выделенные серверы; *️⃣хосты под статичные сайты, Telegram-боты, REST-сервисы и любые другие проекты; *️⃣выгодную партнерскую программу. Сервера — в России и Европе. Круглосуточная русскоязычная техподдержка. Платите только за нужное — без скрытых оплат и навязанных услуг. Всего от 123 руб/мес. Подключайтесь и убедитесь сами, почему нас выбирают уже более 15 лет 👉 Перейти на ihc.ru Реклама, ООО «Интернет-Хостинг», ИНН 7701838266.

Mikrotik меня на днях удивил. Увидел мельком в одном из видео на ютубе упоминание функции Kid Control. Думаю, такой, что это за контроль, впервые слышу. Открываю RouterOS 7 и и вижу там IP ⇨ Kid Control. Очень удивился. Я вообще впервые увидел этот раздел. Думаю, наверное это в 7-й версии появилось, поэтому я не видел. Я все старые устройства оставил на родной для них 6-й версии. Специально не обновлял. А с 7-й мало работал, только с новыми устройствами. Захожу в RouterOS 6, а там этот контроль тоже есть. Тут я ещё сильнее удивился. Пошёл в поиск, оказалось, что эта функциональность появилась в 2017 году. Как я умудрился не то, что её ни разу не заметить лично, но даже не слышать никогда о ней. Проходил обучение MTCNA, не помню, чтобы там об этом шла речь. Либо у меня из памяти всё это вылетело. Проверил поиск по каналу, ни разу не писал о нём, значит не знал. Посмотрел поиск по чату, нашёл одно упоминание. Мне как раз говорят, что есть детский контроль, а я удивился и спросил, что это такое. Ну и благополучно забыл, хотя написал: "Пипец. Столько лет настраиваю Микротики. Никогда не замечал и не заглядывал в этот раздел. Даже не знал про его существование." Дело в том, что я настраиваю детям ограничения, но делаю это примерно так:

    
        /ip firewall address-list
add address=192.168.137.110 list=Ivan
add address=192.168.137.111 list=Olga
/ip firewall filter
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Ivan time=\
  22h-7h,sun,mon,tue,wed,thu,fri,sat
add action=reject chain=forward reject-with=icmp-network-unreachable src-address-list=Olga time=\
  21h-7h,sun,mon,tue,wed,thu,fri,sat{}
    

Создаю списки устройств детей и делаю для них правила, которые начинают работать в ночное время, чтобы выключать доступ в интернет. У меня родительский контроль так работал. А он оказывается примерно так же, но в другой форме организован в отдельном разделе. В общем, чтобы в очередной раз об этом не забыть, пишу заметку и рассказываю, как этот родительский контроль работает. В разделе IP ⇨ Kid Control есть 2 вкладки: Kids и Devices. В раздел Kids добавляем ребёнка и назначаем ему часы, когда интернет будет работать. Там же можно настроить ограничение скорости. В целом это тоже может быть полезно. Для того, чтобы делать уроки, смотреть расписание и искать какую-то текстовую информацию большая скорость не нужна. Можно ограничить, чтобы не работали видео и не было соблазна быстренько что-то посмотреть. А вечером, когда уроки закончены, ограничение убрать. В Devices добавляем по MAC адресу устройства ребёнка и привязываем их к нему. Такой вот нехитрый контроль, который по факту делает примерно то же самое, что и я вручную. Для ограничения интернета добавляет и убирает блокирующие правила в файрвол для IP адресов устройств детей. А для ограничения скорости добавляет правила в Queues ⇨ Simple Queues. Я этот же контроль придумал сам, только скорость не ограничивал. Большого смысла в этом не вижу. У меня дети по факту уроки нормально делают самостоятельно днём и с интернетом. Отключаю вечером, чтобы не было лишних разговор и разбирательств перед сном. Смартфоны тоже выключаются. Время пришло, всё автоматически выключилось. Спорить и что-то просить не у кого. Все идут чистить зубы и спать. Вроде разработчики постарались сделать удобно, но по факту получилось так себе. Списки IP адресов устройств формируются на основе таблицы ARP. Если перезагрузить роутер в тот момент, когда устройства детей выключены, их IP адресов в ARP таблице не будет. Динамические правила в файрвол не добавятся. Я сначала не понял, почему там после перезагрузки пусто. Потом сообразил, когда посмотреть таблицу ARP и не увидел там нужных устройств. Такая реализация может запутать в настройке файрвола. Проще как я раньше делал, писать правила с указанием времени вручную. Они всегда перед глазами, хоть и отключаются вне заданного диапазона времени. #mikrotik #дети

📊 Пришло время очередного опроса. Давно хотел его организовать, да всё забывал. На другое отвлекался. Тема очень дискуссионная. На канале не раз поднимались споры на этот счёт, но никогда не было опроса. Интересно посмотреть на распределение по вопросу, кто каким текстовым редактором пользуется в консоли Linux. Скажу за себя. Я использую mcedit. Не считаю его очень удобным, но привык. Мои потребности закрывает, так как я особо много в консоли не редактирую. Если что-то большое, масштабное, то делаю на компьютере в VSCode. Если стоит nano, то буду работать в нём. Vi или vim не люблю, закрою, если случайно откроется 😆 Но приходится мириться, так как по visudo открывается. Я обычно не переназначаю. Хотя это было раньше, на rpm дистрибутивах, с которыми я всё реже взаимодействую. В deb visudo открывает nano. И это здорово. Про vi теперь не вспоминаю. Вариант ответа будет только один. Так что выбирайте тот, что вам больше нравится, даже если работаете в разных. #опрос

Посмотри объявление "Квартира-студия, 27 м², 13/21 эт." на Авито: https://www.avito.ru/ekaterinburg/kvartiry/kvartira-studiya_27m_2krovati_7599652061?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller

На днях на хабре прочитал полезную статью, поэтому решил акцентировать ваше внимание на ней. Я в принципе не знал, что так можно сделать. Не приходилось сталкиваться. ⇨ Защита от эксплойтов rdp, smb c помощью IPSec и сертификатов Думаю у многих всё ещё трудятся устаревшие операционные системы Windows. По моим наблюдениям, чаще всего это Windows Server 2012 R2. Не помню уже чем они в то время так привлекали внимание, но мне кажется, их наустанавливали значительно больше, чем последующих 2016-х и 2019-х. Таковые имеются и у меня. По понятным причинам, установить обновления на Windows Server 2012 R2 либо сложно, либо невозможно, потому что в свободный доступ они больше не публикуются. Есть обходные пути, но не сказать, что они простые. Автор предлагает следующий простой и эффективный способ защиты удалённых подключений. 1️⃣ Разворачиваем роль центра сертификации. 2️⃣ Выпускаем сертификаты для пользователей. 3️⃣ На целевых серверах, куда пользователи будут подключаться по SMB или RDP, на штатном файрволе настраиваем правила входящих соединений, где включаем параметр Разрешить только безопасное подключение. Дополнительно можно ограничить список компьютеров, с которых разрешено подключаться. Если это не терминальный сервер, а обычный, куда по RDP подключаются только админы, можно ограничить список компьютеров. 4️⃣ Отдельно создаём правило для безопасных соединений, где включаем проверку подлинности компьютера, если настраивали ограничения по ним, и проверку подлинности пользователя, которая выполняется с помощью ранее выпущенного сертификата с нашего CA. Теперь если у пользователя нет сертификата, в подключении будет отказано. Это не даёт стопроцентной защиты, но заметно сужает вектор атак, так как без сертификата по RDP или SMB уже не подключиться. А именно в этих сервисах обычно находят фатальные уязвимости. Настраивается всё это относительно просто. В статье пошаговая инструкция. Странно, что у статьи так мало просмотров и совсем нет комментариев. Мне кажется, довольно актуальная информация. Меня постоянно беспокоят эти устаревшие системы. Конечно, их надо обновлять, но как это обычно бывает, не всегда это просто сделать по различным причинам. А где-то и невозможно. Я лично обслуживал системы для станков, которые нельзя было обновить. Продавалась связка станок-компьютер с драйверами под конкретную версию. #windows #security