Linux mini-howto?
Krátce o nástrojích ze života sysadmina.
Postfix jako jeden z nejrozšířenějších opensourceSMTP serverů na světě má trochu “nesmyslně” (z pohledu uživatelů) nastavenou výchozí hodnotu fronty pro doručování pošty a to na hodnotu 5 dní a proto tento malý krátký fix. Co to znamená ? Pokud se odeslaný email nepodaří doručit a jako odpověď přijde chyba 4XX, tedy dočasný problém (např. přeplněná schránka příjemce, chybný email, problém na serveru příjemce, …) náš Postfix si ji uloží do fronty deffered a pokouší se ji doručit v intervalech po dobu 5 dnů, pokud se to nezdaří dostane odesílatel zprávu o nedoručení pro X dnech což pro může být značně matoucí.
V Postfix konfiguraci je tedy možné zkrátit maximální dobu fronty.
V ukázce je nastavení doby na 8 hod (maximal_queue_lifetime), nezkracujte tuto dobu příliš, můžete poté mít potíže s greylistováním a také je dobré ponechat příjemci nějaký čas pokud má problémy dočasného charakteru, nastavení na 0 lze tuto funkci úplně vypnout, tedy jeden pokus o doručení a nic více.
Hodnoty minimal_backoff_time, maximal_backoff_time definují interval opětovného odeslání zprávy, Postfix si uměle prodlužuje čas u každé zprávy po každém pokusu až po maximal, queue_run_delay je poté interval jak často “obíhat” frontu.
Mikrotik mini-howto?
Krátce ze života sysadmina s RouterOS.
EoIP a šifrování s ipsec
Proprietární EoIP protokol Mikrotiku pro tunelování L2 provozu je na systému RouterOS velmi populární zejména pro svojí velmi snadnou konfiguraci, prakticky přidáte pouze na každé stráně (zařízení) remote-address a shodné tunnel-id a můžete začít tunelovat, jednoduché, nekomplikované.
Jednou z nevýhod EoIP je nešifrovaný provoz, přirozeně je možné zabalit celý provoz a transparetně šifrovat oba konce přes IPsec, který je podporován v Mikrotiku, bohužel většina administrátorů tuto konfiguraci neřeší, mají k IPsecu “odpor”, vetšinou z důvodu neznalosti jeho problematiky, lidé se bojí toho co neznají.
Proto Mikrotik přidal podporu šifrování do EoIP skrze IPsec (dle informací k 15. výročí protokolu), a to tak snadno, že pouze vyplníte ipsec-secret (pre-shared key, heslo, ideálně netriviální), Mikrotik následně sám nakonfiguruje dynamické ipsec peery (strany tunnelu), nakonfiguruje policy s výchozím šifrováním na sha1/aes128cbc, hotovo a máte šifrováný L2 tunnel, jednodušší už to nebude, takže šifrujte !
Ukázka konfigurace EoIP s IPsec
Používáme RouterOS version: 6.37.1 (stable)
Pozn.:
IPsec u EoIP potřebuje explicitně specifikovat local-address u EoIP tunelu kvůli konfiguraci ipsec peerů a také vypnout fastpath funkcionalitu jinak není možné IPsec povolit na EoIP.
Movember je charitativní a každoročně v listopadu se konající genderově zaměřená akce, účelem je zvyšování povědomí o zdraví mužů a prevenci typicky mužského onemocnění, kterým je rakovina prostaty. Každoroční celosvětová akce je viditelná už na začátku listopadu, kdy se muži oholí a do konce měsíce si nechají růst knírek.
Svařováním optických vláken představuje dnes nejběžnější způsob spojování optické trasy, jedna se o poměrně složitou a zejména přesnou operaci prováděnou speciálním zařízením, tzv. optickou svářečkou (fusion splicer).
Tavné svařování řadíme do kategorie permanentního spojení pomocí technologie elektrického oblouku, jde o nejkvalitnější spoje z hlediska velmi nízkého útlumu v přenosové optické trase.
Nabízíme Vám svařování optických vláken
budování, servis, údržba optických sítí
svařování optických vláken (kabelů)
kompletní příprava, svaření, uložení vláken
svařování multimode (MM), mnohavidová vlákna
svařování singlemode (SM), jednovidová vlákna
svařování v terénu (až 200 sváru na baterii), svařování z plošiny
množstevní slevy při vaření vetšího množství vláken
disponujeme moderní svářečkou INNO
průměrný vložný útlum sváru 0.02 dB
instalační materiál pigtaily, spojky, optické i metal. rozvaděče
Operace při svařování
Rozebrání optického kabelu, příprava, “stripování” ochrany
Linux mini-howto?
Krátce o nástrojích ze života sysadmina.
Let’s Encrypt a ACME.sh
Let’s Encrypt je “nová raketově rostoucí” certifikační autorita nabízející zdarma HTTPS (resp. obecně lze podepsat např. SMTP/IMAP,…), v současné době zatím není Let’s Encrypt kořenová certifikační autorita, proto jsou mezilehlé certifikáty podepsané autoritou IdenTrust (DST Root CA X3), tak jak je popsáno v “Chain of Trust“, na tomto kroku se pracuje, ale nebude to hned, navíc chvíli potrvá než se kořenové certifikáty rozdistribuují do prohlížečů, zařízení, atd.
Velká myšlenka výzvy Let’s Encrypt (“pojďme šifrovat”) je zlepšení situace internetové bezpečnost a masivní přechod na šifrované komunikační kanály, s tímto cílem je poskytována zcela zdarma pro každého kdo vlastní doménu, je plně automatizována (klient nasazený na Vašem serveru komunikuje s infrastrukturou Let’s Encrypt za účelem získání/prodloužení/revokování certifikátu), transparetní a otevřená. https://letsencrypt.org/about/
Let’s Encrypt obsluhované cert.
“Chain of Trust”, řetězec důvěry Let’s Encrypt
ACME a ACME.sh
ACME (Automatic Certificate Management Environment) je v jednoduchosti řečeno protokol pro komunikaci s infrastrukturou Let’s Encrypt, pro manipulaci s certifikáty je nutné použít na své straně klienta, který korektně implementuje právě protokol ACME.
Certifikáty pro každého ?
Jedním z klíčových požadavků pro vystavení certifikátu je ověření identity žadatele, předpoklad je, že pokud žádám o certifikát pro doménu mojedomena.cz, tak jsem schopen ji kontrolovat, nejčastější kontrola je pomocí techniky webroot , do speciálního adresáře (/.well-known/) je umístěna výzva/žádost, pro výzvu si na www.mojedomena.cz/.well-known si sáhne robot Let’s Encrypt a pokud je vše v pořádku realizuje akci (např. vystavení certifikátu), tímto mechanismem dokazuji, že jsem schopen kontrolovat svoji doménu, tedy nejsem např. schopen udělat (za normálních okolností) tento trik s cizí doménou a tím si nechat vystavit certifikát např. pro seznam.cz.
Toto nejčastější postup ověření identity žadatele, nikoliv však jediný, další možnost je DNS mode, který funguje velmi podobně, z principu je patrné, že vše je vymyšleno tak, aby bylo možné masivně a hlavně zcela automatizovaně nasazovat certifikáty, což je cílem, protože vlastní certifikáty mají platnost pouze 90 dní, takže automatická “recyklace” je v nasazení nutnost.
ACME.sh
Existuje oficiální ACME klient Let's Encrypt certbot.
Certbot je napsán v jazyce Python, který toho umí opravdu hodně, ale zároveň jde o poměrně velký kus software se spoustou závislostí, který si na serveru “builduje” vlastní prostředí pro Python, v některých případech, ale toto nechcete a třeba ani nemůžete použít (např. menší servery, embedded,…) v tomto případě sáhněte po scriptu ACME.sh.
ACME.sh je malý shell script (unix shell) implementující plně protokol ACME, jednoduchý, snadný na použití i instalaci, kompatibilní s bash, nevyžaduje root práva.
ACME.sh a podporované ověření identity:
web root
standalone
DNS
Standalone mode je velmi zajímavý pro servery, kdy nemáte spuštěn www server (Apache/Nginx/…), tedy např. FTP/SMTP servery, acme.sh Vám na dobu nezbytně nutnou emuluje chování web serveru na portu 80 nástrojem netcat (nc), zde již přirozeně je nutné mít práva root.
Instalace a použití je velmi snadné a přímočaré, viz oficiální stránky projektu, dokonce je možné skrze Cygwin provozovat ACME.sh i na Windows.
Pro česko-rakouskou společnost Glumnik eCommerce jsme provedli optimalizace Linux serveru pro provoz Magento hostingu, kde v současné době běží více než dvacet samostatných malých a středních instancí této e-commerce platformy, server kolaboval pod náporem uživatelů, distribuci newsletterů, přestával zcela reagovat a obsluha byla nucena udělat tvrdý restart, toto nepříjemné chování se podařilo zcela odstranit a optimalizovat průběh zátěže.
Pro zákazníka hotel Richard Mariánské Lázně jsou provedli kompletní migraci hotelové prostředí směrem k technologii levného volání VoIP, předem plánovaná akce byla realizována během pouhých48 hodin za plného provozu a souhrnný výpadek hovorů při migraci byl maximálně 15 minut, práce pod tlakem je pro nás není problém.
Technologie VoIP (Voice-over-IP) není "žadná startrek" novinka z budoucnosti, přejděte na VoIP, je to snadné.
Pomůžeme Vám, zkušenosti a řešení pro malé i velké.
www.mojeservery.cz/kontakt/
Realizace VoIP a technologie hotel Richard
Součástí řešení bylo vybudování kompletní oddělené infrastruktury pro VoIP datový provoz a jeho prioritizace na aktivních prvcích sítě , osazeno bylo více než 70ks moderních VoIP telefonů, instalace, konfigurace a zabezpečení nové VoIP ústředny, vyřešení hotelové tarifikace pro ubytováné klienty a napojení tarifikačního automatu na hotelový systém Agnis, vyřešení služby fax2email, tedy přijatý fax je následně jako příloha vložen do emailu odeslán, pro potřeby recepce byla zřízena volací fronta příchozích hovorů a spousta dalších menších či větších úprav, které jsou možné právě díky nástroji VoIP.
Napájení VoIP telefonů čistě pro zázemí hotelu bylo realizováno formou standartu PoE 802.3af, jištěného z UPS, aktivních prvky (switche) od společnost D-Link.
Ukázka VoIP telefonu hotelové pokoje.
Ukázka VoIP telefonu pro hotelový personál (recepce, sales, kuchyň, …)
Ve spolupráci se školícím střediskem Revis Tachov startuje historicky první školení v Tachově na publikační nástroj WordPress, který je zcela zdarma a masivně používán až na čtvrtiněvšech internetových stránek.
Přijďte s námi zbourat paradigma, že k publikaci obsahu na celosvětové sítí a tvorbě stránek potřebuje být nutně programátor, www pro všechny, snadno, pohodlně, levně a otevřeně to je WordPress.
Školení Revis Tachov WordPress, termín, rozsah
Termín: Úterý 29.11.2016 a Čtvrtek 1.12.2016
Čas: od 16.00 - 20.00 hod
Rozsah: 8hod (2x 4hod)
Lektor: František Havel (www.mojeservery.cz)
