Archiv pro štítek: linux

Linux mini-howto: Systemd automatický restart služby při selhání.

Linux mini-howto?
Krátce o nástrojích ze života sysadmina.

Systemd a restart služby při selhání


Systemd je “nový” init systém pro správu služeb navržený exkluzivně pro Linux s cílem nahradit původní SysV init scripty pocházející z System V unix větve a i přes jistou kontroverzi se stává (stal) novým standardem ve světě Linuxu, najdeme ho v drtivě většině mainstream distribucí a je potřeba naučit se s ním žít.

Jednou z operací, která se často řeší je automatický restart služby po jejím zhavarování, jsou služby, které požadujeme aby běželi na serveru neustále, tedy v případě jejich výpadku chceme zkusit automaticky restart, někdo si na to píše vlastní scripty nebo nasazuje nástroj Monit, daemontools či další, Systemd tuto funkci intergruje do sebe, proč ji nevyužit, pojďme na to, je to velmi jednoduché.

Pokračování textu Linux mini-howto: Systemd automatický restart služby při selhání.

Realizováno! Konsolidace firemního ICT prostředí pro DUKE Abraham s.r.o.

Realizováno!

Konsolidace ICT DUKE Abraham s.r.o. Tachov


Společnost DUKE Abraham s.r.o. je ryze české firma působící v oblasti kovovýroby, CNC a obrábění na trhu již od roku 1992, vyniká vysokou kvalitou, flexibilitou, termínem dodání a zejména proto velmi děkujeme za poskytnutou příležitost a důvěru při realizaci kompletní konsolidace firemního ICT prostřední, čítající výstavbu firemní metalické i bezdrátové sítě, výměnu většiny aktivní prvků sítě, dodání nové serverové infrastruktury Dell a migraci fyzických serverů do virtuálního prostřední včetně zálohování celé infrastruktury.

Konsolidováno:

  • Konsolidace serverovny, znovu-zapojení fyzické sítě, popis
  • Výměna aktivní prvků sítě (záruka 5 let na vše)
  • Nové infrastruktura, servery Dell (SLA 5 let onsite)
  • Virtualizační infrastruktura VMware
  • Konfigurace sítě switche, routery, firewall, VLAN, spanning tree, port-security, trunk, optický propoj do druhé budovy
  • Výstavba bezdrátové sítě 2.4/5GHz s oddělením provozu pro zaměstnance, vedení, hosté + MAC access list
  • Aktivní monitoring (dostupnost služeb, SNMP, grafy provozu), včasné odhalení problému, výpadky, viditelnost
  • Oddělení síťového provozu serverů do vlastní LAN/L2 domény
  • Oddělení síťového provozu PC do vlastní LAN/L2 domény
  • Oddělení síťového provozu VoIP do vlastní LAN/L2 domény
  • Oddělení síťového provozu WiFi do vlastní LAN/L2 domény
  • Oddělení síťového provozu CCTV do vlastní LAN/L2 domény
  • Oddělení síťového provozu mgmt do vlastní LAN/L2 domény
  • Oddělení síťového provozu backup do vlastní LAN/L2 domény
  • Pravidelné centrální zálohování dat

Ilustrace nové topologie sítě DUKE-Abraham s.r.o.

Ilustrace topologie sítě DUKE-Abraham s.r.o., realizace MOJEservery.cz 2017
Ilustrace topologie sítě DUKE-Abraham s.r.o., realizace MOJEservery.cz 2017

Virtualizace serverové infrastruktury

V rámci konsolidace byla navržena a následně realizována migrace veškerých fyzických serverů do virtualizované infrastruktury technologie VMware s centrálním zálohováním na backup server s umístěním do jiné fyzické lokality.

Ilustrace: Virtualizační stack VMware
Ilustrace: Virtualizační stack VMware

Centrální zálohování dat

Pro fungující a bezpečnou infrastrukturu je naprosto klíčový prvek zálohování dat, pro zálohování byl nasazen centrální server Dell se systémem Linux Debian 9, data v konfiguraci RAID1 a filesystémem BTRFS s podporou snímků (snapshot), podporována je metoda zálohování celých virtuálních strojů tak dat samotných, v neposlední řadě jsou na zálohovacím serveru umístěny aktuální konfigurace síťových prvku.

Děkujeme za příležitost a těšíme se na další spolupráci.

MOJEservery.cz


Switch Edgecore v druhé lokalitě, optický propoj do serverovny.
Switch Edgecore v druhé lokalitě, optický propoj do serverovny.
Zálohovací server Dell, Debian 9, BTRFS filesystem.
Zálohovací server Dell, Debian 9, BTRFS filesystem.
Centrální serverovna DUKE-Abraham po konsolidaci 2017.
Centrální serverovna DUKE-Abraham po konsolidaci 2017.

 

Zaujalo Vás toto řešení ?
Chcete konsolidovat LAN, přemýšlíte serverech, virtualizaci, bezdrátové LAN či VPN ?
Nebo se chcete jen poradit ?
Kontaktujte nás, jsem tu pro Vás. MOJEservery.cz
Technické konzultace, implementace, návrhy řešení.
Kontaktní e-mailobchod@mojeservery.cz
Kontaktní telefon: +420 725 714 669

Realizováno! DNS servery pro ISP AgNET Stříbro

Primární a sekundární DNS server AgNET


Pro lokálního poskytovatele internetu (ISP) AgNET ve Stříbře a okolí bylo na hardwarové platformě Dell PowerEdge realizována sada dvou čistých DNS serverů, primární i sekundární server je postaven na operačním systému GNU/Linux Debian 9 a službu DNS realizuje software BIND9. Pokračování textu Realizováno! DNS servery pro ISP AgNET Stříbro

Realizováno! Optimalizace SQL serveru pro SBS-NEPRON s.r.o., Kaznějov.

Optimalizace SQL serveru MariaDB 10


Společnost SBS-NEPRON s.r.o. Kaznějov jako součást německé skupiny BurgerGruppe Schonach je zaměřena na montáž elektronických modulů s roční kapacitou 250 milionů osazených součástek a v současné době v lokalitě Kaznějov u Plzně zaměstnává přes dvě stovky lidí. Pokračování textu Realizováno! Optimalizace SQL serveru pro SBS-NEPRON s.r.o., Kaznějov.

Realizováno! Optimalizace Magento serverů pro cigarka.cz, isperky.sk, *.corplife.at

Optimalizace Linux Magento serveru


Co je to Magento ?

Systém Magento je představuje v současné době jednu z nejlepších opensource platforem pro elektronické obchodování (e-commerce), postavená nad jazykem PHPZend Frameworkem a tradičním relačním enginem MySQL/MariaDB, dle průzkumu v roce 2015 z třiceti nejpoužívanějších e-commerce platforem si drží market share 30%.magento-logo-small-optimize-cigarka-isperka-corplife_2017

Pokračování textu Realizováno! Optimalizace Magento serverů pro cigarka.cz, isperky.sk, *.corplife.at

Linux mini-howto: Bash history a HISTTIMEFORMAT

Linux mini-howto?
Krátce o nástrojích ze života sysadmina.

Dnes krátce, ale o to možná užitečněji. :-).

Bash history a HISTTIMEFORMAT

Příkaz history je jeden z mnoha vestavěných (buildin) nástrojů populárního interpretu příkazového řádku (shell) Bash, za normálních okolností je historie provedených příkazů uchována v souboru ~/.history (~/.bash_history) každého uživatele a příkaz history přečte a zobrazí soupis provedených povelů, to je fajn, hodí se to, používá se, chceme to. Pokračování textu Linux mini-howto: Bash history a HISTTIMEFORMAT

Realizováno! Linux poštovní server pro Karelhadek.eu

Realizováno! Linux poštovní server


Pro společnost karelhadek.eu jsme realizovali kompletní konfiguraci nového emailové serveru postaveného na operačním systému Linux, obsluhuje ~ 100GB uložených poštovních zpráv pro více než 70 samostatných emailových schránek, pro snadnou obsluhu je dostupný ovládací panel skrze www rozhraní, implicitní šifrování veškerého provozu, online monitoring stavu služeb, veškeré nasazené technologie jsou otevřený software. Pokračování textu Realizováno! Linux poštovní server pro Karelhadek.eu

Realizováno! Optimalizace Magento serveru pro Easystore.cz

Optimalizace Linux Magento serveru.

Pro českou společnost EasyCo s.r.o. provozující rozsáhlý eshop Easystore.cz s příslušenstvím pro Apple (Apple Watch, iPhone, iPad, Mac, Apple TV, …) jsme provedli optimalizace Linux serveru pro provoz Magento e-commerce platformy. Pokračování textu Realizováno! Optimalizace Magento serveru pro Easystore.cz

Linux mini-howto: Postfix queue lifetime

Linux mini-howto?
Krátce o nástrojích ze života sysadmina.

Postfix jako jeden z nejrozšířenějších opensource SMTP serverů na světě má trochu “nesmyslně” (z pohledu uživatelů) nastavenou výchozí hodnotu fronty pro doručování pošty a to na hodnotu 5 dní a proto tento malý krátký fix. Co to znamená ? Pokud se odeslaný email nepodaří doručit a jako odpověď přijde chyba 4XX, tedy dočasný problém (např. přeplněná schránka příjemce, chybný email, problém na serveru příjemce, …) náš Postfix si ji uloží do fronty deffered a pokouší se ji doručit v intervalech po dobu 5 dnů, pokud se to nezdaří dostane odesílatel zprávu o nedoručení pro X dnech což pro může být značně matoucí.

V Postfix konfiguraci je tedy možné zkrátit maximální dobu fronty.

/etc/postfix/main.cf:

queue_run_delay = 5m
minimal_backoff_time = 5m
maximal_backoff_time = 30m
maximal_queue_lifetime = 8h

V ukázce je nastavení doby na 8 hod (maximal_queue_lifetime), nezkracujte tuto dobu příliš, můžete poté mít potíže s greylistováním a také je dobré ponechat příjemci nějaký čas pokud má problémy dočasného charakteru, nastavení na 0 lze tuto funkci úplně vypnout, tedy jeden pokus o doručení a nic více.

Hodnoty minimal_backoff_time, maximal_backoff_time definují interval opětovného odeslání zprávy, Postfix si uměle prodlužuje čas u každé zprávy po každém pokusu až po maximal, queue_run_delay je poté interval jak často “obíhat” frontu.

To bylo snadné, užívejte moudře. MOJEservery.cz

Linux mini-howto: Let’s Encrypt snadno s ACME.sh

Linux mini-howto?
Krátce o nástrojích ze života sysadmina.

Let’s Encrypt a ACME.sh


Let’s Encrypt je “nová raketově rostoucí” certifikační autorita nabízející zdarma HTTPS (resp. obecně lze podepsat např. SMTP/IMAP,…), v současné době zatím není Let’s Encrypt kořenová certifikační autorita, proto jsou mezilehlé certifikáty podepsané autoritou IdenTrust (DST Root CA X3), tak jak je popsáno v “Chain of Trust“, na tomto kroku se pracuje, ale nebude to hned, navíc chvíli potrvá než se kořenové certifikáty rozdistribuují do prohlížečů, zařízení, atd.

Velká myšlenka výzvy Let’s Encrypt (“pojďme šifrovat”) je zlepšení situace internetové bezpečnost a masivní přechod na šifrované komunikační kanály, s tímto cílem je poskytována zcela zdarma pro každého kdo vlastní doménu, je plně automatizována (klient nasazený na Vašem serveru komunikuje s infrastrukturou Let’s Encrypt za účelem získání/prodloužení/revokování certifikátu), transparetní a otevřenáhttps://letsencrypt.org/about/Let's Encrypt obsluhované cert.

Let’s Encrypt obsluhované cert.

 

"Chain of Trust", řetězec důvěry Let's Encrypt
“Chain of Trust”, řetězec důvěry Let’s Encrypt

ACME a ACME.sh

ACME (Automatic Certificate Management Environment) je v jednoduchosti řečeno protokol pro komunikaci s infrastrukturou Let’s Encrypt, pro manipulaci s certifikáty je nutné použít na své straně klienta, který korektně implementuje právě protokol ACME.

Certifikáty pro každého ?

Jedním z klíčových požadavků pro vystavení certifikátu je ověření identity žadatele, předpoklad je, že pokud žádám o certifikát pro doménu mojedomena.cz, tak jsem schopen ji kontrolovat, nejčastější kontrola je pomocí techniky webroot , do speciálního adresáře (/.well-known/) je umístěna výzva/žádost, pro výzvu si na www.mojedomena.cz/.well-known si sáhne robot Let’s Encrypt a pokud je vše v pořádku realizuje akci (např. vystavení certifikátu), tímto mechanismem dokazuji, že jsem schopen kontrolovat svoji doménu, tedy nejsem např. schopen udělat (za normálních okolností) tento trik s cizí doménou a tím si nechat vystavit certifikát např. pro seznam.cz.

Toto nejčastější postup ověření identity žadatele, nikoliv však jediný, další možnost je DNS mode, který funguje velmi podobně, z principu je patrné, že vše je vymyšleno tak, aby bylo možné masivně a hlavně zcela automatizovaně nasazovat certifikáty, což je cílem, protože vlastní certifikáty mají platnost pouze 90 dní, takže automatická “recyklace” je v nasazení nutnost.

ACME.sh

Existuje oficiální ACME klient Let's Encrypt certbot.

Certbot je napsán v jazyce Python, který toho umí opravdu hodně, ale zároveň jde o poměrně velký kus software se spoustou závislostí, který si na serveru “builduje” vlastní prostředí pro Python, v některých případech, ale toto nechcete a třeba ani nemůžete použít (např. menší servery, embedded,…) v tomto případě sáhněte po scriptu ACME.sh.

ACME.shhttps://github.com/Neilpang/acme.sh

ACME.sh je malý shell script (unix shell) implementující plně protokol ACME, jednoduchý, snadný na použití i instalaci, kompatibilní s bash, nevyžaduje root práva.

ACME.sh a podporované ověření identity:

  • web root
  • standalone
  • DNS

Standalone mode je velmi zajímavý pro servery, kdy nemáte spuštěn www server (Apache/Nginx/…), tedy např. FTP/SMTP servery, acme.sh Vám na dobu nezbytně nutnou emuluje chování web serveru na portu 80 nástrojem netcat (nc), zde již přirozeně je nutné mít práva root.

Instalace a použití je velmi snadné a přímočaré, viz oficiální stránky projektu, dokonce je možné skrze Cygwin provozovat ACME.sh i na Windows.

https://github.com/Neilpang/acme.sh
https://github.com/Neilpang/acme.sh/wiki

Tak pojďme šifrovat, Let’s Encrypt ! 


Chcete pomoci s nasazením HTTPS na Vaše servery ?

MOJEservery.cz
Technické konzultace, implementace, kontaktujte nás.
Kontaktní e-mail:  podpora@mojeservery.cz
Kontaktní telefon: +420 725 714 669