Здравствуй лорчик, сегодня я решил поделится о накипевшем и заодно спросить совета.

Ситуация такая: Работаю удалённо админом на одном проекте. Команда состоит из нескольких программистов и меня ( единственного админа ).

Проблема заключается в том что CTO и некоторые члены команды слышали про администрирование только из фильмов и картинок, но это не мешает им частенько предлагать использовать ту или иную технологию когда в этом нету необходимости.

На этот раз от меня требуют чтобы КАЖДЫЙ конфиг изменялся через ansible и написать сценарии для каждого изменённого конфига. С моей точки зрения это дичайщий overkill учитывая тот факт что в инфраструктуре есть сервисы в которых конфиг меняется раз в пол года, или вовсе не менялся с момента установки, в некоторых местах в конфиге были подправлены всего 2 строки. А так же у нас нету похожих виртуальных машин, каждая вм выполняет свою уникальную роль.

С одной стороны я могу не парится, т.к. всё равно у меня оплата почасовая, но с другой стороны напрегает разумность данной задачи.

При попытке всё это оспорить я получил следующий ответы:

• Мы хотим быть уверенны что в случае потери сервера сможем воспроизвести всю инфраструктуру
• Это нам поможет при миграции или масштабировании

Мои попытки разубедить этих техно-хипстеров были безуспешными.

Нет не думайте что я не боюсь ansible. Я даже умею им пользоваться на базовом уровне, иногда прибегал к его помощи при необходимость.

В инфраструктуре много чего было сделано руками:

• Установлены пакеты
• Подправлены конфиги для:
  • nginx
  • elasticsearch
  • mongodb
  • postgresql
  • redis
  • logrotate
  • sudoers
  • sysctl.conf
• Созданы пользователи
• импортированы публичные ключи для ssh
• Изменены права на некоторые файлы
• И многое другое

К чему я всё это? Меня интересует ответ на следующие вопросы.

Когда стоит и не стоит использовать ansible ( и прочие оркестраторы ) ?
Что вы делаете когда вам дают неразумные задачи?
И как вы решаете подобные вопросы?

Сделал себе профиль на сайте фрилансов. По началу никто не клювал, из за того что свежий профиль.

Понизил ставку зарплаты до самой низкой планки 3$/h.
Нашёл вакансию где чувак ищет сисадмина по линуксам и aws. В самой вакансии нагло указанно что если вы желаете денег, то эта вакансия не для вас. Зато, работая у них можно научится многому новому.

Ок, нужно же чем-то своё виртуальное резюме разукрасить. Отмечаюсь в вакансии и спустя пару часов меня приглашают в slack.

Просят моё CV, говорят что оно нужно с точки зрения безопасности. ( но связь мне как то не видна)
Просят чтобы я описал свой профессиональный опыт.
Спрашивают умею ли я программировать
Спрашивают знаю ли я AWS.
В общем всё проходит как обычное собеседование, но тут начинается веселуха.
Негр решил у меня спросить что такое настоящая команда.
Я малость сбит с толку, но отвечаю на вопрос.
Негр принимает вопрос, но так легко не сдаётся, на этот раз он спрашивает "Что такое лояльность?".
Почувствовав неладное я пытаюсь дать понять джетельмену что это невходит в его 3-ёх доларовую подписку с AWS и с Линуксом. И если его высочество изволило проверить мои скилы Иглиша, оно может сделать это более изящно.
На что мне ответили «Thank you for your time», и меня кикнули из слэка.

Теперь пытаяюсь понять, это я такой некультурный или 3$ за такое это норм цена)

Коротко о себе: 3 Года опыта работы. Имел опыт работы с:

• Zabbix
• Nginx
• Apache
• Elasticsearch & Logstash & Kibana
• Linux deb/rpm based, Gentoo, OpenSuse.
• VMware
• Cisco ( примерно уровень CCNA R&S)
• Squid ( anonymous/transparent/cascade )
• Ftp/nfs/samba само собой.
• Отбить l7 dos/ddos атаку c помощью тюнинга nginx/iptables.
• HAproxy
• Keepalived
• MySQL Standalone/Galera Cluster
• Azure/AWS

Писать на andreibrajnicov g m a i l.com

Расматриваю только part-time и удалённые предложения.

Требования:

• Груповой чат
• Возможность звонить
• Передавать файлы
• Сообщения должны шифроваться
• Идеальной была бы поддержка PKI+OCSP, и чтобы нельзя было прочитать сообщения если сертификат отозван.

Что то подобное существует?

P.s. давайте будем серьёзными и не будем предлагать Viber и телеграм =)

Думаю эта тема так же будет интересна пароноикам лора.

Update: Объязательная поддержка:

• MacOSX
• Windows
• Linux
• Android ( опционально )

Dear Amazon Web Services Customer,

Your volume experienced a failure due to multiple component failures and we were unable to recover it. Although EBS volumes are designed for reliability, including being backed by multiple physical drives, we are still exposed to durability risks when multiple concurrent component failures occur before we are able to restore redundancy. We publish our durability expectations on the EBS detail page here (http://aws.amazon.com/ebs/details).

Теперь придётся доставать 120 гб базы из бэкапов. А так хотелось спать...

Добрый день колеги.

Есть команда программистов у которых есть production и staging сервер. На нём крутится веб-приложение. Проблема заключается в том их количество растёт, а staging они могут использовать только по очереди. Сначало кто то в общем чате спрашивает если staging свободный, при получении положительного ответа деплоит на него свои изменения. Из за такого подхода иногда члены команды задерживают друг друга. На локалхосте такое не поднять из за того что используются огромные БД.

Меня попросили помочь им.
Было принято решение использовать docker + virtual host через nginx который работал бы на различных портах.

На данный момент в голове крутятся пару идей, но они слегка костыльные и грязные.
Так же нужно учесть способ удаления неиспользуемых Docker контейнеров, т.к. там есть личности в стиле «ААааа... у нас нету места.... Помогиии!!!». Нужно сделать так чтобы они потом меня не беспокоили, уровень познания линукса там разный. Буду рад если кто то подскажет направление в котором можно двигаться.

P.s. Колебался перед выбором раздела между Development и Admin.

Добрый день. Есть пачка виртуалок которые потребляют достаточно много трафика ( пару терабайт за 2 месяца ).

задача: Нужно собрать статистику о трафике. Интересует:

• Source IP
• Destination IP
• Source Port
• Destination Port
• bytes send/received
• Traffic type

Из готовых решений мне известны только NetFlow решения. Но это не совсем то что мне нужно.

Кто то может подсказать готовое решение?

Добрый день. Есть большое количество сертификатов. Нужно как то вести их учет. Идеально было бы получать автоматическое оповещение за 1-2 месяца о скором истечение сертификата.

Можно конечно записать все в файлик и периодически проверять их, но временами это забывается.
Единственное что мне приходит в голову это вбить все даты в календарик, но это решение мне не очень нравится.

Есть у кого то подобный опыт?

Добрый день дорогие лоровцы.

На прошлой неделе я собеседовался в Red Hat на должность Technical Support Engineer. И думаю что кому то может быть интересно увидеть список вопросов:

• Представь себе что в один день к тебе подходит начальник и говорит что текущая версия какой то либы/программы уязвима. Расскажи нам как ты обновишь данную либу на 30-ти серверах сразу.
• • Тебе нужно установить операционную систему на 30 компов сразу. Расскажи как ты это осуществишь. ( чем больше я отвечал тем больше вопросов мне задавали )
  • А что такое kickstart файл?
  • А что он из себя представляет?
  • Что можно и что нельзя с его помощью сделать
  • Ты сказал что ты загрузишь образ по сети. Что это за образ такой?
  • Что он из себя представляет?
  • Какова связь между образом и kickstart файлом
• Расскажи нам как загружается линукс вплоть до экрана ввода логина.
• Как стартуют иксы?
• Кто запускает даемоны?
• Что из себя представляет система инициализации и для чего она нужна?
• Какие системы инициализации ты еще знаешь?
• Как называется выполняемый файл у системы инициализации SystemV
• Какую область администрирования Linux ты лучше знаешь? Сеть/Виртуализация/не помню что тут было.
• Что ты слышал про контейнеры?
• Как работает Docker? Как там реализована изоляция приложений?
• После того как я сказал что знаком с docker'ом меня спросили если я его использую на своей основной работе или для собственных нужд.
• Что такое lvm?
• Чем отличается lvm от partition?
• Тут мы импровизировали. Он прикинулся клиентом который звонит по телефону и говорит что у него не работает почта а я должен вытянуть из него логи, подробно объяснить какие команды выполнить, так же он пытался тупить и разозлить этим меня. Во время этой импровизации мы мысленно проверили iptables, выхлоп команды nslookup и логи postfix'a. Выяснили что проблема в DNS. Потом подключились к шлюзу на линукс и пытались с него дебажить проблему.
• что будет если сделать chmod 444 /bin/chmod и как это решить?

примечание к вопросу связанному с chmod: Не тут то было. На лоре каждые 2-3 месяца кто то создаёт подобную тему. И как решение я ему предложил:

cp /bin/cp /tmp/chmod
cp /bin/chmod /tmp/chmod
./tmp/chmod 755 /bin/chmod

Хотя чувак который собеседовал меня сказал что решение не верное. И как то очень быстро попрощался, скорее всего торопился на следующее собеседование. Соответственно я не успел ему доказать обратное.

Каково продолжение? На этой неделе мне должны сообщить результат.

P.s. Если что то еще вспомню тогда добавлю.

Дело произошло пол года назад.
Моя основная работа мне надоела, я нашёл интересное объявление на сайте объявлений и скинул своё CV. Мне ответили достаточно быстро. На след. день мне позвонили и позвали на собеседование.

Собеседование проходило достаточно хорошо. В кабинете был я, HR, и тим лид сисадминов. Одним из первых вопросов был где я работаю, т.к. в CV эту информацию я не указал. Мне задали немного технических вопросов, и спустя 30 минут мы попрощались.

Дальше следует самое интересное. HR или Сисадмин заходит в кабинет где работают все админы и спрашивает их: -Кто то что то слышал про контору «Рога и Копыта»?
-Я я я знаю. У меня там друг работает главным админом.
-Ну ка звони ему и наведи справки про этого чувака который был у нас на собеседовании.
-Фигня вопрос.

Дальше этот чувак без всякого стыда и совести звонит моему начальнику и спрашивает стоит ли меня брать в их контору.
Мой начальник не по жадничал и сказал «да, работает у нас такой. Толковый парень. Можете брать».

Я с такими ровными чуваками встретился впервые.

История показалась интересной и я реши с ней поделится.Не спрашивайте имя компании, т.к. мало вероятно что вы про них что то слышали. Не все пользователи лора москвичи или россияне.

Лоровец, а ты бывал в подобной ситуации?

Зашёл я как то в магазин и купил себе несколько пар джинс.

После этого зашёл в маркет, оставил вещи в шкафчике, закрыл их ключом и пошёл за покупками. Подойдя к шкафу я встретил знакомого, беседуя с ним открыл свой шкафчик и достал из него вещи. Придя домой обнаружил что в кульке отсутствуют мои джинсы. А точнее там какие то витаминки, пилюли, полотенца и прочее, но джинсов там нету.

Тут я начинаю вспоминать где я прокололся. Потом вспомнил что встретив знакомого я всё своё внимание выделил ему и для шкафчиков ничего не осталось. И я даже не смотрел какой отсек открывал.

Возвращаюсь в магазин, там уже бабка нервничает что у неё украли дорогие лекарства. Мы начинаем с охраником выяснять что произошло.

Оказалось что я положил свои вещи во второй шкафчик а забрал из первого. Самый большой парадокс заключается в том что моим ключом я мог открыть свой отсек и отсек бабки, а она своим ключом могла открыть только свой отсек.

Итог: Учи криптографию лоровец, ибо приватный и публичный ключ сошёлся)

Добрый день дорогие лорчане.

У меня необычное ТЗ: нужно как то логировать локальное время пользователей которые обращаются к ntpd серверу.

http://doc.ntp.org/4.2.4/monopt.html тут я прочитал что нужно логировать их используя peerstats или rawstats.

Конфиг получился примерно таким:

tinker panic 0
driftfile /var/lib/ntp/drift
logfile /var/log/ntpstats/ntp.log
logconfig =all
statsdir /var/log/ntpstats/
statistics loopstats peerstats clockstats rawstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
filegen rawstats file rawstats type day enable
filegen protostats file protostats type day enable
server pool.ntp.org iburst

В результате rawstats заполняется данными. Но все работает не совсем так как я ожидал. В rawstats попадает только время ntp серверов к которым я обращаюсь, а клиенты которые ко мне обращаются не логируются в этот файл. Хотя согласно моей ссылке

rawstats
Record timestamp statistics. Each NTP packet received appends one line to the rawstats file set:

Собсно вопрос: что я делаю не так?

Добрый день дорогие лорчане. Решил на досуге прочитать ман от ssh-keygen. И нашёл интересную возможность данной программы.

-F hostname
Search for the specified hostname in a known_hosts file, listing any occurrences found.  This option is useful to find hashed host names or addresses and may also be used in conjunction with the -H option to print found keys in a hashed format.

Но по непонятным причинам эта штука не работат.

пробовал так

ssh-keygen -H -F hostname
ssh-keygen -F hostname

Но комманда молчит. Пробовал скормить существующий и несуществующий hostname, но $? всё время выдаёт 1.

Как ей пользоваться?

Добрый день лорчане.

Сегодня мы поговорим о крутых админов которые получают хорошие бабки, являются профессионалами и любят свою работу.

Собсно вопрос: А какие навыки/знания/технологии востребованы в Enterprise мире?
Единственное что мне приходит в голову это: VMware, Cisco, Oracle DB. Но ведь есть и другие технологии. Но какие?
Или всё таки востребован некий AIX или Solaris?

Если вам нечего написать но вы знаете человека который может поведать интересную историю, тогда кастаните его.
Я буду первым erzent

Мамкиных аналитиков которые не чувствуют разницы между Ъ-админом и эникейщиком попрошу уйти нафиг с пляжа.

Здравствуй LOR. Нужно настроить suricata как Host based IPS. Предупреждаю что раньше с этим дело не имел.

Есть сервер CentOS7 на котором крутится nginx как reverse proxy, и на нём нужно настроить suricat'у чтобы анализировала 80-ый порт.

Что я сделал:

• Скачал сырцы и компильнул их с поддержкой nfq.
• добавил iptables правило

  -A INPUT -p tcp --dport 80 -j NFQUEUE --queue-num 2
  -A OUTPUT -p tcp --sport 80 -j NFQUEUE --queue-num 2
  

• Слегка подпилил suricata.yaml

  nfq:
    mode: accept
    repeat-mark: 1
    repeat-mask: 1
  

• Включил логирование дропнутых пакетов

    - drop:
        enabled: yes
        filename: drop.log
  

• Запустил suricat'у

   suricata -c suricata.yaml -q 2

• И натравил на свой прокси пару эксплойтов, wafw00f и w3af.

Что получил в итоге:

• Счетчики iptables нарастают
• fast.log ругается на атаку.
• http.log показыват http трафик
• но в drop.log пустота. И соответсвено suricata ничего не дропает.

В целом конфиг почти что дефолтный, особо и нечего показывать suricata.yaml
Прочитал статей 20, всюду указывают что этого достаточно для host based ips. Но у меня выходит немного иной результат.
suricata --build-info

Дорогие знатоки. Что нужно еще подпилить чтобы оно работало как IPS?

UPDATE : такс... я заметил что во всех правилах как action выставлен alert. Я попробовал заменить его на drop и в drop.log посыпались сообщения.

Теперь у меня другой вопрос? Можно ли как то настроить drop нежелательным пакетам чтобы не приходилось изменять все правила?

Призываю всех-всех-всех экстрасенсов лора, ибо есть одна сетка с аномалией.

Есть одна тян сетка. Выглядит она примерно так
tp-link router2 -> tp-link router1 -> internet. Пользователи находятся за вторым роутером и соответственно они за двойным натом.

В чем собсно проблема:
Есть один сервак к которому пользователи иногда должны подключатся (ftp/http/https). Но tcp соединение устанавливается в зависимости от лунных фаз.

Как это выглядит:
Просто пропадает соединение до сервера. Стоит немного подождать (5 мин) и всё начинает работать. Самое удивительное что пользователя А может испытывать трудности а пользователь Б нет.

Что я выяснил после небольшого дебага:

• Снифинг показал что пакеты проходят через шлюз а обратно ответ не приходит.
• когда TCP коннект пропадает, то пинг/трэйс спокойно работает. Вроде бы проблема кроется выше L3
• Проблеме подвержены только Linux рабочие станции. Из под винды всё работает должным образом.
• Сервер и локалка подключены к тому же провайдеру.
• Проблема воспроизводится только из данной локалки и при подключении к указанному серверу.
• в локалке максимум 15-20 рабочих станций из которых обычно активны 10.

Я понимаю что в данной ситуации нужно было еще поснифить трафик после первого роутера и после ISP, но это не удалось сделать.

Господа, есть у кого то какие то идеи насчет данной аномалии?

Добрый день дорогие ЛОРчане.

Как то неожиданно папа собрал некую сумму денег и решил мне её вручить, аргументировав это тем что выполнил последний родительский долг. Посоветовал потратить деньги на образования или на квартиру.

Этими деньгами нужно с умом распорядиться, но мне не хватает то ли ума то ли фантазии на достойную идею.

Коротко о себе: Я студент, учусь по специальности Информационная Безопасность и параллельно работаю системным администратором. По окончанию института мечтаю завести трактор, пока не решил куда. Меня тянет во всякие развитые страны : Германия, Англия, Япония, а так же во всякие необычные и экзотические : Китай/Индия.

Пока что рассматриваю 3 варианта вложения денег:
1) купить 1-у комнатную Квартиру. Хотя я не уверен что она мне нужна на 2-3 года.
2) Сертификация и обучения. В городе где я живу можно пройти курсы по :
Mikrotik : MTCNA, MTCWE, MTCTCE, MTCUME, MTCRE, MTCINE ( все уровни )
Cisco : CCNA R&S, CCNP R&S, CCNA Security.
VMware : VCP-DCV

И просто сдать экзамены по: SuseLinux, Comptia, LPIC, и т.д.
Думаю с этими сертификатами трактор завести будет достаточно легко.

3) Открыть собственное дело ( хотя идей просто 0 )

Для чего я всё это рассказываю?
Надеюсь мне местные лоровцы помогут расставить приоритеты или просто дадут умный совет.

В Молдавии банкоматы 4-ёх банков были неработоспособны в течении 48 часов. Технический дефект произошёл вечером 21-ого числа и был устранён сегодня пару часов тому назад. Но всё таки деньги можно было получить прямо из филиала банка простояв в большой очереди.

Как вы думаете что у них могло произойти чтобы для восстановления потребовалось столько времени? Единственное что приходит в голову это восстановление рейда.

Источник [1] [2]

kukara4 Что думаешь по этому поводу?

Hello World Lor!

Дано :

• Linux сервер ( intranet.example.com )
• AD Серер example.com

На intranet'е настроен apache + kerberos + sso. Всё прекрасно работает. Вот только появилось требование - сделать чтобы приложение работало и на другом домене ( допустим domain.com) но с аутентификацией пользователей с домена example.com. Если просто добавить/изменить virtualhost то по новому домену sso аутентификация перестаёт работать.

Внимание вопрос : Как настроить некий cross domain authentication?

Как то мой одногрупник осознал что он созрел для работы. Он создал CV и загрузил его на местный сайт объявлений. Он был без опыта и искал работу phpшником.

Следующий рассказ демонстрирует его глупость гордость.

Спустя несколько дней ему позвонил суровый мужик и у них начался следующий диалог:
-Добрый день, я представитель завода «Рога и копыта», вы мне особо не нужны но я всё же решил позвонить вам и предложить своё предложение.
-Добрый день, я вас внимательно слушаю
-Скажите пожалуйста, как вы относитесь к освоению новых для вас технологий и изучению нечто особенного с последующим трудоустройством?
-О каких технологиях идёт речь?
-Программирование микроконтроллеров для ракет на asm и си.
-Извините но мне это неинтересно. Я хочу быть PHPшником.
гордо заявил он..

Услышав эту историю я подумал что его решили трольнуть. Но через несколько недель я действительно нашёл объявления в котором гласит что в эту компанию ищут программистов со знаниями asm/c/c++.

дискасс...