Конкурс от @kasperskylab_ru

Жизнь сисадмина состоит из множества задач и дедлайнов, из-за чего часто происходят курьезные ситуации, которые иногда даже становятся мемами. «Лаборатория Касперского» предлагает вам поучаствовать в конкурсе и создать свой собственный мем. Придумайте подпись к любой из этих картинок, связанную с информационной безопасностью, и присылайте в комментарии под постом в vk. Мы выберем три самых интересных и подходящих по тематике и вручим авторам призы - жесткие диски на 1 Tb. Результаты объявим 21 октября.

А в повседневной работе верным помощником вам станет простое в управлении и эффективное решение Kaspersky Endpoint Security Cloud. Оно максимально автоматизировано, работает из облака и позволяет управлять защитой откуда угодно. Так что будет время сосредоточиться на интересных IT-задачах... или посочинять мемы :)

#реклама

Завтра пройдет вебинар Zabbix на тему нового агента, который они назвали Zabbix-agent2. Я сам так его до сих пор не попробовал и толком не знаю, что в нем нового. В общих словах читал нововведения. Из основного:

- расширяется при помощи плагинов;
- меньше количество tcp соединений, например, при мониторинге mysql использует одно подключение, которое просто не закрывает;
- поддержка многопоточных проверок, в том числе одновременные проверки различных плагинов;
- написан на Go, соответственно, плагины к нему на нем же и пишутся.

Подробно все изменения описывают сами разработчики в статье на хабре. Рассчитываю завтра узнать какие-то практические особенности и улучшения нового агента. Пока не понял, зачем мне сейчас его брать и использовать взамен старого.

Регистрация на вебинар - https://us02web.zoom.us/webinar/register/WN_J0WEc6rmQ_OBZ-kpabEgLw

​​Хочу поделиться нестандартной информацией. Я тут недавно полдня провозился со своим ноутбуком. Как многие уже знают, я люблю ноутбуки Thinkpad, в частности модель x220 за удобное соотношение размера экрана (12,5") и разрешения (1366х768), а так же за клавиатуру конкретно в этой модели. Так как я знаю, что много людей пользуются thinkpad-ами, пишу эту заметку.

Я очень долго пользовался моделью с процессором i5. Но чуть более полугода назад, чтобы продлить жизнь этого ноута, с которым не хочется расставаться, приобрел модель с более производительным процессором i7-2640M. У него базовая частота 2,80 GHz, но в режиме Turbo Boost может повышаться до 3,2 конкретно в моем случае.

И все бы ничего, но когда частота подскакивает до 3.2 GHz, камень очень сильно греется (до 95°C). Долгое время я думал, что термопаста высохла, но было лень разбирать ноут. В итоге я это сделал, но ничего не изменилось. Вся система охлаждения в норме, все работает, но процессор все равно греется. А потом включается throttling и все начинает жутко тормозить. Приходится снимать нагрузку и ждать пока остынет. Работать в это время некомфортно.

Штатно я не нашел, как выключить Turbo Boost или понизить частоту процессора. В итоге, зашел в расширенные настройки режима электропитания в винде, в параметре Максимальное состояние процессора установил 95%. И все. Процессор работает только на частоте 2.8 МГц и даже если долго на 100% загружен, не нагревается выше 85°C, не включается тротлинг, ничего не тормозит. На быстродействии по факту это никак не сказалось, так как на 3,2 проц. фактически и не работал, зато стало все стабильно, без тормозов.

Я подозреваю, что изначально все было в порядке, а у меня просто от времени термотрубки системы охлаждения стали хуже работать, поэтому процессор стал нагреваться в пограничном режиме. Ноутбуку уже лет 8-9, но тем не менее с i7, 16Gb памяти и двумя SSD он успешно решает все поставленные задачи.

Дополнительно советую всем владельцам Thinkpad программу - TPFanControl. Для меня она стала настоящим открытием. Несмотря на то, что написана в 2009!!! году, работает до сих пор. С ее помощью можно гибко управлять кулером Thinkpad почти всех моделей. Я сделал так, чтобы кулер начинал вращаться при температуре выше 60 градусов. В итоге ноут большую часть времени вообще бесшумен. Штатный контроллер вентилятора так не умеет и он хоть чуть-чуть но вращается постоянно.

Вы знаете, зачем Microsoft переименовали Мой компьютер в Этот компьютер? В этом видео представлена одна из версий 🙂
https://www.youtube.com/watch?v=3XliP_OTjuk

​​Мне тут попался на глаза очень любопытный гипервизор XCP-ng - https://xcp-ng.org. Построен на базе гипервизора Xen. Из приятного - базируется на Centos 7, штатно поддерживает установку на mdadm (неужели хоть кто-то догадался это сделать без танцев с бубном), управляется виндовым клиентом, аналогом ксеновского XenCenter, либо в браузере через Xen Orchestra.

Если вас по каким-то причинам, как и меня, перестал устраивать XenServer, ныне Citrix Hypervisor, можете без проблем переехать на xcp-ng. Никаких лишних телодвижений делать не надо, обычный экспорт - импорт решает вопрос. Я в свое время уехал с него либо на Proxmox, либо на Hyper-V.

Я однозначно буду смотреть и пробовать этот гипервизор. Может статью напишу, если он меня заинтересует. Раньше часто использовал XenServer, но после выхода 7-й версии завязал с ним, так как ушла поддержка установки на софтовый рейд mdadm.

Собрал большую статью из основных материалов моего сайта, касающихся работы небольшого офиса (шлюз, почта и т.д.). Немного дополнил все это своими мыслями и соображениями. Привел конкретный пример с приобретением железа и распределения нагрузки виртуальных машин.

В очередной раз напоминаю, что все написанное мной на сайте не истина в последней инстанции. Я просто делюсь своим опытом, который может быть всяким, как полезным так и ошибочным.

Для всех замечаний есть комментарии, которые я не модерирую, удаляя только спам. Остается все, в том числе и критика. Все замечания по существу я учитываю и потом использую при очередном обновлении статьи. Некоторый материал обновлялся уже по 3-4 раза на сайте за все время его существования.

https://serveradmin.ru/postroenie-it-infrastruktury-nebolshogo-ofisa/

Смотрел недавно запись выступления с HighLoad++ 2019 MySQL 8 vs. MariaDB 10.4 - Feature Comparison. Всегда было интересно узнать, чем реально отличается Mysql от своего форка MariaDB, который теперь по дефолту почти во всех репах популярных дистрибутивов Linux. Связано это с особенностью лицензирования Mysql, в то время как Mariadb "fully GPL licensed"

Хотел сделать выжимку из выступления, потом передумал, потому что все уже сделано за меня. Есть две замечательные презентации. В первой начиная с 10-го слайда идут конкретные сравнения функционала. А во второй сравнение производительности разных версий Mysql, в том числе MariaDB. Можете сразу мотать в середину к графикам.

Если верить представленным тестам, то Mysql 8 быстрее всех остальных. Насколько можно судить о достоверности полученных данных - не знаю. У меня нет возможности их проверить. У автора тестов интересный блог - http://dimitrik.free.fr/blog/. Например, вот статья на тему того, какая файловая система, xfs или ext4 лучше для mysql сервера.

По сравнению mysql vs mariadb вынес для себя следующее:

1️⃣ В обычном, не highload проекте, без тонкого тюнинга бд вы не заметите существенной разницы в производительности.
2️⃣ Более заметна разница в дополнительном функционале, который может сильно различаться (auditing, backup, cluster и т.д.)
3️⃣ Для MySQL существует версия Enterprise Edition с платным расширением функционала.

#mysql #заметка

Очень информативный вебинар на тему предобработки данных на самом Zabbix Server - https://www.youtube.com/watch?v=Q9eSrzifOOE

Для тех, кто не понимает, о чем идет речь, приведу пару примеров. С помощью предобработки данных можно сразу же в айтеме выполнить какое-то преобразование. Допустим, вы получаете json строку, а вам нужно только одно значение из нее. С помощью предобработки в виде jsonpath, вы оставляете конкретное значение, остальное отбрасываете. У меня на сайте есть пример подобной предобработки.

Так же с помощью предобработки можно регулярными выражениями парсить значение айтема. Например, вы можете через http агента забрать статус web сервера nginx и сразу же распарсить его регулярками на зависимые элементы. Этот вариант так же описан в моей статье про мониторинг nginx и php-fpm.

Ну и много других более простых преобразований, таких как арифметические действия, обрезание значений, обработка джаваскриптом и т.д. В самом видео еще больше примеров, так что советую посмотреть, если вам интересна данная тема.

Лично мне очень не хватает простого препроцессинга в виде округления дробного значения до целого. Наверно это можно делать с помощью javascript, но я этого не умею.

#zabbix #заметка #видео

Итоги конкурса от @kasperskylab_ru
За эту неделю мы убедились, что сисадмины очень креативные и творческие люди. Победителями нашего конкурса становятся: первое место – Константин Шавлов за мем с котиками, второе место – Андрей Лапин за мем «вставай, мы все уронили», и третье место – Игорь Чирков за мем с паролем.

«Лаборатория Касперского» благодарит всех за участие и напоминает, что в повседневной работе верным помощником вам станет простое в управлении и эффективное решение Kaspersky Endpoint Security Cloud. Оно максимально автоматизировано, работает из облака и позволяет управлять защитой откуда угодно. Так что будет время сосредоточиться на интересных IT-задачах... или посочинять мемы :)

Написал небольшую статью по подключению к микротикам через winbox. Разобрал вопросы доступа по mac, ограничение подключения или его запрет, хранение и шифрование паролей и некоторые другие вещи.

https://serveradmin.ru/mikrotik-winbox/

#mikrotik #статья

Старенький розыгрыш сисадмина с заменой мониторов. Возможно, кто-то еще не видел. Шутка немного туповатая, но ролик смотрится задорно благодаря закадровой озвучке.

Админ, конечно, растерялся и вышел из ситуации не очень, лазая под столами. Можно было как-то отшутиться и обратно моники переставить, либо оставить как есть. Пусть возвращает обратно тот, кто это сделал.

Помнится в мою бытность сисадмином в офисе, на первое апреля кто-нибудь обязательно то мышки заменит, то телефонные провода перепутает, то еще что-то. Никогда не ходил решать такие проблемы, предлагая разобраться самим шутникам.

https://www.youtube.com/watch?v=6IXHVETDZ0k

Хочу поделиться парой советов на тему мониторинга. Они будут актуальны для любой системы, которая у вас следит за сервисами.

1️⃣ Если у вас срочные алерты висят незакрытыми днями и неделями, можете смело их отключать или менять. У меня это постоянно происходит. Изначально настраиваешь мониторинг и думаешь, что вот на это надо реагировать. А потом то времени нет, то забудешь и по факту оказывается, что алерт не очень то и важный. Периодически захожу в мониторинг и прорабатываю подобные триггеры.

2️⃣ Не всегда есть необходимость реагировать на метрики, за которыми стоят вышестоящие метрики, напрямую зависящие от первых. Лучше делать алерты на более высокоуровневые сущности. Приведу конкретный пример, о чем идет речь.

Допустим, вы мониторите доступность сайтов. Для них есть триггеры, следящие за кодами ответов веб сервера, за скоростью ответов и за полосу пропускания, с которой сайты отдают данные. Сайты живут на отдельном сервере. На этом сервере есть триггеры на нагрузку на процессор, на память и т.д.

У вас периодически случаются какие-то временные наплывы посетителей или ботов, делаются дампы базы данных, бэкапы информации и т.д. Все это может приводить к срабатыванию триггеров на память, диск, сеть и т.д. Но для вас они не являются критичными, так как основное это метрики с сайта, которые могут не выходить за определенные вами пороги. То есть по факту все в порядке, но периодически вы будете получать алерты от других метрик.

Вы можете гибко настраивать временные интервалы срабатывания триггеров, калибровать их, отлаживать пороговые значения и т.д. А можете просто все отключить и оставить алерты только на метрики непосредственно сайтов. А дальше уже разбираться, в чем была проблема, так как все данные собирались, есть графики и т.д. Вы даже триггеры можете оставить, чтобы потом проще было ориентироваться в ситуации, просто оповещения с этих триггеров отключите, чтобы они вас не отвлекали.

#zabbix #заметка

​​⚡️ В эти выходные получил отличный урок на тему мониторинга и построения инфраструктуры. Есть небольшая vpn сеть на базе openvpn. Изначально она была развернута в 2010 году.

С тех пор она переходила их рук в руки, переезжала с сервера на сервер. При этом неизменными оставались 2 вещи:

1️⃣ Реализация на базе openvpn.

2️⃣ Корневой CA сертификат центра сертификации для подписи клиентских сертификатов.

Когда я в мониторинге увидел, что все вообще развалилось, подумал, что либо проблемы с интернетом на сервере мониторинга, либо на openvpn сервере. После того, как убедился, что и там, и там все в порядке, крепко призадумался.

Пошел на vpn сервер и увидел по всем туннелям кучу всяких ошибок на подключение клиентов. Сразу стало видно, что упали все туннели для всех клиентов. В голове мелькнула мысль, что протух самоподписанный CA, хотя я с этим ни разу не сталкивался. Проверил и убедился, что это так.

CA сертификат генерировался с помощью скриптов easy-rsa, где по дефолту срок жизни сертификата стоит 10 лет. Обычно никому в голову не приходит это менять, так как кто планирует инфраструктуру на 10 лет вперед? Там либо ишак, либо падишах сдохнет.

По факту так и случилось, но за это время неизменно использовался один и тот же сертификат. И вот спустя 10 лет он превратился в тыкву. К удивлению обнаружил, что новый можно выпустить с привязкой к старому.

# openssl x509 -in ca.crt -days 3650 -out ca-new.crt -signkey ca.key

При этом часть клиентов сразу же подключилась и продолжила работу как ни в чем не бывало. А для части пришлось перевыпустить сертификаты с новым CA.

А у вас протухали 10-ти летние сертификаты?

Нашел любопытную утилиту для тестирования конфигурации nginx - https://github.com/yandex/gixy. Написана на python, ставится очень быстро через pip. Пример для centos 8:

# dnf install python3-pip
# pip3 install gixy
# gixy /etc/nginx/nginx.conf

И дальше смотрите рекомендации. Я протестировал на nginx, который работает в качестве proxy и получил рекомендацию, заменить

proxy_set_header Host $http_host;

на

proxy_set_header Host $host;

И тут же ссылка на описание, почему так стоит сделать - https://github.com/yandex/gixy/blob/master/docs/en/plugins/hostspoofing.md. В общем, рекомендую, особенно если на потоке много работаете с nginx. Надо будет все свои шаблоны конфигураций проверить этой штукой.

​​Вчера ушла в релиз версия Zabbix 5.2 - https://www.zabbix.com/ru/release_notes
Некоторые нововведения я уже упоминал в предыдущих заметках про Zabbix. Вот основные:

1️⃣ Появился новый тип элемента данных - script. С его помощью можно существенно расширить возможности мониторинга. Например, при наблюдении за микросервисами и приложениями. Отрадно видеть такие изменения. Явно видно, что Zabbix старается идти в ногу со временем.

2️⃣ Комплексные экраны полностью заменяются дашбордами. Их теперь можно будет создавать в шаблонах (наконец-то). Существующие экраны будут трансформированы в дашборды автоматически.

3️⃣ Появились новые функции триггеров для работы с историческими данными.  В документации еще не вижу подробностей. На одном из скринов видел функцию trendavg. Надо ждать обновление доков с подробностями использования.

4️⃣ Улучшили ролевую модель прав пользователей для гранулярного управления правами. Не понял, о чем речь, не разбирался еще. Думаю, просто более гибко можно настраивать права на объекты и элементы мониторинга.

5️⃣ Появились готовые шаблоны для мониторинга Asterisk, DB Oracle, Ceph, Squid, Php-fpm. Многие костыли, которые я городил много лет для мониторинга всех этих программ, становятся не актуальными. Напоминаю, что чуть раньше появился шаблон для мониторинга mssql server.

6️⃣ Появилась встроенная поддержка протокола modbus. Я как раз недавно настраивал подобное. Для этого требовалась компиляция и установка внешнего модуля. Теперь все работает из коробки.

7️⃣ В качестве стандартного формата для шаблонов становится YAML, вместо XML.

8️⃣ Настройки языка и часового пояса вынесли наконец-то в веб интерфейс. Их можно глобально указать во время установки сервера или отдельно в настройках пользователя.

Ну и много других более мелких изменений. Я пробежался глазами по release_notes и перевел то, что показалось наиболее интересным. Еще наконец-то починили баг в Latest Data с отображением списков.

В общем, Zabbix не стоит на месте, развивается. Свою нишу в мониторинге удерживает твердо. Если кто-то не читал мою статью про сравнение Zabbix vs Prometheus, можете ознакомиться. Описал своими словами отличия.

#zabbix #заметка