Centralizovaná správa stanic a ostatních prvků v síti - automation/monitoring/alerting a dalsi devops nastroje

CHOROBA --- --- 9:22:57 16.3.2020

MAJA: ja to zkusil a pak zjistil, ze mi asi vic vyhovuje Rundeck.
Rundeck | Runbook Automation
https://www.rundeck.com/

tak nejak ma sice hnusnej webxicht ale prijde mi, ze umi lepsi kouzla s input/output pro ansible script, plus se mi do nej lip ladujou NODy(hosts) z mysql, lip se filtrujou atd

INDIAN --- --- 8:55:16 16.3.2020

MAJA: Ja sem ho nasadil asi pred 2 mesicema, zatim tam toho moc nemam, az na par "udrzovacich" zalezitosti... takze muzu casem poreferovat taky...
Vicemene veskerej setup v pohode, vcetne autentifikace pres SAML... jedinej megavoser je nemoznost pouzivat vlastni inventory pluginy, musel sem je tupe prepsat na skripty.

MAJA --- --- 8:49:36 16.3.2020

1 odpověď

SAMGARR: hraju si s tím teď a přijde mi, že to dává smysl pro skupinu lidí jinak je to overkill. Líbí se mi, že to umí tahat playbooky z GITu, ale na můj GIT server si to stěžuje, že nemůže získat certifikát - a přitom tam je komerční od RapidSSL.

SAMGARR --- --- 8:28:30 16.3.2020

1 odpověď +1

MAJA: az na vyjimky pozitivni

MAJA --- --- 3:29:50 16.3.2020

3 odpovědi +1

používáte někdo Ansible AWX ? Jaké máte zkušenosti z praxe ?

QUIP --- --- 18:50:40 26.11.2019

Jako jo, nejaky reseni na to jsou, ale vsechno mi to prijde zbytecne slozity pro ten use case, ze to potrebuju jednou za rok, respektive pro jeden jedinej pripad, kdy jsem chtel jen vypsat seznam hostu (tzn. ani se nic neposle nikam po siti) a ansible se me stejne pta na to heslo. Coz pri normalni praci je to, co chci, ale ne v pripade, ze chci jen videt --list-hosts.

INDIAN --- --- 14:48:41 26.11.2019

QUIP: a co si treba zakryptovat sudo heslo pomoci vault ?

$ ansible-vault create secrets.yml

- dovnitr heslo:

ansible_become_pass: mypass123

(+ nezapomenout zahrnout secrets.yml do vars)
a pak si vault heslo ulozit do souboru a pouzit ho k --vault-password-file:

ansible all --vault-password-file=my_vault_password.txt -m ping

DEFILA --- --- 14:00:59 26.11.2019

QUIP:
vsak jde, posles si --extra-vars="TVOJE_HODNOTA" a zavolas si ji; problem je, ze (tusim) hodnota too hesla bude nekde citelna ... (a osobne nemam rad --external-vars ...:))

QUIP --- --- 0:07:22 26.11.2019

2 odpovědi

DEFILA: Sudo bez hesla neprovozuju (zamerne). Tak asi jedine ten samostatny config. Skoda, ze to nejde elegantneji jen pomoci parametru v cli, jako to jde u nekterych jinych programu.

DEFILA --- --- 17:33:40 25.11.2019

1 odpověď

QUIP: mít v visudo NOPASSWD: .... ?:) Jinak bych řekl, že buď mít dedikovaný config pro to chceš jednou dělat; případně tam posílat z cli externí proměnou?(má největší prioritu, ale přijde mi to vždy jako prasarna)

QUIP --- --- 20:14:17 23.11.2019

1 odpověď

Da se u prikazu "ansible" (ne ansible-playbook) nejak potlacit dotazovani na heslo pro sudo, jen pro to jedno spusteni, kdyz v ansible.cfg mam sudo_ask_pass=True? Zkratka existuje nejaky opak k --ask-sudo-pass?
Takhle se me totiz dotazuje na heslo, i kdyz chci jen --list-hosts.

DEFILA --- --- 12:41:54 28.8.2019

QUIP: jop, není to perfektní ve všech případech, ale jako ukázka pro Ansible mi to přišlo OK:)

QUIP --- --- 11:02:11 13.8.2019

1 odpověď +1

DEFILA: Ciste teoreticky ten tvuj task (shell: 'egrep ":[1][0-9]{3}" /etc/passwd | cut -d: -f1') muze odchytit i uzivatele, ktery ma UID mimo ten pozadovany rozsah, ale ma takove treba GID, nebo komentar zacina cislem 1xxx

Takze bych tam spis dal awk, ktere bude rozlisovat konkretni fieldy

awk -F: '$3 ~ /1[0-9]{3}/ { print $1 }' /etc/passwd

nektere verze awk nerozumi tomu regexpu 1[0-9]{3}
Tam je pak moznost pouzit

awk -F: '$3 ~ /1[0-9][0-9][0-9]/ { print $1 }' /etc/passwd

nebo

awk -F: '$3 > 1000 && $3 < 2000 { print $1 }' /etc/passwd

RUDOLF --- --- 10:15:39 7.8.2019

FRANCIMOUR: Wiki to má popsané lépe, imho něco jako selinux, jako nástroj tam má být csutil či tak nějak.. prej to jde částečně vypnout..

System Integrity Protection - Wikipedia
https://en.m.wikipedia.org/wiki/System_Integrity_Protection

DEFILA --- --- 8:52:58 7.8.2019

FRANCIMOUR:
ja se v macOSu vazne nevyznam :)

FRANCIMOUR --- --- 8:49:43 7.8.2019

2 odpovědi

DEFILA: Něco takového ...

What Is SIP? macOS System Integrity Protection Explained
https://www.makeuseof.com/tag/what-is-sip-macos/

DEFILA --- --- 8:16:21 7.8.2019

1 odpověď +1

FRANCIMOUR:
Selinux - bezpecnosti politika linuxu, bez ohledu na to jaky jsi uzivatel (at uz root nebo, ne) - pokud tve 'procesy' nemaji spravny "stitek", tak je s zadnym uzivatelem nepustis

FRANCIMOUR --- --- 6:54:16 7.8.2019

1 odpověď

DEFILA: Co to?

DEFILA --- --- 22:04:22 6.8.2019

1 odpověď

FRANCIMOUR: macos má něco ala SElinuch?:))

FRANCIMOUR --- --- 20:56:27 6.8.2019

1 odpověď

Tak jsem šel stepbystep:

crony fungují... echo "hello world" do txt v pohodě,
tak jsem zkusil find vypsat do txt taky v pohodě,
zkusil jsem mazání s -delete a ... smaže se kus a dál už nic,
tak jsem si to nechal vypsat do logu a Find: Operation not permitted
* * * * 2 /usr/bin/find /Users/*/Library/Application\ Support/MobileSync/Backup -type f -mtime +60 -delete >> /Users/karel/Desktop/test.log 2>&1

Hádám, že sice jako root, ale narážím na MacOS SIP.

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?