• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    INDIANCentralizovaná správa stanic a ostatních prvků v síti - automation/monitoring/alerting a dalsi devops nastroje
    Diskuse o vsem, co se tyka nastroju ulehcujicich praci nejen administratorum ...

    Sirsi zaber vitan (resp. co se neveslo do nazvu) :
    Inventarizace * IT Asset Management * Centralizovana sprava instalaci / aktualizaci * Zalohovani stanic * Sprava licenci

    Par tipu :
    Saltstack * Ansible * OCS Inventory NG * Fusion Inventory * GLPI * Mandriva Pulse2 * IBM Tivoli * Microsoft SCCM * BackupPC * Bacula * Puppet * Chef * RackTables * Zabbix * Foreman * Cfengine * Wix Toolset * WKPG * Symantec Client Management Suite
    chybi tu neco ? sem s tim ;)
    rozbalit záhlaví
    INDIAN
    INDIAN --- ---
    VESNACH: vidim ze na githubu je podobnejch projeektu nekolik
    VESNACH
    VESNACH --- ---
    nenavedl by me nekdo, jak optimalne z "ansiblovat" instalaci bacula-fd + vytvoreni konfigu na dir a sd serveru? Do ted jsme to resil scriptem, ale chtel bych to udelat hezci...
    MAJA
    MAJA --- ---
    QUIP: jj, nakonec jsem to vyřešil rsyncem pouštěným z virtuálky, který se připojí k certifikační proxy pod non-root userem, který má v home nalinkované soubory ...
    QUIP
    QUIP --- ---
    MAJA: Ja bych na to sel cestou volani nejak skriptu z toho proxyserveru. Tedy proxy zavola nejakou neprivilegovanou cestou neco na tom stroji, ktery potrebuje obnoveny certifikat a ten pak teprve provede stazeni certifikatu z tveho cert storu na proxy (at uz rsyncem, pres http, sftp whatever) a pak provede reload potrebnych sluzeb - jenom tenhle posledni krok bude potrebovat rootovska opravneni.
    Zajimavou moznosti u rsyncu je treba pre a post-xfer exec, kdy ti ten rsync posloucha jako daemon a tim, ze se na nej pripojis, se spusti nejaka akce, ktera uz muze probehnout pod rootem. Pritom samotny modul rsyncu je chrootnuty a muze byt read only.
    BOAR
    BOAR --- ---
    MUXX: co třeba wildcard? *.intranet.biz?
    MUXX
    MUXX --- ---
    BOAR: Ale jo mas pravdu. Spis je to prezitek z doby kdy LE nebylo. Vsechno co ma uzivatele uz jede na LE. A pokud nechci mit verejny zaznamy o internich systemech, tak se to da udelat i jinak.
    MAJA
    MAJA --- ---
    BOAR: 5 sekund je dobrých, jsem čekal, že to bude typicky být takový neurčitý interval mezi 0 - 15 min ...
    BOAR
    BOAR --- ---
    MUXX: musim ric, ze interni CA je zlo nejvetsiho kalibru - a zaroven bezpecnostni dira :-) ale pocitam, ze je to dira pripravena na smirovani - ssl proxy, ktera prepodepisuje vlastni CA autoritou ?
    jak resis CA autoritu na mobilech a ruznejch klientech ?

    BOAR
    BOAR --- ---
    MAJA: ja jsem tu v gitlabu udelal CI, ktery dela renew, a pak vsechny certy nacpe do gitu. Kazdej stroj si v noci stahne repozitar s certifikatama, a reloadne nginx.

    MAJA: Ja delam ty certifikaty nektery hvezdickovy, takze je delam pres DNS.
    Vypada to tak, ze na domene je udelanej TXT CNAME na dns server, klterej si pousti a manazuje to CI
    takze v hlavnim DNS je:
    _acme-challenge.ahoj.cz IN CNAME ahoj.cz.le.adresatohodnsvci.cz

    takze by to znamenalo do DNS, ktery spravuje jina firma jen pridat zaznam pro kazdou domenu - a nasmerovat ho na tvuj DNS server. kde si pak udelas overeni.
    btw. nemusis cekat, ejstli to prosaklo na druhej konec - LE se pta primo autoritativniho dns serveru, takze tam muzes zadat zaznam, a udelat reload - a v tom okamziku to le najde. ja tam mam tusim 5 sec pauzu.
    MAJA
    MAJA --- ---
    RUDOLF: Let`s Encrypt
    RUDOLF
    RUDOLF --- ---
    MAJA: hele, co je LE seznam?
    MAJA
    MAJA --- ---
    SPM: DNSko bohužel spravuje externí firma, tak jsem skončil u té jednodušší webové varianty ... ale zase je to rychlejší resp. člověk nemusí rešit, jestli už se záznam updatoval a prosáklo to na druhý konec apod.
    SPM
    SPM --- ---
    ja to jinak na interni subdomeny vyresil tak, ze pouzivam dns auth, mam jeden stroj s dns vystavenej do internetu, na nej delegovanou tu interni domenu a jednotlivy masiny si pres api na nem vytvari a mazou ten txt zaznam
    KOLCON
    KOLCON --- ---
    MAJA: Jo jeden stroj obnovi vsechny certifikaty a vsechny pak rsyncuju vsude
    MAJA
    MAJA --- ---
    KOLCON: přímo podhodíš certifikáty třeba pod apache (plus reload service) nebo řešíš nějakou kontrolu/zálohu stávajících ?
    KOLCON
    KOLCON --- ---
    MAJA: Já to normálně rsyncuju...
    MAJA
    MAJA --- ---
    MUXX: Jaké jsou pohnutky nemít interní systémy v LE seznamu ?
    MUXX
    MUXX --- ---
    MAJA: no ja to mam tak, ze mam nginx, ktery se stara certbotem o certifikaty a dela zaroven ssl offload. certifikaty tak nemam potreba nikam dal kopirovat. na ostatni veci pouzivam interni CA, protoze nechci, aby moje interni systemy byly ve verejnym lets encrypt seznamu.
    MAJA
    MAJA --- ---
    CHOROBA: díky za tip

    raději bych, aby si každý stroj sosnul svůj certifikát než aby proxy měla přístup na všechny stroje s certifikáty - nějak mi tenhle směr přijde bezpečnější
    CHOROBA
    CHOROBA --- ---
    no ja nevim, pouzivam getssl a to umi co chces.

    GitHub - srvrco/getssl: obtain free SSL certificates from letsencrypt ACME server Suitable for automating the process on remote servers.
    https://github.com/srvrco/getssl
    MAJA
    MAJA --- ---
    MUXX: Koncept je takový, že jedině ta certifikační proxy vidí do internetu a obnovuje pravidelně LE certifikáty pomocí Dehydrated.io. Stroje, pro které ty certifikáty jsou, budou víceméně odříznuté ... nemám vymyšlenou cestičku distribuce ... napadlo mě, aby si každý stroj cronem/skriptem z té proxy nakopíroval potřebné soubory, cheknul že jsou všechny a podstrčil je apache,nginx etc ... jenom si říkám, že už to pravděpodobně někdo vymyslel a dost pravděpodobně líp než bych to zbastlil já :-)
    Kliknutím sem můžete změnit nastavení reklam