What is: SAML – обзор, структура и трассировка запросов на примере Jenkins и Okta SAML SSO

В процессе настройки SAML SSO для Jenkins столкнулся с ошибкой, при которой не передаются часть атрибутов из Okta в Jenkins. Собственно, в этом посте попробуем разобраться с тем, что такое SAML вообще, рассмотрим его архитектуру и компонены, а затем выполним трассировку запросов между Okta и Jenkins, что бы посмотреть какие данные передаются. Т.к. информации очень…

https://rtfm.co.ua/what-is-saml-obzor-struktura-i-trassirovka-zaprosov-na-primere-jenkins-i-okta-saml-sso/

Складывать секстеты в гит в открытом виде достаточно плохо. А в публичный гитхаб — ещё хуже. https://shhgit.darkport.co.uk/ сайт на котором в режиме реального времени публикуют секреты из репозиториев почти сразу после пуша

Grafana: Loki – Prometheus-like счётчики и функции агрегации в LogQL и графики DNS запросов к dnsmasq

Последний раз Loki для сбора и наблюдения за логами настраивал аж в феврале этого (см. Grafana Labs: Loki — сбор и просмотр логов), когда Loki была ещё в beta-версии. Сейчас возникли проблемы с исходящим трафиком (объём за два месяца вырос в 4 раза), никак не можем найти виновника. Как один из вариантов поиска этого самого…

https://rtfm.co.ua/grafana-loki-prometheus-like-schyotchiki-i-funkcii-agregacii-v-logql-i-grafiki-dns-zaprosov-k-dnsmasq/

AWS: RDS обновление Certificate Authority SSL сертификата

Давно уже начали получать письма о том, что надо обновить CA сертификаты, всё было некогда. Пора сделать, выполним на Dev сервере, потом повторим на Staging и Production. Мы используем обычный RDS MariaDB, документация по обновлению тут>>>. Процесс очень простой, занимает несколько минут, особенно, если вы не используете SSL между клиентами и RDS. У нас, например,…

https://rtfm.co.ua/aws-rds-obnovlenie-certificate-authority-ssl-sertifikata/

HTTP: редиректы, POST и GET запросы, и “потерянные” данные

Имеется приложение, которое должно принимать данные через POST-запросы от клиентов. Перед этим приложением имеется некий прокси, неважно какой – AWS Application Load Balancer, NGINX или любой другой. Мы изначально столкнулись с проблемой на AWS ALB, потом я начал тестить на NGINX, что бы искючить влияение самого AWS-сервиса – воспроизводится везде, т.к. не зависит от проксирующей…

https://rtfm.co.ua/http-redirekty-post-i-get-zaprosy-i-poteryannye-dannye/

Nextcloud: запуск в Docker Compose на Debian с SSL от Let’s Encrypt

Недавно потестировал Nexcloud вообще, см. NextCloud: установка сервера на Debian с NGINX и PHP-FPM, и клиента на Arch Linux – в целом понравилось, работает – можно попробовать мигрировать с Dropbox на него. Сегодня запустим Nextcloud полностью в Docker, на сервере с Debian 10 в Digital Ocean. К серверу подключён отдельный диск, на котором будут все…

https://rtfm.co.ua/nextcloud-zapusk-v-docker-compose-na-debian-s-ssl-ot-lets-encrypt/

Linux: Nexctloud клиент, qtkeychain и ошибка “The name org.freedesktop.secrets was not provided by any .service files”

После установки Nextcloud (см. Nextcloud: запуск в Docker Compose на Debian с SSL от Let’s Encrypt), на следующий день его клиент запросил повторную аутентификацию. Но после ввода логина и пароля он сообщает об ошибке: Reading from keychain failed with error: ‘The name org.freedesktop.secrets was not provided by any .service files’ Гугление одним из первых результатов…

https://rtfm.co.ua/linux-nexctloud-klient-qtkeychain-i-oshibka-the-name-org-freedesktop-secrets-was-not-provided-by-any-service-files/

SSH: RSA-ключи и ssh-agent – управление SSH-ключами и их паролями

По ходу настройки keyring для Nextcloud-клиента (см. Linux: Nextcloud клиент, qtkeychain и ошибка «The name org.freedesktop.secrets was not provided by any .service files») – решил навести порядок в своих SSH-ключах, которых много, и аутентификация иногда преврашается в достаточно геморройный процесс. В целом, для упрощения работы можно использовать системное хранилище секретов – gnome-keyring, либо KeeyPassXC, про…

https://rtfm.co.ua/ssh-rsa-klyuchi-i-ssh-agent-upravlenie-ssh-klyuchami-i-ix-parolyami/

Linux: KeePass, SSH и хранение паролей RSA-ключей

В продолжение поста об SSH-ключах и их менеджменте на Linux (см. SSH: RSA-ключи и ssh-agent — управление SSH-ключами и их паролями). Задача заключается в том, что бы упростить работу с ключами, которые требуют ввода пароля для их использования – когда ключей много, то вводить каждый раз пароль может быть реальной головной болью. Одним из вариантов…

https://rtfm.co.ua/linux-keepass-ssh-i-xranenie-parolej-rsa-klyuchej/

Bitwarden: расшаренный MFA для общих аккаунтов Google

Одной из больших проблем при использовании MFA является вопрос с доступом к общим почтовым ящикам. Например, у нас имеется ящик вида company-admin@google.com, на который хочется задать TOTP-аутентификацию через Google Authenticator (см. Authy: настройка Multi-Factor Authentication для Github и AWS). Но при этом этим ящиком пользуется несколько человек. Следовательно, что бы у всех одновременно генерировался работащий…

https://rtfm.co.ua/bitwarden-rassharennyj-mfa-dlya-obshhix-akkauntov-google/

What is: Linux keyring, gnome-keyring, Secret Service, и D-Bus

Очень длиннопост получился. Я долго думал – собирать ли всё в одном посте, или всё-таки разбить на несколько, ведь с одной стороны keyrings – это одна тема, D-Bus – другая, а примеры работы с SecretServices – вообще третья. Тем не менее – решил всё-таки оставить в одном, так как со всем этим разбирался по ходу…

https://rtfm.co.ua/what-is-linux-keyring-gnome-keyring-secret-service-i-d-bus/

Chrome/Chromium: Linux, keyrings && Security Service и хранение паролей

Одним из поводов настолько углубиться в keyrings (см. What is: Linux keyring, gnome-keyring, Secret Service, и D-Bus) был факт того, что Chromium, внезапно, при отсутствии keyring в Linux будет хранить пароли в “открытом виде”. Сбственно, давайте попробуем найти – как и где Chromium хранит пароли, и, самое важное – шифрует ли он их? Chromium и…

https://rtfm.co.ua/chrome-chromium-linux-keyrings-security-service-i-xranenie-parolej/

KeePass: настройка MFA, хранение паролей браузера, паролей SSH ключей и интеграция Secret Service

Итак, наверно уже завершающая часть всего этого мерлезонского балета. Предыдущие части, с которых “всё начиналось”: Linux: Nextcloud клиент, qtkeychain и ошибка «The name org.freedesktop.secrets was not provided by any .service files» – увидел, что в keyring сервисе можно хранить пароли от SSH ключей – узнал, что Chromium хранит пароли “незашифрованными” Linux: KeePass, SSH и хранение…

https://rtfm.co.ua/keepass-nastrojka-mfa-xranenie-parolej-brauzera-parolej-ssh-klyuchej-i-integraciya-secret-service/

Linux: настройка KDE Connect и подключение к Android-телефону

Удобная интеграция мобильного и Linux. Кроме KDE COnnect существует gnome-shell-extension-gsconnect. Настраивать будем на Arch Linux + HTC телефон на Android. На Android устанавливаем из Play Maket. На Linux устанавливаем из репозитория: sudo pacman -S kdeconnect Для того, что бы была возможность передачи файлов – устанавливаем sshfs: sudo pacman -S  sshfs Подключение KDE connect Запускаем kdeconnectd, пока вручную, потом добавим в автозапуск:…

https://rtfm.co.ua/linux-nastrojka-kde-connect-i-podklyuchenie-k-android-telefonu/

Calibre: домашняя онлайн-библиотека в браузере и Moon+ Reader

Calibre пользуюсь много лет, но всегда desktop-версией. На днях увидел Calibre Web – та же библиотека, работающая с той же базой, но доступна через браузер. Домашняя страница проекта в Github – тут>>>. Идея состоит в том, что бы по возможности уйти от хранения книг в Google Books, так как там нет нормальной возможности добавлять своё…

https://rtfm.co.ua/calibre-domashnyaya-onlajn-biblioteka-v-brauzere-i-moon-reader/

PHP: кеширование PHP-скриптов – настройка и тюнинг OpCache

OpCache увеличивает производительность PHP сохраняя уже скомпилированные скрипты PHP в общей памяти, таким образом уменьшая работу для PHP-FPM, которому приходится меньше выполнять загрузку, чтение и обработку PHP при поступлении новых запросов. Workflow обработки новых запросов выглядит так: Исходный код проекта – тут>>>. Enable OpCache Редактируем php.ini файл, в данном примере это будет /etc/php/7.3/fpm/php.ini. Добавляем в…

https://rtfm.co.ua/php-keshirovanie-php-skriptov-nastrojka-i-tyuning-opcache/

Debian: php7.3-curl : Depends: libcurl3 (>= 7.44.0) but it is not installable

Имеется джоба в Jenkins, которая запускает контейнер, и выполняет сборку PHP-приложения на Yii. Во время сборки PHP-приложения – билд падает с ошибкой: … Some packages could not be installed. This may mean that you have requested an impossible situation or if you are using the unstable distribution that some required packages have not yet been…

https://rtfm.co.ua/debian-php7-3-curl-depends-libcurl3-7-44-0-but-it-is-not-installable/

AWS: IAM AssumeRole – описание, примеры

AssumeRole – механизм аутентификации в AWS IAM, позволяющий получить временные данные доступа для выполнения запросов к ресурсам, к которым у вас нет доступа. Эти временные данные доступа состоят из привычных ACCESS и SECRET ключей, плюс security token. Одним из примеров AssumeRole может быть Jenkins в EC2, джобы которого могут выполнять операции в AWS-аккаунте, используя EC2…

https://rtfm.co.ua/aws-iam-assumerole-opisanie-primery/

Kubernetes: запуск push-сервера Gorush в EKS за AWS LoadBalancer

Gorush – сервер, написанный на Go, для отправки пуш-уведомлений на мобильные. Запускать будем в AWS EKS, в отдельном namespace, при этом сервис должен быть доступен толкьо внутри VPC, поэтому используем AWS Internal Application Load Balancer. Запуск Gorush Namespace Клонируем репозиторий: git clone https://github.com/appleboy/gorushcd gorush/k8s/ Создаём пространство имён gorush и confgiMap, который будет использоваться сервисом для получения настроек подключения…

https://rtfm.co.ua/kubernetes-zapusk-push-servera-gorush-v-eks-za-aws-loadbalancer/

Kubernetes: ConfigMap и Secrets – auto-reload данных в подах

Имеется ConfigMap для Gorush сервиса (см. Kubernetes: запуск push-сервера Gorush в EKS за AWS LoadBalancer). Проблема заключается в том, что при изменении данных в ConfigMap или Secrets – они не будут сразу отображены в подах и их контейнерах. Есть несколько костылей типа монтирования в виде volume, а потом ремаунтить разделы, или каждый раз создавать новый…

https://rtfm.co.ua/kubernetes-configmap-i-secrets-auto-reload-dannyx-v-podax/

PHP: PHP-FPM игнорирует переменные – решения

Имеется PHP приложение, которое для подключения к серверу баз данных использует дефолтные данные из файла /app/.env и переменные окружения. Проблема заключается в том, что приложение не видит переменную $TEST_VAR, хотя в шаблоне Kubernetes пода она задана: ... containers: - name: application-dev-web image: bttrm-application:119 ... - name: TEST_VAR valueFrom: secretKeyRef: name: bttrm-app-secret key: test_var ... Значение…

https://rtfm.co.ua/php-php-fpm-ignoriruet-peremennye-resheniya/