SSH: RSA-ключи и ssh-agent – управление SSH-ключами и их паролями

По ходу настройки keyring для Nextcloud-клиента (см. Linux: Nextcloud клиент, qtkeychain и ошибка «The name org.freedesktop.secrets was not provided by any .service files») – решил навести порядок в своих SSH-ключах, которых много, и аутентификация иногда преврашается в достаточно геморройный процесс. В целом, для упрощения работы можно использовать системное хранилище секретов – gnome-keyring, либо KeeyPassXC, про…

https://rtfm.co.ua/ssh-rsa-klyuchi-i-ssh-agent-upravlenie-ssh-klyuchami-i-ix-parolyami/

Linux: KeePass, SSH и хранение паролей RSA-ключей

В продолжение поста об SSH-ключах и их менеджменте на Linux (см. SSH: RSA-ключи и ssh-agent — управление SSH-ключами и их паролями). Задача заключается в том, что бы упростить работу с ключами, которые требуют ввода пароля для их использования – когда ключей много, то вводить каждый раз пароль может быть реальной головной болью. Одним из вариантов…

https://rtfm.co.ua/linux-keepass-ssh-i-xranenie-parolej-rsa-klyuchej/

Bitwarden: расшаренный MFA для общих аккаунтов Google

Одной из больших проблем при использовании MFA является вопрос с доступом к общим почтовым ящикам. Например, у нас имеется ящик вида company-admin@google.com, на который хочется задать TOTP-аутентификацию через Google Authenticator (см. Authy: настройка Multi-Factor Authentication для Github и AWS). Но при этом этим ящиком пользуется несколько человек. Следовательно, что бы у всех одновременно генерировался работащий…

https://rtfm.co.ua/bitwarden-rassharennyj-mfa-dlya-obshhix-akkauntov-google/

What is: Linux keyring, gnome-keyring, Secret Service, и D-Bus

Очень длиннопост получился. Я долго думал – собирать ли всё в одном посте, или всё-таки разбить на несколько, ведь с одной стороны keyrings – это одна тема, D-Bus – другая, а примеры работы с SecretServices – вообще третья. Тем не менее – решил всё-таки оставить в одном, так как со всем этим разбирался по ходу…

https://rtfm.co.ua/what-is-linux-keyring-gnome-keyring-secret-service-i-d-bus/

Chrome/Chromium: Linux, keyrings && Security Service и хранение паролей

Одним из поводов настолько углубиться в keyrings (см. What is: Linux keyring, gnome-keyring, Secret Service, и D-Bus) был факт того, что Chromium, внезапно, при отсутствии keyring в Linux будет хранить пароли в “открытом виде”. Сбственно, давайте попробуем найти – как и где Chromium хранит пароли, и, самое важное – шифрует ли он их? Chromium и…

https://rtfm.co.ua/chrome-chromium-linux-keyrings-security-service-i-xranenie-parolej/

KeePass: настройка MFA, хранение паролей браузера, паролей SSH ключей и интеграция Secret Service

Итак, наверно уже завершающая часть всего этого мерлезонского балета. Предыдущие части, с которых “всё начиналось”: Linux: Nextcloud клиент, qtkeychain и ошибка «The name org.freedesktop.secrets was not provided by any .service files» – увидел, что в keyring сервисе можно хранить пароли от SSH ключей – узнал, что Chromium хранит пароли “незашифрованными” Linux: KeePass, SSH и хранение…

https://rtfm.co.ua/keepass-nastrojka-mfa-xranenie-parolej-brauzera-parolej-ssh-klyuchej-i-integraciya-secret-service/

Linux: настройка KDE Connect и подключение к Android-телефону

Удобная интеграция мобильного и Linux. Кроме KDE COnnect существует gnome-shell-extension-gsconnect. Настраивать будем на Arch Linux + HTC телефон на Android. На Android устанавливаем из Play Maket. На Linux устанавливаем из репозитория: sudo pacman -S kdeconnect Для того, что бы была возможность передачи файлов – устанавливаем sshfs: sudo pacman -S  sshfs Подключение KDE connect Запускаем kdeconnectd, пока вручную, потом добавим в автозапуск:…

https://rtfm.co.ua/linux-nastrojka-kde-connect-i-podklyuchenie-k-android-telefonu/

Calibre: домашняя онлайн-библиотека в браузере и Moon+ Reader

Calibre пользуюсь много лет, но всегда desktop-версией. На днях увидел Calibre Web – та же библиотека, работающая с той же базой, но доступна через браузер. Домашняя страница проекта в Github – тут>>>. Идея состоит в том, что бы по возможности уйти от хранения книг в Google Books, так как там нет нормальной возможности добавлять своё…

https://rtfm.co.ua/calibre-domashnyaya-onlajn-biblioteka-v-brauzere-i-moon-reader/

PHP: кеширование PHP-скриптов – настройка и тюнинг OpCache

OpCache увеличивает производительность PHP сохраняя уже скомпилированные скрипты PHP в общей памяти, таким образом уменьшая работу для PHP-FPM, которому приходится меньше выполнять загрузку, чтение и обработку PHP при поступлении новых запросов. Workflow обработки новых запросов выглядит так: Исходный код проекта – тут>>>. Enable OpCache Редактируем php.ini файл, в данном примере это будет /etc/php/7.3/fpm/php.ini. Добавляем в…

https://rtfm.co.ua/php-keshirovanie-php-skriptov-nastrojka-i-tyuning-opcache/

Debian: php7.3-curl : Depends: libcurl3 (>= 7.44.0) but it is not installable

Имеется джоба в Jenkins, которая запускает контейнер, и выполняет сборку PHP-приложения на Yii. Во время сборки PHP-приложения – билд падает с ошибкой: … Some packages could not be installed. This may mean that you have requested an impossible situation or if you are using the unstable distribution that some required packages have not yet been…

https://rtfm.co.ua/debian-php7-3-curl-depends-libcurl3-7-44-0-but-it-is-not-installable/

AWS: IAM AssumeRole – описание, примеры

AssumeRole – механизм аутентификации в AWS IAM, позволяющий получить временные данные доступа для выполнения запросов к ресурсам, к которым у вас нет доступа. Эти временные данные доступа состоят из привычных ACCESS и SECRET ключей, плюс security token. Одним из примеров AssumeRole может быть Jenkins в EC2, джобы которого могут выполнять операции в AWS-аккаунте, используя EC2…

https://rtfm.co.ua/aws-iam-assumerole-opisanie-primery/

Kubernetes: запуск push-сервера Gorush в EKS за AWS LoadBalancer

Gorush – сервер, написанный на Go, для отправки пуш-уведомлений на мобильные. Запускать будем в AWS EKS, в отдельном namespace, при этом сервис должен быть доступен толкьо внутри VPC, поэтому используем AWS Internal Application Load Balancer. Запуск Gorush Namespace Клонируем репозиторий: git clone https://github.com/appleboy/gorushcd gorush/k8s/ Создаём пространство имён gorush и confgiMap, который будет использоваться сервисом для получения настроек подключения…

https://rtfm.co.ua/kubernetes-zapusk-push-servera-gorush-v-eks-za-aws-loadbalancer/

Kubernetes: ConfigMap и Secrets – auto-reload данных в подах

Имеется ConfigMap для Gorush сервиса (см. Kubernetes: запуск push-сервера Gorush в EKS за AWS LoadBalancer). Проблема заключается в том, что при изменении данных в ConfigMap или Secrets – они не будут сразу отображены в подах и их контейнерах. Есть несколько костылей типа монтирования в виде volume, а потом ремаунтить разделы, или каждый раз создавать новый…

https://rtfm.co.ua/kubernetes-configmap-i-secrets-auto-reload-dannyx-v-podax/

PHP: PHP-FPM игнорирует переменные – решения

Имеется PHP приложение, которое для подключения к серверу баз данных использует дефолтные данные из файла /app/.env и переменные окружения. Проблема заключается в том, что приложение не видит переменную $TEST_VAR, хотя в шаблоне Kubernetes пода она задана: ... containers: - name: application-dev-web image: bttrm-application:119 ... - name: TEST_VAR valueFrom: secretKeyRef: name: bttrm-app-secret key: test_var ... Значение…

https://rtfm.co.ua/php-php-fpm-ignoriruet-peremennye-resheniya/

Kubernetes: ConfigMaps и Secrets на примере Gorush сервера

Имеется Gorush сервер, запущенный в предыдущем посте, к которому теперь хочется добавить возможность добавления своего файла настроек – для Staging с одними данными, и для Production – с другими. Используем Kubernetes ConfigMap для хранения содержимого файлов настроек Gorush, которые потом покдлючим внутрь запускаемых подов и их контейнеров, и Secrets – для конфиденциальных данных. Сейчас в…

https://rtfm.co.ua/kubernetes-configmaps-i-secrets-na-primere-gorush-servera/

Kubernetes: запуск metrics-server в AWS EKS для Kubernetes Pod AutoScaler

Предполагается, что AWS EKS уже создан, и имеет рабочие ноды. Ниже – выполним настройку подключения к кластеру, создадим тестовый деплоймент с HPA – Kubernetes Horizontal Pod AutoScaler (опишу отдельным постом), и попробуем получить данные об используемых ресурсах с помощью kubectl top. Kubernetes cluster Создаём тестовый кластер: eksctl create cluster --profile arseniy --region us-east-2 --name eks-dev-1...[ℹ]  node "ip-192-168-54-141.us-east-2.compute.internal" is ready[ℹ]  node "ip-192-168-85-24.us-east-2.compute.internal" is ready[ℹ]  kubectl command should work with "/home/setevoy/.kube/config", try 'kubectl get nodes'[✔]  EKS cluster "eks-dev-1" in "us-east-2" region is ready Переключаемся на него. Kubernetes cluster context Настраиваем kubectl:…

https://rtfm.co.ua/kubernetes-zapusk-metrics-server-v-aws-eks-dlya-kubernetes-pod-autoscaler/

Linux: PHP-FPM, Docker, STDOUT и STDERR – нет логов приложения

Имеется Docker-образ, в который включены NGINX и PHP-FPM, плюс Supervisor для их запуска. В этот же образ включён код PHP-приложения, которое пишет ошибки PHP в /dev/stderr, как задано в php.ini: ... [global] error_log=/dev/stderr ... Проблема заключается в том, что при выполнении kubectl logs – в выводе этих данных нет. Где проблема? В Docker? Kubernetes? Linux…

https://rtfm.co.ua/linux-php-fpm-docker-stdout-i-stderr-net-logov-prilozheniya/

Redis: “psync scheduled to be closed ASAP for overcoming of output buffer limits” и client-output-buffer-limit

Имеется Redis-кластер с Sentinel, см. Redis: репликация, часть 2 — Master-Slave репликация, и Redis Sentinel, Redis: fork — Cannot allocate memory, Linux, виртуальная память и vm.overcommit_memory и Redis: основные параметры конфигурации и тюнинг производительности. Система работала отлично долгое время, пока мы не начали использовать кеш намного более активно. Redis info Проверить все ключи в базах можно…

https://rtfm.co.ua/redis-psync-scheduled-to-be-closed-asap-for-overcoming-of-output-buffer-limits-i-client-output-buffer-limit/

Linux: настройка gnome-keyring в роли Freedesktop SecretService

Сейчас у меня KeePass используется как менеджер паролей, хранилище RSA-ключей и в роли Freedesktop SecretService, см. пост KeePass: настройка MFA, хранение паролей браузера, паролей SSH ключей и интеграция Secret Service. Первая проблема применения KeePass в роли SecretService заключается в том, что у меня его база синхронизируется между компьютерами (просто хранится в Dropbox), и он каждый…

https://rtfm.co.ua/linux-nastrojka-gnome-keyring-v-roli-freedesktop-secretservice/

AWS: CloudFormation – вложенные стеки и Import/export параметров

Вложенные стеки (Nested Stacks) в CloudFormation – это стеки, которые создаются из другого, “родительского”, стека используя AWS::CloudFormation::Stack. Основная идея использования вложенных стеков – избежать необходимости писать новый шаблон для ресурса, который используется в нескольких стеках. Вместо этого – шаблон создаётся один раз, хранится в AWS S3 корзине, и при создании стеков – вы просто ссылаетесь…

https://rtfm.co.ua/aws-cloudformation-vlozhennye-steki-i-import-export-parametrov/

Prometehus: мониторинг AWS Billing

Задача – иметь перед глазами график в Grafana, который будет отображать расходы на AWS. Есть два варианта – использовать експортер от Prometheus – prom/cloudwatch-exporter, или самописный от nachomillangarcia – prometheus_aws_cost_exporter. Первый собирает метрики от AWS CloudWatch, в которые данные по биллингу поступают только на следующий день. Второй написан на Python, ходит к AWS API, получает…

https://rtfm.co.ua/prometehus-monitoring-aws-billing/