Как вы управляете своими серверами?

Question

[Dogata]

Скажем, у вас 50 сервером от разных хостинг провайдеров. И еще какие-то там в частных сетках, то 50. Как вы их все держите в голове, то есть в Excel создаете список этих серверов с ip, именем пользователя для ssh и др. инфой? Или как?

Answer 1

[Erelecano Oioraen]

google://ansible

Comments

[Сергей Соколов]

Тема *** не раскрыта. Какие задачи вы решаете с помощью Ansible, как выглядит добавление/удаление серверов, что удобно, что не очень?

[Dark Hole]

Сергей Соколов: хабр в помощь. Там эта тема разжевана

[Валентин]

Сергей Соколов: с linux машинами через Ansible можно делать что угодно, с Windows пока что не всё, но потихоньку тема развивается. Так что куда тему раскрывать? Что надо сделать - то и делаешь, если не можешь сообразить как - читаешь документацию, гуглишь.

Answer 2

[Сергей Соколов]

SSH доступы хранятся в файле ~/.ssh/config – там прописаны ip, username и пр. Например:

Host vs1
        HostName  123.123.122.122
        User root
        Port 35693
Host vs2
        HostName  123.123.125.125
        User root
        Port 39674

Алиасы эти стараюсь давать сообразно проекту / назначению машины. И подключение выглядит просто: ssh vs1

Но при большем числе коробок в парке надо будет искать какое-то более «умное» решение – чтобы быстро определять, у какого провайдера какая коробка, какой конфиг, тариф, не прозевать оплату, оптимизировать стоимость, оптом управлять сразу несколькими коробками.

Надо будет разобраться с Ansible.

Comments

[LINKeR UA]

Думаю для не большого списка серверов - идеально!

[younghacker]

LINKeR UA: Да и для средних тоже подходит.

[localuser@localhost ~]$ grep -ic 'hostname' ./.ssh/config
3275

:)
И tab completion очень помогает закончить имя (имена конечно вменяемые, а не vds547645)
Ну и везде конечно ключи. Пароли не используются.

А ещё нужно хранить пароли и uri к панелям хостинг и доменных провайдеров.
Тут keepass помогает.

Товарищи тут хранили все пароли в keepass и не пользовались ключами. Количество серверов около 5 тыс. Когда уволили сотрудника то 4 дня не делали ничего, а только меняли пароли на всех серверах. В случае с ключами у них на всё ушло бы несколько минут.

Answer 3

[Пума Тайланд]

список в mremote
юзер один и тот же
хожу только по ключам
управлять лучше ансиблом

Comments

[Dogata]

Какое имя лучше давать юзеру?

[Пума Тайланд]

Dogata: что за идиотский вопрос своё

[Dogata]

Пума Тайланд: Почему свое, а если это сервера чье-то и вы их админите или несколько человек из команды имеют к нему доступ? То есть, вы равноправны. Другие члены команды не поймут, почему на сервере у юзера имя именно ваше.

[Пума Тайланд]

Dogata: что за глупости у каждого члена команды своё имя ну есть совпадения но это явно не проблема.
Вы как вообще это выдумывает е?
Такой проблемы не существует

[Dogata]

Пума Тайланд: Наоборот, могут обидеться, что вы назвали юзера в свою честь.

[Пума Тайланд]

Dogata: это не детский сад тут такого нет тут взрослые люди

Answer 4

[Виталий]

1) SSH
2) SSH & X-forwarding
3) xrdp
4) Самописная веб-морда для управления почтовым сервером, авторегой SSH-учёток, стоп/старт/перезапуск демонов, выдачей/отзывом сертификатов OpenVPN, создание/удаление виртуальных хостов апача по пользователям
5) приносной монитор и клавомыш, если дела совсем плохи, либо бяка с сетью

Comments

[Валентин]

Для 4) давно уже есть масса готовых инструментов, и вебморда им не особо-то и нужна (но при желании прикручивается): ansible, salt, chef, puppet.

[Виталий]

Валентин: это конечно хорошо, но сервер я поднял намного раньше, чем я задумался о прикручивании веб-морды, поэтому я сделал её себе сам, чтоб не рушить имеющуюся структуру. Преимущество в том, что результат легковес (только то что нужно) и большая безопасность, потому что я знаю что пишу (каждый файл и каждая строчка), фильтрую все POST/GET-параметры на SQL-инъекции, недопускаю не-админов к пышкам, что предназначены для админа, и автобаню Брутеров по IP. Ну и, никто не отменял SUexec чтобы не давать sudo apache-юзеру (без sudo веб-морда для управления юзерами и демонами невозможна, хотя и возможна, с костылём - промежуточным "файлом заданий", который читается демоном в фоне)
P.S. Не все веб-морды гонятся за актуальностью, т.е. не все будут пытаться поддерживать совместимость со свежими версиями PHP (если те были писаны на PHP), ибо гонять старый и дырявый PHP смысла нет

Answer 5

[Сергей]

технический домен ... впн сеть для администрирования (и не более того) + хороший клиент для ssh (типо https://www.vandyke.com/products/securecrt/ ) решит твою проблему на 99%

Comments

[Erelecano Oioraen]

Хороший ssh-клиент это openssh и нормальный эмулятор терминала. Извините, но нормальный админ не работает из под винды.

[Сергей]

Erelecano Oioraen: первое .. клиент есть и под линукс. если ты вдруг решил что openssh стоит рядом с коммерческим продуктом securecrt ... иди в дворники. так как нюх притупился и не умеешь оценивать что лучше. для сравнения:

теперь вернемся к тому из под чего работает админ. не поверишь ... но детские комплексы ... по поводу того из под чего работать!!! ... у всех заканчиваются лет так в ...цать! и всем становится на..рать!

Answer 6

[dummyman]

Ну... Как бы вы не организовывали доступы, у вас все же должна быть база паролей, ключей, сертификатов, кодовых слов, кодов OTP, ответов на секретные вопросы, и проч. явок и буферов RSA. Под мои нужды подходит keepass. Но в 21 веке ему расплодилось море аналогов на вкус и цвет.

Если вы - первоисточник (или создатель) этих доступов, советую БД хранить и использовать на каком-нибудь сетевом хранилище типа dropbox. - Сия мудрость ни раз меня выручала. Желательно использовать бесплатное хранилище, в случае, например, если вас посадят на несколько лет, чтоб не задумываться об оплате под угрозой удаления.

Собственно, когда доступов очень много, можно пользоваться несколькими плагинами. Они любезно войдут в ЛК в браузере, запустят уже авторизованный putty, подключат вас к любому серверу БД, дадут возможность вывести ваши биткоины или доллары с оффшоров буквально в пару кликов. В суть не вникал, keepass поддерживает даже ГОСТ Р 34.12-2015.

Лично я с плагинами не заморачиваюсь, т.к. часто пользуюсь базой с андройда. Все произвольные данные можно добавлять в базу просто файлами.

Теперь по безопасности. Ну, если у вас угонят базу в открытом виде, то звездой накрывается всё разом. Потому, я предпочитаю не использовать всякие плагины экспорта. Без плагинов у злоумышленика пока вы отвернулись будет возможность угнать максимум один доступ. Саму базу копировать бесполезно т.к. она зашифрована.

Чтобы открыть базу keepass обязательно необходимо установить пароль из длинного словосочетания/предложения/цитаты. Плюс - самое доступное, - для открытия я должен приложить к паролю один mp3-файл (можно папку) из моей 200гб коллекции. Для андройдов есть варианты использовать в авторизации NFC. Если есть сканер отпечатка пальца - можно использовать и его.

Сама прога будет блокироваться при блокировке экрана ОС, и при нескольких минут неактивности. Есть возможность блокировать при частых запросах (например, поставить лимит не более 3 паролей в час). Пароли не отображаются, есть вариант скопировать в буфер обмена, после 15 секунд программа скопирует в буфер еще 20 раз рандомных паролей схожей длины, чтобы кейлоггеру сложнее было разобраться в этой каше.

По сути, дельный инструмент решает все задачи с хранением доступов.

По мониторингу процессов на серверах я обычно использую pm2. Эдакий продвинутый аналог monit.

Если нужна статистика по посещаемости ресурсов, можно воспользоваться logz. Инфы по маркетингу выдает не меньше чем GA и Я.Метрика вместе взятые.

Ну а если в оркестре завелось 50 серверов, то наверняка пригодится утилита, которая сможет организовать все мануалы, скрипты в одну базу знаний. Это либо древовидный CherryTree, либо аля локальный wiki Zim