Time to move to NFTables

pro 03 2019
The time has come for us in WebMedea to move away from the iptables firewall. While the software remains actively maintained by Netfilter, I've set my eyes upon the more recently developed nftables as it seems easier to administer and maintain rules. Nftables unifies all the separate utilities of arptables, ebtables, iptables and ip6tables into a single one. It has slightly different rule writing…

APT: The method 'ssh' is unsupported and disabled by default.

srp 23 2019
Recent Debian (and Devuan) releases have disabled ssh and rsh protocols as possible transfer method of packages. The solution to permit them again is to re-enable them in apt configuration file.Create your own config file /etc/apt/apt.conf.d/30-ssh-transport and paste the following:Dir::Bin::Methods::rsh "rsh";Dir::Bin::Methods::ssh "ssh";Package transport over both protocols should be re-enabled…

Certbot fails renewal with http-01 challenge on NGINX: Connection refused

dub 14 2019
The problemThis has been bothering me for more than half of a year. You might be unable to automatically renew certificates if the following conditions are true:You're using the python-certbot-nginx plugin to install certificates and handle their renewal on your webserver.You're using different location for acme-challenge than the actual folder inside installation root - this is most likely if…

Cassandra Reaper

bře 18 2019
Do WebMedea jsme letos zapojili nové datacentrum. Udržovat Cassandru synchronizovanou pro nás ale s jeho přidáním znamená lineární nárůst práce. Kontroly logů, zda některá tabulka či schéma neprošly opravou, už nejsou časově únosné. Opravy databáze jsme se proto rozhodli automatizovat. Při rešerši možných řešení Pepa objevil aplikaci Cassandra Reaper, jejíž popis nádherně plní všechny naše…

Změna schéma WebMedea databáze

led 27 2019
WebMedea již eviduje přes miliardu odkazů mezi weby. Tato data v naší Cassandra databázi zabírají již přes 110 GB. Společně s rostoucím množstvím dat jsme narazili na neustále se zvyšující vytížení RAM, CPU a diskové IO našich serverů právě od Cassandry. Její požadavky se zdá, že nejde ukojit. To nás přivedlo k zamyšlení se nad naším současným datovým modelem. Zhodnotili jsme, že nám nezbývá nic…

Nový core server ve WebMedea

čen 06 2018
Protože naše databáze se neustále rozšiřuje, a my k ní navíc přidáváme další funkce, museli jsme ve WebMedea Services rozšířit i náš hardware o další hlavní server. Server se bude starat o výpočty důležitosti domén na internetu a o aktuálnost odkazů mezi těmito doménami.

Ochrana nebo buzerace? Vyhodnocování DNS sinkhole od CSIRT

led 04 2018
Do WebMedea nám už mnohokrát přišlo varování, že naše servery provádí něco podivného. V podobných případech se většinou ukáže, že si jen někdo špatně nastavil wildcard v robots.txt na doméně, a my pak vlezli někam, kde nás nechtěl. Jindy má oznamovatel příliš důvěřivě nastavený mail server, když mu pak přijde spam s falešnou doménou (naší) v odesílateli, jde nadávat nám místo spammerovi. Někdy…

Emaily na vlastní doméně - díl 2: naše řešení

lis 21 2017
Po zjištění z minulého dílu jsme se v Triton IT rozhodli nasadit vlastní mail server. Z běžně používaných řešení je ale pouze Microsoft Exchange Server dostupný jako kompetní balík všeho, co je potřeba. MS Exchange Server samozřejmě představuje nemalou investici a funguje jen na zařízeních s operačním systémem Windows Server. Vzhledem k našim požadavkům na nízkou cenu nezbývá, než ho přeskočit a…