openssl s_client -servername <NAME> -connect <HOST:PORT> 2>\/dev\/null | openssl x509 -noout -dates<\/code><\/pre>И смотреть, что у нас получилось в выходе notAfter. Решение для посмотреть по-быстрому, но пользоваться не слишком удобно. Что приводит нас к необходимости усложнить...<\/p>\n
Если у нас нет четкого списка доменов или этот список меняется (возможно в будущем), сначала каким-то образом нам нужно получить список доменных имен, которые существуют на сервере и которые придется проверять. Исходя из того, что nginx почти везде, можем взять из него:<\/p>\n
nginx -T | sed -r -e 's\/[ \\t]*$\/\/' -e 's\/^[ \\t]*\/\/' -e 's\/^#.*$\/\/' -e 's\/[ \\t]*#.*$\/\/' -e '\/^$\/d' | \\\r\nsed -e ':a;N;$!ba;s\/\\([^;\\{\\}]\\)\\n\/\\1 \/g' | \\\r\ngrep -P 'server_name[ \\t]' | grep -v '\\$' | grep '\\.' | \\\r\nsed -r -e 's\/(\\S)[ \\t]+(\\S)\/\\1\\n\\2\/g' -e 's\/[\\t ]\/\/g' -e 's\/;\/\/' -e 's\/server_name\/\/' | \\\r\nsort | uniq | xargs -L1 > \/path\/to\/sitelist<\/code><\/pre>Для тех, кто использует панели управления, вроде ISPManager — плохая новость, изящно список не получить — нужно пользоваться nginx и выборкой оттуда. А вот у VestaCP \/ HestiaCP \/ MyVesta есть аккуратная выборка:<\/p>\n
v-list-users | tail -n +3 | awk '{print "v-list-web-domains "$1" | tail -n +3"}' | bash | awk '{ print ($1)":443" | "sort -d" }' > \/path\/to\/sitelist<\/code><\/pre>Далее можно попробовать что-то свое, а можно взять готовое решение от Джулио @elarraydejota из Мадрида — https:\/\/github.com\/juliojsb\/jota-cert-checker<\/a><\/a>. Из многих скриптов этот понравился больше всего. Стабильная работа, понятный код и приятный выбор между отчетами. Остается только добавить в начало скрипта выборку по доменам или подключать ее в скрипте с помощью source, далее сможем получать отчеты в терминале или по почте.<\/p>\nВ терминале это выглядит вот так:<\/p>\n
\n![\"\"](\"https:\/\/skurudo.ru\/pictures\/ssl-check-terminal.png\")
\n<\/div>\nНа почте вот так:<\/p>\n
\n![\"\"](\"https:\/\/skurudo.ru\/pictures\/ssl-check-mail.png\")
\n<\/div>\nНо не все же так хорошо? Да, не все. Удалось подружить скрипт с телеграмом, но вывод как для слаки при большом количестве доменов в виде картинки — очень неудачный вариант, для 1-5 еще ничего. Пока пришлось отказаться от этой затеи.. Также к минусам можно отнести и сложности с кириллическими доменами, даже в punnycode. Проверка их с помощью openssl s_client клиента проходит не всегда.<\/p>\n",
"date_published": "2021-07-20T16:20:04+03:00",
"date_modified": "2021-07-20T16:27:00+03:00",
"tags": [
"Debian",
"GitHub",
"HestiaCP",
"Let's Encrypt",
"MyVesta",
"Ubuntu",
"VestaCP"
],
"image": "https:\/\/skurudo.ru\/pictures\/ssl-check-terminal.png",
"_date_published_rfc2822": "Tue, 20 Jul 2021 16:20:04 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "231",
"_e2_data": {
"is_favourite": false,
"links_required": [
"system\/library\/highlight\/highlight.js",
"system\/library\/highlight\/highlight.css"
],
"og_images": [
"https:\/\/skurudo.ru\/pictures\/ssl-check-terminal.png",
"https:\/\/skurudo.ru\/pictures\/ssl-check-mail.png"
]
}
},
{
"id": "230",
"url": "https:\/\/skurudo.ru\/all\/yaszait-yet-another-simple-zabbix-agent-installer-tool\/",
"title": "YASZAIT — Yet Another Simple Zabbix Agent Installer Tool",
"content_html": "
Понадобилось на несколько разных серверов на Debian\/Ubuntu поставить агент Zabbix, чтобы подключить их к мониторингу. Вместо того, чтобы ставить совсем все руками, немного автоматизировал процесс и добавил интерактива и в конце немного покажет адреса, чтобы удобно добавить в inventory. Скрипт спрашивает ровно три вещи:<\/p>\n
\n- хостнейм сервера — можно прощелкать, укажет автоматически<\/li>\n
- адрес Zabbix сервера — указывать обязательно<\/li>\n
- порт — можно прощелка, укажет стандартный 10050<\/li>\n<\/ol>\n
Для запуска скрипта:<\/p>\n
bash <(wget -O - https:\/\/raw.githubusercontent.com\/skurudo\/usefulbash\/main\/zabbix-add-agent-on-debian.sh)<\/code><\/pre>Код приведен ниже и также доступен на Github<\/a>:<\/p>\n#!\/bin\/bash\r\n# YASZAIT\r\n# Yet Another Simple Zabbix Agent Installer Tool\r\n##############################################################\r\n# enter some data to start\r\necho -n "Enter this server name: "\r\nread SRV_HOSTNAME\r\n# if SRV_HOSTNAME is empty, use server hostname\r\nif [ -z "$SRV_HOSTNAME" ]; then\r\n SRV_HOSTNAME=($(hostname -f))\r\nfi\r\necho -n "Enter Zabbix Server (FQDN or IP): "\r\nread ZABBIX_SERVER\r\n# if ZABBIX_SERVER is empty, try again\r\nif [ -z "$ZABBIX_SERVER" ]; then\r\n echo -n "=> Please enter address of your Zabbix server... [example.org or IP]: "\r\n read -r ZABBIX_SERVER\r\nfi\r\necho -n "Listening port (10050): "\r\nread LISTEN_PORT\r\n# if LISTEN_PORT is empty, set it to 10050\r\nif [ -z "$LISTEN_PORT" ]; then\r\n LISTEN_PORT=10050\r\nfi\r\n\r\n# Zabbix agent simple installation\r\napt-get install zabbix-agent\r\n# change configuration file\r\ncat > \/etc\/zabbix\/zabbix_agentd.conf << EOF\r\n# simple core config file\r\n#\r\n# address of the server\r\nServer=$ZABBIX_SERVER\r\nServerActive=$ZABBIX_SERVER\r\n# port for Zabbix\r\nListenPort=$LISTEN_PORT\r\n# hostname \r\nHostname=$SRV_HOSTNAME\r\n#Hostname=$(hostname -f)\r\n# pid and logs\r\nPidFile=\/var\/run\/zabbix\/zabbix_agentd.pid\r\nLogFile=\/var\/log\/zabbix-agent\/zabbix_agentd.log\r\nLogFileSize=0\r\nEOF\r\n# restart the zabbix agent\r\nservice zabbix-agent restart \r\n# check agent status\r\nservice zabbix-agent status\r\n# show a little ip4 addresses for Zabbix server\r\necho "######################################"\r\necho "# Information about IP addresses #####"\r\necho "######################################"\r\necho "Server ipv4 addresses:"\r\nip addr show | grep "inet "<\/code><\/pre>Сейчас пока задач по доработкам нет — свои задачи скрипт выполнил, но некоторые мысли есть...<\/p>\n
\n- * сейчас скрипт не проверяет OS и отработает только под Debian-подобной системой (поскольку CentOS и других под рукой уже нет — дописывать и проверять сложно, пока отложено);<\/li>\n
- * скрипт не проверяет установлен ли сейчас какой-то агент, он просто перезапишет конфиг (не очень ясно, насколько это востребованная история);<\/li>\n
- * скрипт не проверяет занятость порта (отсылка к предыдущему пункту по сути);<\/li>\n
- * скрипт не использует сертификаты или PKI (при наличии задачи возможно стоило бы использовать);<\/li>\n
- * при однородности серверов мониторинга можно было бы наверное использовать фиксированные значения или давать выбор (здесь опущено для универсальности, серверы были разные);<\/li>\n
- * возможно стоило бы подумать и усложнить конфигурационный файл агента (стоит обдумать опции на досуге);<\/li>\n<\/ul>\n",
"date_published": "2021-05-21T10:14:45+03:00",
"date_modified": "2021-05-21T15:05:38+03:00",
"tags": [
"bash",
"Debian",
"Ubuntu",
"Zabbix",
"скрипт"
],
"_date_published_rfc2822": "Fri, 21 May 2021 10:14:45 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "230",
"_e2_data": {
"is_favourite": false,
"links_required": [
"system\/library\/highlight\/highlight.js",
"system\/library\/highlight\/highlight.css"
],
"og_images": []
}
},
{
"id": "155",
"url": "https:\/\/skurudo.ru\/all\/nginx-say-hello-to-debian-users\/",
"title": "Привет nginx’a дебианщикам",
"content_html": "
При попытке обновить программное обеспечение на Debian 7\/8 получаем милое сообщение о том, что ключик-то того — имел место истечь и неплохо бы его обновить:<\/p>\n
W: A error occurred during the signature verification. \r\nThe repository is not updated and the previous index files will be used. \r\nGPG error: https:\/\/nginx.org wheezy Release: The following signatures were invalid: KEYEXPIRED 1471427554\r\n\r\nW: Failed to fetch https:\/\/nginx.org\/packages\/debian\/dists\/wheezy\/Release\r\nW: Some index files failed to download. They have been ignored, or old ones used instead.<\/code><\/pre>Выясняем, что истекло:<\/p>\n
apt-key list | grep "expired:"<\/code><\/pre>Оказывается, вот что:<\/p>\n
pub 2048R\/7BD9BF62 2011-08-19 [expired: 2016-08-17]<\/code><\/pre>Обновляем то, что истекло:<\/p>\n
apt-key adv --recv-keys --keyserver keys.gnupg.net 7BD9BF62<\/code><\/pre>",
"date_published": "2016-09-07T21:02:24+03:00",
"date_modified": "2016-09-07T20:59:55+03:00",
"tags": [
"Debian",
"nginx"
],
"_date_published_rfc2822": "Wed, 07 Sep 2016 21:02:24 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "155",
"_e2_data": {
"is_favourite": false,
"links_required": [
"system\/library\/highlight\/highlight.js",
"system\/library\/highlight\/highlight.css"
],
"og_images": []
}
},
{
"id": "144",
"url": "https:\/\/skurudo.ru\/all\/ovh-you-failed-your-etc-issue\/",
"title": "OVH, you failed your \/etc\/issue!",
"content_html": "После заметки о проблемах установки<\/a> VestaCP на серверах OVH, обнаружилось, что версия дистрибутива указывается не только в Debian, но в на других операционных системах: Ubuntu \/ CentOS. Почему оно так случилось в последних релизах ISOшников сказать сложно, но случилось и на эту тему придется что-то думать. Самый простой способ, скорее всего, административный — помимо универсального инсталлятора давать ссылки на инсталляторы для каждой операционной системы. Ничего позорного здесь в общем-то нет.<\/p>\nВторой вариант чуть более экзотический и попахивает чисто инженерным подходом. Есть мысль, что нужно при определении операционной системы использовать два источника: т. е. не только \/etc\/issue, но и скажем \/etc\/os-release. Сравнивая данные выбирать, в среде какой операционной системы мы находимся. Причем основным источником видимо придется считать именно os-release.<\/p>\n
PS: Благодаря автоматическому выбору операционной системы сложности могут быть только у владельцев Debain\/Ubuntu. Как видно из элегантного кода пользователи CentOS всегда в выигрыше:<\/p>\n
# Detect OS\r\ncase $(head -n1 \/etc\/issue | cut -f 1 -d ' ') in\r\n Debian) type="debian" ;;\r\n Ubuntu) type="ubuntu" ;;\r\n *) type="rhel" ;;\r\nesac<\/code><\/pre>",
"date_published": "2016-02-08T00:35:21+03:00",
"date_modified": "2016-02-08T00:32:47+03:00",
"tags": [
"CentOS",
"Debian",
"Kimsufi",
"OVH",
"Ubuntu",
"VestaCP"
],
"_date_published_rfc2822": "Mon, 08 Feb 2016 00:35:21 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "144",
"_e2_data": {
"is_favourite": false,
"links_required": [
"system\/library\/highlight\/highlight.js",
"system\/library\/highlight\/highlight.css"
],
"og_images": []
}
},
{
"id": "142",
"url": "https:\/\/skurudo.ru\/all\/fix-for-phpmyadmin\/",
"title": "Патч для phpmyadmin",
"content_html": "В рамках поддержки проекта VestaCP<\/a> занялся патчем для phpmyadmin. Основная проблема в том, что дополнительные функции из коробки не работают, также как и contoluser. Многим пользователям функционал по сути не нужен, он избыточен. Правда, не очень приятно видеть при входе сообщение о том, что у тебя часть функций отключено и не работает — «The phpMyAdmin configuration storage is not completely configured, some extended features have been deactivated».<\/p>\nЗа вечер пятницы удалось изобразить скрипт, который правит конфигурационный файл и добавляет недостающие таблицы. Чтобы не возиться с определением версии операционной системы, сделал 3 разных скрипта для centos\/debian\/ubuntu. И еще слегка упростил себе жизнь — не стал изобретать генератор паролей, использовал дополнительный пакет.<\/p>\n
Интереснее было в процессе отладки. Выянил, что пихать много запросов в mysql из баша — это не очень хорошо, далеко не все отрабатывает. Гораздо правильнее разбить на несколько. Как оказалось, 3 и 4 ветка phpmyadmin имеют некоторые отличия. В четвертой ветке некоторые значения задаются явно и в дампе несколько больше таблиц, нежели в 3 версии. Довольно странное отличии в количестве нижних подчеркиваний в названии таблиц: в третьей — одно, в четвертой — два. Думаю, в следующих версиях увеличат :)<\/p>\n
По моим прикидкам скрипт успели протестировать более чем на полусотне серверов, не считая мои и тестовые — все вроде ровненько прошло. На неделе, наверное, закинем на гитхаб<\/s> прогоним тесты повторно.. возможно мой вроде-код даже появится в релизе VestaCP. Код добавил на Github, никакого терпения не хватило :)<\/p>\n
PS: Слегка удивило, что фикс никто не сделал раньше и не сэкономил мне время (специально поискал в интернетах), вроде ничего сложного не было. Подозреваю, что все-таки пользователи тратят на это 5-10 минут и забывают или забивают вовсе :-)<\/p>\n
VestaCP Forum<\/b> — phpmyadmin fixer<\/a>
\nGithub<\/b> — Fixes for phpmyadmin (configuration storage and some extended features) <\/a><\/p>\nUbuntu<\/b><\/p>\nsudo wget --no-check-certificate \r\nhttps:\/\/raw.githubusercontent.com\/skurudo\/phpmyadmin-fixer\/master\/pma-ubuntu.sh \r\n&& chmod +x pma-ubuntu.sh && .\/pma-ubuntu.sh<\/code><\/pre>Debian<\/b><\/p>\nwget --no-check-certificate \r\nhttps:\/\/raw.githubusercontent.com\/skurudo\/phpmyadmin-fixer\/master\/pma-debian.sh \r\n&& chmod +x pma-debian.sh && .\/pma-debian.sh<\/code><\/pre>CentOS<\/b><\/p>\nwget --no-check-certificate \r\nhttps:\/\/raw.githubusercontent.com\/skurudo\/phpmyadmin-fixer\/master\/pma-centos.sh \r\n&& chmod +x pma-centos.sh && .\/pma-centos.sh<\/code><\/pre>",
"date_published": "2016-01-17T22:33:54+03:00",
"date_modified": "2016-06-09T12:35:09+03:00",
"tags": [
"CentOS",
"Debian",
"MySQL",
"php",
"phpmyadmin",
"Ubuntu",
"VestaCP",
"код"
],
"_date_published_rfc2822": "Sun, 17 Jan 2016 22:33:54 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "142",
"_e2_data": {
"is_favourite": false,
"links_required": [
"system\/library\/highlight\/highlight.js",
"system\/library\/highlight\/highlight.css"
],
"og_images": []
}
},
{
"id": "105",
"url": "https:\/\/skurudo.ru\/all\/ovh-you-failed-your-debian-8\/",
"title": "OVH, you failed your Debian 8!",
"content_html": "При попытке установить VestaCP на Debian 8 на сервере от Kimsufi натолкнулся на ошибку. Мне встречалась такая ошибка однажды, а раз уж встретилась повторно, то нужно задокументировать.<\/p>\n
cut: \/etc\/redhat-release: No such file or directory\r\ngrep: \/etc\/redhat-release: No such file or directory\r\nvst-install-rhel.sh: line 20: [: : integer expression expected\r\nError: No access to Vesta repository<\/code><\/pre>А все потому, что мудрые европейские ребята решили, что незачем писать версию дистрибутива в \/etc\/issue. Панель управления в свою очередь не может определить версию операционной системы и не может установиться. Для решения недоработки хостера достаточно указать версию и проблема будет решена.<\/p>\n
\n![\"\"](\"https:\/\/skurudo.ru\/pictures\/you-failed---yoda-style.png\")
\n<\/div>\nPS: Хочу заметить, что в инсталляциях с предыдущей версией Debain 7 версия указана корректно — Debian GNU\/Linux 7.8<\/p>\n",
"date_published": "2015-12-10T00:53:58+03:00",
"date_modified": "2015-12-10T01:23:31+03:00",
"tags": [
"Debian",
"Kimsufi",
"OVH",
"VestaCP"
],
"image": "https:\/\/skurudo.ru\/pictures\/you-failed---yoda-style.png",
"_date_published_rfc2822": "Thu, 10 Dec 2015 00:53:58 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "105",
"_e2_data": {
"is_favourite": false,
"links_required": [
"system\/library\/highlight\/highlight.js",
"system\/library\/highlight\/highlight.css"
],
"og_images": [
"https:\/\/skurudo.ru\/pictures\/you-failed---yoda-style.png"
]
}
},
{
"id": "98",
"url": "https:\/\/skurudo.ru\/all\/nginx-too-many-open-files\/",
"title": "Nginx — too many open files",
"content_html": "
Самое распространенное решение с ошибкой «too many open files», когда увеличение лимитов ulimit (\/etc\/sysctl.conf и \/etc\/security\/limits.conf) не помогает:<\/p>\n
worker_rlimit_nofile 16384;<\/code><\/pre>