Bash Days | Linux | DevOps

Пентест — это не разовая акция, а непрерывный процесс. Но как управлять этим процессом и оправдать ожидания руководства и клиентов? На открытому вебинаре 21 июля в 20:00 МСК мы расскажем, как эффективно управлять процессом тестирования на проникновение, подбирать и развивать сильную команду пентестеров, а также оценивать результативность с помощью метрик. Узнайте, как подготовить обоснования для следующего цикла тестирования и повысить окупаемость инвестиций в безопасность. Этот урок особенно полезен для менеджеров информационной безопасности, технических директоров, тимлидов и HR в IT. Регистрируйтесь на вебинар и получите скидку на большое обучение «Пентест. Инструменты и методы проникновения в действии»: https://vk.cc/cNLVjU Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576

Сижу вчера втыкаю в домашки LF, звонок в домофон: — Роман? — Я не Роман, я Олег! — Вам посылка! — Хм… ну ок, заносите… Вроде ничего не заказывал, думаю мож супруга покушать намутила — неа! Вручают мне коробку, метр на метр, я в ахуе. Расписался, закинул презент в буферную зону и пошел дальше работать.

У меня есть такая херня, что я забираю посылки и могу их потом только спустя месяц распаковать. Потому что уже ничего не удивляет. То блядь набор для варки шоколада пришлют, то машинку для интимной стрижки. Хуй знает чем вообще работодатели руководствуются. Всякую шляпу на ДР вечно дарят. Я ебал шоколад варить! Вот до сих пор лежат посылки с алихи для самохостинга нераспечатанные. Всё собираюсь распаковать и пост для тебя накидать, но пока никак руки не дойдут. После тайги обещаю распаковать и поделиться сборкой.

В этот раз что-то пошло не так и я распаковал «контейнер», любопытство взяло своё. А там — Селектел и что-то про балансировку. Ну думаю — сбылась мечта идиота, теперь у меня есть Ти-Рекс в полный рост! Сяду на него и буду балансировать. Ну либо как минимум бумажная документация по управлению облаками и провайдерами терраформа. По факту удивили. Сначала я нихуя не понял что это, какая-то доска и бочка, в бочке явно не пиво… гуси какие-то на картинках… Но сын прояснил — батя, это баланс-борд! Но тебе на нём нельзя, у тебя ипотека, тебе её еще 300 лет выплачивать. Лана чё, колесики приделаю и буду как в молодости на скейте гонять, яж сука девопс-инженер. Ну или зимой сёрфить с горки как на сноуборде. Сюрприз удался! Во-первых — неожиданно, во-вторых это не набор для варки шоколада и т.п. Это ебать — борд! Вот бы мне такой в 16 лет!

Спасибо всем причастным к этому сюрпризу, отдельное спасибо Ксении, Анне, Марии. Ну и девочкам из саппорта, которым пришлось пережить все мои безумные тикеты касаемо SelectOS.

Фотосы прикладываю, там еще приглашение на Day-Off халявный, но я увы не в Питере, но в онлайне схожу позырю, мож чё нового расскажут. Можешь тоже сгонять, фоном попырить. Короче все запечатлел, поделился. Всем спасибо и хороших предстоящих выходных, берегите себя и своих близких! 🛠 #рабочиебудни — ✅ @bashdays ✅ @linuxfactory ✅ @blog

Обеспечиваем контроль, скорость и надежность для корпоративного S3-хранилища 22 июля, на бесплатном вебинаре в 15:00, эксперты VK Tech и iSpace расскажут, как управлять S3-хранилищем. Спикеры разберут основные сценарии использования объектного хранилища и покажут, как настроить удобную работу с ним через платформу iSpace. Зарегистрироваться В программе 🔹 Что такое коробочное хранилище Object Storage (S3) 🔹 Какой вариант поставки выбрать: облако, программный продукт, ПАК 🔹 Как решение VK Tech обходит ключевые ограничения альтернативных S3-хранилищ 🔹 Кейсы заказчиков 🔹 Возможности визуального интерфейса iSpace 🔹 Демонстрация Object Storage и iSpace в работе 🔹 Ответы на вопросы участников Регистрируйтесь, чтобы узнать, как хранить и обрабатывать данные с полным контролем, максимальной скоростью и гарантированной надежностью. Зарегистрироваться

Довольно частый вопрос с LF — Как жить с gitlab раннерами? Да просто там всё. Если у тебя основная инфра в кубе, то в кубе и крутим. ㅤ Ну а если ламповые сервера, без всей этой кубовой хуйни, то вариантов не много. Заводим себе отдельный сервер/сервера, чисто под раннеры. Заводим с учетом на то, что на этих серверах будут собираться докер образы. Со временем место будет забиваться. Здесь важно раздуплить себе какой-нибудь гарбаж коллектор, либо башник в крону накидать.

Часто раннеры пихают прям на продакшен сервера, где крутятся все бизнес процессы. В этом случае продакшен превращается в помойку, нагрузка постоянно скачет при сборках/деплое и т.п. Это хуёвая практика, на продакшене такого быть не должно. Лишь поэтому мы и поднимаем отдельный сервер под раннеры.

Подняли сервер, нарегали нужных раннеров. В идеале это процесс автоматизировать, ансибл-хуянсибл ну или чё там у тебя есть. Раннеры можно зарегать на один токен: Сервер 1

gitlab-runner register \
  --url https://gitlab.com/ \
  --registration-token ABCDEFG123456 \
  --executor docker \
  --description "runner-1"

Сервер 2

gitlab-runner register \
  --url https://gitlab.com/ \
  --registration-token ABCDEFG123456 \
  --executor docker \
  --description "runner-2"

В морде гитлаба появятся 2 отдельных раннера, а далее гитлаб будет балансировать между ними. Также можешь указать одинаковые теги. Тут у нас все сводится в сторону масштабируемости. Раннер 1

--description "runner-fast"
--tag-list "docker"

Раннер 2

--description "runner-slow"
--tag-list "docker"

В .gitlab-ci.yml у нас так:

build:
  script: echo "Building"
  tags:
    - docker

Задание пойдет на тот раннер, который раньше освободится. Если оба свободны — гитлаб рандомно сделает выбор, приоритетности нет. Если важна приоритетность, можно поиграть в юните с параметром GITLAB_RUNNER_PRIORITY.

Короче если хочешь распределять нагрузку по раннерам с одинаковыми тегами, и раннера работают на разных машинах, просто регистрируй всех с одинаковыми тегами — гитлаб сам уже всё разрулит.

А как деплоить? Тоже всё просто, ssh/rsync в помощь, раннер подключается к нужному серверу, например по ssh и выполняет все необходимые команды. Затаскивает новый докер образ, стопорит старый, запускает новый. Как-то так:

deploy:
  stage: deploy
  script:
    - |
      ssh $SSH_USER@$SSH_HOST << EOF
        docker pull $IMAGE_NAME
        docker stop my_app || true
        docker rm my_app || true
        docker run -d -p 5000:5000 --name my_app $IMAGE_NAME
      EOF

Подключаемся под юзером из переменной $SSH_USER к хосту из переменной $SSH_HOST. Ну и запускаем команды. Важно! Если у тебя 100500 раннеров — ты с ними заебешься, поэтому на моменте регистрации, сделай себе табличку, пропиши в них теги раннеров и на каких серверах они у тебя живут. Опять же это можно сделать через ансибл-роль, либо скриптом генерить. Тут уже сам наколдуешь. Основное рассказал, если что-то еще вспомню, накидаю. Если у тебя есть мысли, пиши в комментарии, будем обсуждать. 🛠 #devops #linuxfactory #cicd — ✅ @bashdays ✅ @linuxfactory ✅ @blog

🛠 Игра начинается: лутайте призы на сервере Selectel в Minecraft   Пока вы работаете, пиглины добывают золото в недрах Незера. Пора и вам немного развеяться: присоединяйтесь к игре на сервере Selectel. Стройте, исследуйте, конкурируйте — или просто создайте ферму из кактусов, никто не осудит.   На сервере три режима игры под разное настроение:   ▪️ Ванильное выживание на нормальной сложности — бессмертная классика с мини-квестами и внутриигровыми наградами каждый день. ▪️ Креатив с пиксельными дата-центрами Selectel, гигантскими фигурками героев аниме и другими постройками. ▪️ Арена — особый режим, на котором раз в неделю будут запускать разные PVP- и PVE-события с призами.   На сервере нет и не будет донатов. Чтобы начать, достаточно установить на ПК копию Minecraft Java Edition 1.21.5 или новее, а затем зарегистрироваться ➡️ Реклама. АО «Селектел», ИНН 7810962785, ERID: 2VtzqvMSECw

Слыхал про with-lock-ex, flock, lckdo? Если коротко, это штуки, которые не дают запустить второй экземпляр скрипта/программы, если первый ещё работает. ㅤ Всё это и многое другое входит в пакет moreutils, в убунтах из коробки я их не нашел, пришлось ставить. Но это детали. В этот пакет входит еще дюжина полезных хуёвин. Например (нажми на спойлер):

sudo apt install moreutils chronic — показывает вывод команды, только если она завершилась с ошибкой. combine — логические операции над двумя файлами (как `sort` + `comm`, но проще). errno — выводит описание кода ошибки (EACCES 13 Permission denied). ifdata — dыводит информацию о сетевых интерфейсах в скриптабельном виде. ifne — выполняет команду только если предыдущая команда что-то вывела (if-not-empty). isutf8 — проверяет, является ли файл валидным UTF-8. и так далее…

Вернемся к lckdo (Lock and Do). Это обёртка вокруг flock. Как и написал выше, оно не позволяет запуститься второму экземпляру программы/скрипты. Допустим у тебя что-то запустилось по крону, не успело завершиться и через промежуток снова запускается. Наплодилось 100500 процессов, сервак встал раком, а потом и тебя поставили раком. lckdo — cтавит блокировку на файл, если блокировка прошла — выполняет указанную команду, если не удалось — завершает выполнение (по умолчанию). Давай на практике! В первом терминале запускаем:

lckdo /tmp/bashdays.lock bash -c 'echo start; sleep 60; echo done'

Во втором терминале запускаем:

lckdo /tmp/bashdays.lock echo "Hello bashdays"

И получаем: lckdo: lockfile /tmp/bashdays.lock' is already locked По умолчанию lckdo ничего не ждет, если нужно, чтобы он ждал до освобождения блокировки, добавляем -w.

lckdo -w /tmp/bashdays.lock echo "I'm free"

Теперь когда файл /tmp/bashdays.lock будет отпущен, отработает команда и выведет на экран I'm free. Как lckdo работает с lock-файлом. 1. Файл /tmp/bashdays.lock сам по себе ничего не блокирует. 2. Блокировку держит процесс, который открыл файл и вызвал flock/lckdo на него. 3. Когда процесс завершается — блокировка автоматически снимается. Даже если файл /tmp/bashdays.lock остаётся на диске — он больше не заблокирован, и lckdo снова сможет его использовать. Всё логично, вот еще одни пример с кроном:

* * * * * lckdo /tmp/bashdays.lock /usr/local/bin/bashdays.sh

Скрипт не будет запущен, если предыдущий запуск не завершился. Такие дела. Бери на вооружение, возможно где-то в хозяйстве сгодится. 🛠 #linux — ✅ @bashdays ✅ @linuxfactory ✅ @blog

🔒⚙️ Как разделить корпоративную сеть на VLAN и повысить безопасность данных? Приглашаем на открытый вебинар «VLAN и маршрутизация: почему без них не обойтись в любой компании» 23 июля в 20:00 МСК. На вебинаре вы узнаете: - Зачем бизнесу нужно разделение сети на VLAN? - Как маршрутизация между VLAN помогает контролировать трафик и защищать данные? - Как настроить Access и Trunk порты на оборудовании Cisco? После вебинара вы сможете настроить VLAN, изолировать гостевые сети, создавать и конфигурировать порты для подключения и маршрутизации, а главное — освоите базовый навык, необходимый каждому сетевому инженеру. Урок проходит в преддверии старта курса «Network engineer. Basic». 👉 Регистрация для участия: https://vk.cc/cNK9nv Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru

Порой заёбываешь подбирать свободный домен для собственных нужд, но на любую хотелку уже есть утилита. ㅤ Сегодня тыкаем domain-check. Как раз вышла новая версия v0.6.0. Проект молодой, но достаточно перспективный, а самое главное с отрытым исходным кодом. Установка простая:

curl https://sh.rustup.rs -sSf | sh
. "$HOME/.cargo/env"
cargo install domain-check

Либо качаем отсюда бинарник под свою ОС. Запускаем проверку доменов:

domain-check linuxfactory -t ru,com,io,dev

Опа, опа, нихуя се!

linuxfactory.dev AVAILABLE
linuxfactory.ru TAKEN
linuxfactory.com TAKEN
linuxfactory.io AVAILABLE

Summary: 2 available, 2 taken, 0 unknown (processed in 0.9s)

Выбираем свободный и по желанию регаем. У domain-check дохера ключей и методов подбора/проверки. Киллер фича — можно создать статичный конфиг и использовать его, без хуйни и ключей. Там блядь не просто утилита, а целый комбайн. Расписывать не буду, если интересно можешь сам сюда зайти и повтыкать. 🛠 #utilites — ✅ @bashdays ✅ @linuxfactory ✅ @blog

Пассворк 7: новый взгляд на корпоративное управление паролями Российский разработчик решений в области информационной безопасности Пассворк выпустил самое масштабное обновление корпоративного менеджера паролей за всю историю продукта: в седьмой версии переработаны интерфейс, архитектура и инструменты интеграции. Полнофункциональный API Новый API открывает доступ ко всем функциям Пассворка, позволяя автоматизировать любые процессы: от массового создания пользователей до гибкой настройки политик безопасности. Расширенное логирование и уведомления Пассворк фиксирует каждое действие пользователей и изменение в системе. Администраторы получают полную картину происходящего и могут быстро реагировать на подозрительные события. Обновлённый интерфейс Проведён глубокий анализ пользовательских сценариев: навигация стала проще, доступ к ключевым функциям — быстрее, визуализация данных — понятнее. Гибкая система ролей и групп Пассворк 7 позволяет создавать любое количество ролей и групп для точного и гранулярного распределения прав доступа к данным и управлению системой. Интуитивная структура хранения Система сейфов стала удобнее: понятная иерархия, быстрый поиск, прозрачные права доступа. Система запросов помогает контролировать, кто имеет доступ и к каким данным. Инструменты для DevOps Пассворк 7 предоставляет полный набор инструментов для быстрой интеграции в корпоративные процессы: подключение к SIEM-системам, безопасное хранение секретов, CLI-утилита, Python-коннектор и детальная документация. Поддержка PostgreSQL и Pangolin Пассворк 7 поддерживает установку на базах данных PostgreSQL и Pangolin и легко внедряется в инфраструктуру любой сложности. Если в вашей компании ещё нет единого подхода к управлению паролями — самое время бесплатно протестировать Пассворк 7 и убедиться: управление паролями может быть прозрачным и надёжным. Реклама. ООО «Пассворк», ИНН: 2901311774, Erid: 2Vtzquzwqod

CRON в первый рабочий день месяца ㅤ Да, ключевой момент тут именно в «рабочий день». Задачка вроде не тривиальная, но как оказалось cron нихуя не умеет определять рабочий сегодня день или нет. И systemd timer тоже не умеет. Никто ничо блядь не умеет. Мы с тобой не пальцем деланы, изобретем свой велосипед! Чтобы реализовать желаемое, я изобрел такую кишку:

0 8 1-3 * * [ "$(date +\%u)" -lt 6 ] && [ "$(curl -s https://isdayoff.ru/$(date +\%Y\%m\%d))" = "0" ] && /usr/local/sbin/bashdays.sh

Выглядит монструозно, но блядь... Можно в сам скрипт проверку забить, но это еще один костыль. Что тут происходит? Короче… 0 8 1-3 * * — Запуск 1–3 числа месяца в 08:00. Потому что первый рабочий день месяца может выпасть на 1-е число, если это будний день. 2-е число, если 1-е — выходной. 3-е число, если 1-е и 2-е — выходные (например, сб + вс). [ "$(date +%u)" -lt 6 ] — Проверяем, что сегодня будний день (1–5 = Пн–Пт). Пусть тебя здесь 6ка не смущает. Она означает: день меньше 6, т.е. 1, 2, 3, 4, 5 — это будни (Пн – Пт). curl ... = "0" — Проверка, что сегодня рабочий день по календарю РФ, выполняется через АПИху производственного календаря. && /opt/scripts/first-workday.sh — Выполняем только если сошлись оба условия. То есть АПИха возвращает 0 если сегодня будни. Если выходной, то оно вернет что-то другое. Тут еще бы для curl и date указать что-то вроде CURL=$(which curl), а то крон частенько залупается и не знает откуда запускать эти команды. Всегда старайся указывать полные пути до программ и утилит. Это распространенный кейс, крон вроде отрабатывает, но ничего не работает. А оно просто не знает откуда запускать, то что ты ему прописал.

Да, есть зависимость от внешнего API и порой это пиздец хуёва. Отвалилась АПИха, скрипт не получил данные. Поэтому рекомендую сделать себе собственный микросервис с АПИхой и ни от кого не зависеть. Тем более если сервер в оффлайне, запрос на внешнюю АПИху он сделать не сможет.

Если знаешь еще какие-то способы, велком в комментарии. 🛠 #bash #linux — ✅ @bashdays ✅ @linuxfactory ✅ @blog

Хочешь ворваться в DevOps и наконец понять, как работают Kubernetes, Docker и CI/CD? Ребята из Merion Academy (того самого Youtube-канала про IT), создали курс, который помогает не просто смотреть уроки, а реально учиться: ✔️ Грамотно подобранная программа курса. ✔️ Много практики. ✔️ Помогают разобраться с затыками. ✔️ Отдельно помогут с карьерой: как составить резюме, пройти собеседования и найти работу. Что интересного в программе: 1. Построение CI/CD пайплайнов в GitLabCI и Jenkins 2. Настройка мониторинга с Zabbix, Prometheus и Grafana 3. Понимание DevSecOps, ZTNA, SASE, Defense in Depth 4. Работа с Docker, включая Docker Compose и Multistaging 5. Infrastructure-as-Code: Terraform и Ansible 5. Работа с хранилищем данных Redis Какие технологии освоишь: Docker, Ansible, Grafana, Kubernetes, Terraform, Zabbix, ELK, Jenkins, Prometheus Какие еще есть плюшки: у ребят очень доступные цены за счет того, что курс хоть и с ментором, но рассчитан на самостоятельное обучение – т.е. учишься в любое время, когда тебе удобно в образовательной платформе. ❇️ Первые 2 урока бесплатные — попробуй и реши, твое ли это. Подробнее о курсе https://wiki.merionet.ru/merion-academy/courses/devops-inzhener-s-nulya/?utm_source=tg&utm_medium=paid&utm_camapgin=BashDays Реклама. ИП Корольков А. П. ИНН: 025609862202, ERID: 2Vtzqvs8yxb

Напозырить и ужаснуться 50 GNU Commands VS 50 PowerShell Commands ㅤ 🛠 #bash #powershell — ✅ @bashdays / @linuxfactory / @blog

Имена файлов удаляются с помощью системных вызовов unlink, unlinkat. ㅤ Ну дак вот. Когда счетчик ссылок (имен) становится равен нулю — файл удаляется. Физическое удаление (блоки маркируются свободными) происходит когда больше никто не удерживает файл. То есть процесс закрыл последний дескриптор ассоциированный с файлом. Давай попробуем поймать (открыть файл) до того, как запустится вызов unlink. Создаем искусственный временный файл:

printf '%s\n' {a..z} > /tmp/sh-thd-bashdays

Создаем и запускаем скрипт:

#!/bin/bash

file=/tmp/sh-thd-bashdays
exec 3< "$file"  
rm -vf "$file"      # Имени уже нет 
read -N 4096 -ru 3  # Но мы читаем  
printf '%s' $REPLY  # Выводим
exec 3>&-  
exit

Что тут происходит? exec 3< - файл открывается на чтение, привязывается к дескриптору 3 и с этого момента файл начинает жить в «памяти» в open file table ядра, даже если мы его ёбнем удалим. Дескриптор 3 теперь указывает на открытый файл, независимо от имени. rm -vf - файл удаляется из файловой системы, имени больше нет, НО, его содержимое еще доступно, потому что он открыт. read -N 4096 - читаем до 4096 байт из открытого файла через дескриптор 3. exec 3>& - закрываем дескриптор 3 и после этого файл окончательно исчезнет, если его больше никто не держит, а ядро высвобождает ресурсы. Итоги: Эта фишка демонстрирует, что можно удалить файл, но продолжить его использовать если он был открыт на момент удаления. Это классическая Unix-модель: имя файла — не сам файл, а просто ссылка.

Если держишь дескриптор — файл всё ещё существует.

А тут как-то рассказывал, как восстанавливать удаленные файлы, в том числе и запущенные. Чтиво почитать: man 2 unlink man 2 unlinkat 🛠 #linux #bash — ✅ @bashdays / @linuxfactory / @blog

Успейте посетить XXI конференцию разработчиков свободных программ «Базальт СПО» совместно с Институтом программных систем им. А.К. Айламазяна РАН проводит XXI конференцию разработчиков свободных программ. Мероприятие пройдет 3–5 октября 2025 года в г. Переславле-Залесском на базе ИПС РАН. Оргкомитет принимает заявки на доклады по следующим темам: 🔸Разработка свободного программного обеспечения; 🔸Новейшие достижения проектов СПО; 🔸Формирование сообщества разработчиков СПО; 🔸Философские, культурные и правовые аспекты свободного ПО; 🔸Студенческие проекты разработки СПО; 🔸Разработка свободного аппаратного обеспечения (OSHW). Тезисы докладов выйдут отдельным сборником и будут опубликованы в национальной библиографической базе данных научного цитирования РИНЦ. Сроки подачи заявок Для докладчиков: 🔸Подача заявки — до 7 сентября; 🔸Тезисы доклада — до 11 сентября. Для слушателей: 🔸С трансфером из Москвы — до 29 сентября; 🔸Тех, кому не нужен трансфер, — до 1 октября. Участие для докладчиков и слушателей бесплатное. Подробнее о мероприятии читайте в статье Реклама. ООО «Базальт СПО», ИНН: 7714350892, Erid: 2VtzqxQ2YLo

Хочется двухфакторную аутентификацию, но внутренний параноик запрещает пользоваться сторонними сервисами аутентификации. 🔤🔤🔥🔤🔤🔤🔤 Хочу рассмотреть концепт и выслушать замечания от уважаемых людей. Итак, идея проста. 1. Прописываем shell-скрипт пользователю в качестве shell. Или группе в ForceCommand в sshd_config. ㅤ 2. После первого уровня (пароль или ключ) запускается скрипт. 3. Скрипт выводит на экран код и отправляет на почту/телегу админу сообщение о попытке аутентификации (ведь первый уровень аутентификации пройден) пользователя с UID (чтобы не светить логины на сторонних ресурсах.) 4. Сам скрипт никаких дополнительных действий от пользователя не требует, и завершается через некоторое время (3-15 минут) если от пользователя нет кода. 5. Пользователь отправляет код по почте и/или боту в телегу. Причем пользователь заранее должен знать, по какому адресу отправлять код. 6. Скрипт, периодически проверяя почту/телегу, при получении нужного кода передает управление bash. УРА, Я В ДОМИКЕ. 7. Если код не пришел, в лог записывается инфа, timestamp username. Если кто-то попытается досить - другой скрипт (нужны права) может банить. 8. В качестве дополнительной ограничительной меры в /etc/passwd в поле 5 GECOS можно прописать мыло или номер tg-чата, с которого ожидается код. 9. Скрипт завершается при любой ошибке. Ну и конечно, Пользователь отправляет код с телефона, а не того компа, с которого подключается по ssh :-) 🛠 #вопросвзал — ✅ @bashdays / @linuxfactory / @blog

reexec VS reload Порой народ путает команды systemctl daemon-reload и systemctl daemon-reexec. ㅤ С виду вроде похожие, но нет. Спросил тут на досуге товарища — а ты знаешь чем они отличаются? Да, ответил товариш, reexec это старая версия перечитывания сервисов и юнитов. Я обычно делаю так:

systemctl daemon-reexec
systemctl daemon-reload
systemctl enable node_exporter
systemctl start node_exporter

Неее… так не нужно! Это хуйня! По крайней мере первая команда тебе тут не нужна для перезапуска и обновления сервисов. Команда systemctl daemon-reexec перезапускает сам systemd, это нужно например при обновлении бинарников systemd, но никак не для перезапуска юнитов и сервисов. После редактирования *.service / *.timer / *.mount файлов, достаточно сделать daemon-reload, эта команда перечитает unit-файлы. Обычно проходится по каталогам:

/etc/systemd/system/
/lib/systemd/system/
/usr/lib/systemd/system/
/run/systemd/system/

То есть она перезагружает только конфигурацию юнитов, без перезапуска сервисов. Так что не путай, в большинстве случаев тебе достаточно daemon-reload. 🛠 #linux #tricks #debug #systemd — ✅ @bashdays / @linuxfactory / @blog

Бесплатный вебинар «Неочевидные проблемы Kubernetes, которые вы могли пропустить». На вебинаре: Типовые ошибки, которые можно допустить при деплое сервисов в кластер — от некорректной настройки лимитов ресурсов, до более сложных кейсов с admission webhooks. ⭐️В конце вебинара — рекомендации по настройке вашего кластера и приложений для безотказной работы. Когда: 16 июля в 19:00 Занять место ➡️ в боте. Больше про основы настройки Kubernetes — на курсе «Kubernetes База» от Слёрма. Реклама ООО «Слёрм» ИНН 3652901451

Сегодня будем убивать неугодные сервисы. Нет, тут будет не про kill и т.п. а будет все тот же systemd. Короче в юните можно указать параметр RuntimeMaxSec, в нем задаём время жизни сервиса. Если сервис работает дольше указанного времени, то ему песда. Systemd принудительно завершит его. ㅤ Удобно применять для сервисов, которые не должны жить вечно. Нет ничего вечного! Например, временные задачи, вспомогательные демоны, скрипты и т.п.

[Service]
RuntimeMaxSec=30s

0s, 5min, 1h, 2d — интервалы infinity — отключение лимита А что будет если время вышло? Как и написал выше — будет песда! Systemd пошлет SIGTERM. А если сервис сука живучий и не завершился, то в ход пойдет тяжелая артиллерия через TimeoutStopSec, тут уже будет послан SIGKILL. Но его нужно предварительно прописать. TimeoutStopSec= — это время ожидания корректного завершения сервиса после того, как systemd послал ему сигнал SIGTERM.

[Service]
ExecStart=/usr/bin/python3 /opt/scripts/bashdays-task.py
RuntimeMaxSec=60

Этот сервис будет убит через 60 секунд после запуска — даже если скрипт ещё не завершился.

[Service]
ExecStart=/usr/bin/bashdays-daemon
RuntimeMaxSec=60
TimeoutStopSec=10

Если bashdays-daemon работает дольше 60 секунд → SIGTERM Ждём до 10 секунд → если не завершился → SIGKILL Частый паттерн

RuntimeMaxSec=300
TimeoutStopSec=5
Restart=on-failure

Сервис работает максимум 5 минут, и если завис — systemd подождёт 5 секунд на аккуратное завершение, а потом прибьёт его нахуй. А нахуя тут Restart=on-failure? Оно говорит — «если сервис завершился аварийно — перезапусти его» А завершение по SIGKILL из-за превышения времени жизни это и есть failure. Если не указать TimeoutStopSec, будет использоваться значение по умолчанию: 90 секунд — порой это дохуя, поэтому предпочтительнее задать его руками. Важный нюанс! Если в юните используется Restart=always, то после убийства, сервис будет перезапущен и возможно сразу «помрёт» если не изменит своё поведение. Такие дела, изучай! 🛠 #linux #tricks #debug #systemd #bash — ✅ @bashdays / @linuxfactory / @blog

Время выглянуть за рамки мониторов и взять в руки удочку Сделайте паузу от тасков и митов на летнем IT-фестивале от Selectel против выгорания! 🗓 27 июля 📍 Флагшток, Санкт-Петербург или онлайн В программе: - доклады и воркшопы о том, как встроить отдых в свой плотный график, - жизненные выступления на IT-стендапе, - возможность попробовать разные активности, чтобы найти новое хобби: скалолазание, бокс, кастом вещей, рыбалка Участие бесплатное, нужно просто зарегистрироваться: https://slc.tl/n6vi7 А чтобы посмотреть полную программу, заглянуть за кулисы подготовки и поучаствовать в розыгрыше лимитированного тирекса, подписывайтесь на @Selectel_Events