חברים מובילים

לאחרונה אני עושה יותר עבודת " fine tuning" כמה דברים שהספקתי לעשות 1. Corwdsec : עידכנתי את הלוגים אותו הוא בודק, הוספתי בצורה תקינה יותר את הקונטנרים הרלוונטים באמצעות dockersocket : Nextcloud , Jellyfin , Immich , ומתקבלת עבורם חסימה בעת ניסיון לבצע עליהם BF : הוספתי תרחישים חדשים לסריקה יותר רחבה של עבור הLOG . הכנסתי סקפריט Python לעדכון אוטומטי של הIP של החיצוני ברשימת White list שלי, כי לפעמים נוצר מצב של False Positive בשימוש בOverseerr הוספתי עוד סקריפט שמאתחל את הקונטיינר לאחר שהוא יורד לגיבוי, משום הוא היה מפסיק מדי פעם לזהות תרחישים ולא מצאתי את הסיבה, אתחול לא עבד, אבל כיבוי והדלקה כן.אז העדפתי שהוא ירד לדקה לאחר הגיבוי ויעלה מחדש. כל התזמונים נעשים באמצעות הפלאגין User Scripts עכשיו Corwdsec גם משמש אותי כ Bouncer הוא למעשה שולח אל ה- Firewall של בראוטר, את הכתובות החסומות ע"פ התרחישים שיצרו את ההפרה , ואת הרשימה הדינמית הכתובות לחסימה של CROWDSEC שזה בערך K 15 זה לא היה קל, ולקח זמן מה, לאחר שהגדרתי את הכל, Crowdsec שולח הכתובת לחסימה לראוטר, ואז למעשה Firewall חוסם את הכתובת ל24 שעות כפי שהגדרתי. אבל החסימה לא קרתה בפועל , כי אחרי הרבה חפירות מסתבר שהרשומות ב Firewall שלי הן iptables ולא nftables מודרנית וPlugin OpenWrt מיועד לשימוש עם nftables התייעצתי עם GPT והוא המליץ לי להוריד את הגירסה המתאימה, אבל היות והיא לא קיימת בתוך הIMAGE הונחתי לשלוח אותה בפקודת scp שהיא למעשה מאפשרת לשלוח קבצים אל תיקיית הtmp ברשת : (root@******:~# scp /path/phth/crowdsec-firewall-bouncer-linux-arm64.tgz root@192.168.8.X:/tmp/) אז שלחתי אותה אל הראוטר מהשרת. בצעתי את ההתקנה, הגדרתי את קובץ הקונפגורציה והכל נראה שעובד, אבל לא , מסתבר שהיה תהליך נוסף מהתקנה הקודמת שעדכן בכל פעם את הBouncer להשתמש ב nftables הלא נתמך. לאחר תיקון של בעזרת GPT . הכל סודר, התחלתי בדיקה. פתחתי את פורט 22 - שכמובן באופן רגיל לא חשוף אצלי , ושלא מומלץ לחשוף אותו לעולם בחוץ, אבל זה היה רק לבדיקה שהכל עובד. נכנסתי עם Termius לכתובת הIP והתחלתי לבצע Brute force על הסיסמא. קיבלתי חסימה כמעט מיידית מCrowdsec ההתראה שקיבלתי על ניסיון הכניסה לאחר שנחסמתי, כמו שניתן לראות מהתמונה: בדקתי האם הראוטר מבצע DROP לPacket עם הכתובת החסומה, והאכן הכל עבד, כנדרש. הסרתי את החסימה באמצעות הAgent בשרת, בדקתי שפועלת המחיקה עובדת, התחברתי שוב ואכן היה ניתן לעשות Login. כך הכתובת כבר לא ברשימה השחורה, הרשימה דינמית. . במהלך הבדיקה שלי נחסמה כתובת IP קנדית שחיפשה פורט 22 באותה הדרך אז כמו שכבר ציינתי קודם אני יותר בשלב של fine tuning Redis לשימוש בNextcloud ובהמשך אני חושב להחיל את זה חיצונית במקום הDockermode מתוך הIMAGE Nextcloud אז רציתי לייעל את הביצועים של Nextcloud והוספתי לו חיבור ל redis וכל ניהול התהליכים בCache מתנהלים באמצעתו, זה אומנם פחות קריטי כאשר יש סה"כ 2 משתמשים, אבל החלטתי בכל זאת לעשות את זה. Immich עידכנתי את הimage לתמיכה בCUDA . וכל לימוד המכונה (זיהוי פנים, זיהוי חכם) והמרת וידאו נעשה ע"י כרטיס המסך P400 הצנום שלי, נראה שזה קטן עליו. הוספתי RAM DISK עבור עוד קבצים זמנים שמתנהלים ברקע + והמרת וידאו (כמו שעשיתי עם JELLYFIN וPLEX קודם) וכמובן הכנסת פקודה לקובץ CONFIG/GO ליצירת התיקייה בזיכרון כאשר מאתחלים את השרת. ClamAV - אנטיוירוס אין יותר מדי מה להרחיב. Kometa – עברתי להפצה של linuxserver , מי שלא מכיר זה כלי להוספת מידע על גבי הפוסטרים ציון, פרסים אוסקר וכו' בPLEX בנוסף הוא יכול ליצור לכם Collection ע"פ בחירתכם (שחקן, פרסים,אולפנים, וכו') . Kometa-Quickstart מי שרוצה לנסות את Kometa ולא רוצה להסתבך עם הקונפיגורציה הקשוחה שלו , ממליץ להתקין את Kometa-Quickstart שהוא למעשה מפשט את תהליך יצירת yaml למשהו פשוט בצורה מגוחכת, אתם בוחרים מה אתם רוצים , מכניסים את פרטי החיבורים הרלוונטים והוא מייצר לכם את הקובץ ונשאר לכם רק להכניס את זה לתיקייה של Kome ImageMaid – הוא למעשה כלי משלים של KOMETA, הוא מסיר את כל הזבל מהתיקייה של PLEX שנוצר ע"י KOMETA וע"י PLEX . Cleanuperr – הוא למעשה משתלב בין arr לבין מנוע ההורדות (Torrent) הוא ימחוק בשבילכם קבצים link בעיתיים שנפוצים, ישלח לARR הוראה לחסימה להורדה עתידית + ויבצע חיפוש חדש, כנ"ל לגבי הורדות תקועות ב matadata או queue והכל ע"פ הגדרה של זמן או קצב הורדה. Huntarr – גם חלק מן משפחת ה arr הוא מיועד ומכוון לחפש ולהשלים את החוסרים של האוספים שלכם, פחות בשימוש אצלי. הגדרתי אותם לרוץ בטור לצורך יעילות, PLEX מבצע תהליכים עד 4 בבוקר, ב4 בבוקר המערכת יורדת לצורך גיבוי AppData והגדרות של הקונטנרים , ועולה בערך ב4:20 ,ב5 בבוקר הmover מתחיל לעבוד ומעביר את הגיבוי מNVME אל המערך, לאחריו ב 05:30 רץ Kometa ומעדכן נתונים חסרים ומעדכן אוספים. ב7:30 המנקה ImageMaid מנקה את קבצי הזבל. Flaresolverr – עבור prowlarr במצבים בהם האתר מפעיל Cloudflare and DDoS-GUARD CA Auto Update Applications – פלאגין לעדכון הקונטנרים , והפלאגין בצורה אוטומטית, עובד נהדר, אבל בשלב זה הוא לא פעיל בצורה נרחבת אצלי . Cache Mover – הוא מיועד למעשה להעביר מדיה מהדיסק הקשיח אל הSSD , פותחים סרט ממתינים 120 שניות והוא למעשה יעביר את המדיה אל SSD לצורך יעילות, וגיבוי הדיסק הקשיח – טרם ניסית. iotop (C Version) + Open Files + File Activity - משמשים אותי לצורך זיהוי מה מעיר את הדיסקים הקשיחים שלי Parity Check Tuning – מיועד להתאים יותר את Parity Check לרצונות שלי , הפסקה הבדיקה בזמנים מסויימים , הוא הרצה בחלקים (לדוגמא רק בלילה בשישי ב12 בלילה וכו' ) , הפסקה כאשר הדיסקים מגיעים לטמפ מסויימת. Compose Manager - מיועד לאיחוד שירותים לדוגמא, Nextcloud צריך את MariaDB כדי לעבוד ואת Redis כולם יאוחדו לשירות אחד כך שאם DB למטה מסיבה כלשהי כל השאר ישארו למטה, לא התחלתי ליישם אבל חושב לעשות את זה בהמשך. הוספתי תזמונים ליעילות : - הכנסת כ.מסך למצב שינה כשאין שימוש - ביטול ההגבלה של NVIDIA למספר ההמרות שהכרטיס יכול לעשות. החלפת הDisk on key , לאחר שחזרתי לאחור מהגירסה האחרונה של הUNRAID הDisk on key עשה בעיות בעת המחיקה שלו, היה קושי לאתחל אותו במחשב, לתחושתי הוא התקרב לסוף חיו, החלטתי להעביר את המידע לשיטה אחרת ומומלצת, רכשתי כרטיס זכרון MicroSD תעשייתי (kingston micro sdhc industrial 16gb) ב67 שח, וקורא MicroSD של sandisk mobilemate usb 3.0 (40 ₪) ככה הרישיון משויך לקורא כרטיסים וניתן להחליף כרטיס זיכרון כמה שרוצים, למרות שכרטיס הזיכרון יש עמידות של עד . 1920 TBW אני חושב להוסיף בהמשך להוסיף דיסק און קיי נוסף אליו ירדו הגיבויים היומיים רק של הדיסק און קיי או לחבר את הgoogle drive לNAS כדי להוריד אליו את הגיבוי היומי, במקום אל המערך עצמו. כרגע זה פחות קריטי.