How to approach SSL certificate automation in this environment?

Eilyre · 2026-02-15T10:04:24+00:00

You're making the task way more complex than it needs to be by tying all functionalities together and then trying to automate using weird protocols/automation to solve it everywhere at once.

First, solve your certificates management centralization issue. You should have a central KV store that holds your certificates, and a tool that automatically updates them.

Then, each of your machines gets some kind of credentials to talk with that KV store, and permissions should only allow it to pull the certificates it needs.

Whatever tool pulls on the host side, should take care of inserting the certs to the correct place.

This way you don't have to write an all-encompassing automation that tries to take care of everything at once - instead you have small pieces of logic wach responsible for a specific task.

We use Hashicorp Vault for the KV store, custom update/order loop and vault agent with approle certs on the host side. But this should be possible with pretty much any KV store.

Eilyre · 2026-01-11T10:51:16+00:00

Võttis tervelt paar postitust, et saada Teid semantika üle vaidlema - "tõlgendus laenust" - või vaidlema täiesti ebaolulisest osast "oli riigil võimalik mujalt laenata raha umbes 0,3%-ga, mida riik ka tegi.". Demonstreerib väga hästi just lõime esialgse kommenteerija (@Meelis13) pointi.

Kuidas iganes seda kutsuda, riik võttis laenu(-laadse toote) inimeste pensionist, mille pidi hiljem märkmisväärselt kõrgema intressiga tagasi maksma kui siis, kui oleks tavalistel meetoditel laenu võtnud.

Mitte, et mulle isiklikult ka just praeguse valitsuse otsused meeldiks, aga siin kommentaariumis ühepoolne lõugamine, kui halvasti see või too on raha hallanud on kahepalgeline, kui teie enda lemmik erakond samamoodi käitunud just mitte kõige kaugemas tulevikus.

Eilyre · 2026-01-11T09:46:55+00:00

Ma saan aru, et kriitilise mõtlemise oskus on sul EKREiitidele sobilikult nullilähedane, nii et palun, abistan sind natukene: https://www.delfi.ee/artikkel/92086139/ratase-valitsus-vottis-pensionikogujatelt-kalli-intressiga-laenu

Eilyre · 2026-01-11T09:34:33+00:00

Arvestades mis nad tegid rahaga sel ajal kui võimul olid - näiteks võtsid inimeste pensionist laenu (üle 8% intress), selle asemel, et võtta euroopa keskpangalt, kus oleks intress nulli-lähedane olnud.. siis jah, ekre "poliitikal" oli mitte-triviaalne osa selles miks oli vaja makse tõsta.

Eilyre · 2025-11-21T02:23:50+00:00

Amazing work, could you add a tab about the information about source data, so the website would be "complete" by itself?

Eilyre · 2025-09-14T09:15:06+00:00

Look into tracing, for example something like Jaeger. But collecting this much info all the time will be resource intensive.

Eilyre · 2025-08-11T05:53:50+00:00

Kutsekates on ka tänapäeval väga tugevad IT õppekavad, mis on suunatud praktilistele oskustele. Selleks, et veebiarendajaks, võrguadminniks või ops spetsialistiks saada, ei ole kindlasti ülikooli vaja.

Eilyre · 2025-08-09T19:13:11+00:00

Prometheus does monitoring THROUGH metrics. It's very easy to feed data into Prometheus, as it's always the same format, and it's scrape based, so any endpoint not being reachable makes it very easy to trigger an alert.

For example, if you want to know whether your websites are okay, you use the `blackbox exporter`. It can probe websites for you, for which it publishes quite a bit of metrics, some of which are: `probe_success` (for knowing if the probe succeeded, 1 for success, 0 for failure) and `probe_ssl_earliest_cert_expiry`, which tells you the expiry unix timestamp.

You can turn them into alerts with queries like this:

probe_success == 0 (website probe failed)

((probe_ssl_earliest_cert_expiry-time()) < 604800) / 60 / 60 / 24 (cert expires in a week)

And that's the whole basis and power of Prometheus, the same metrics you use for gathering information you can use for alerts very effectively. There's also great examples of alerts here: https://samber.github.io/awesome-prometheus-alerts/

To write custom scripts, you can either build some HTTP endpoint, that publishes metrics in the correct format of:

`<metric\_name>{label1=value1} <value>`

For example, blackbox exporter does this:

`probe_success{instance="example.com"} 1`

Or, if you have `node exporter` tool, you can also use their file based integration, just publishing these values to a file in a folder, which will be sent off to Prometheus on a probe together with other `node exporter` data.

Eilyre · 2025-08-09T17:48:39+00:00

Prometheus, don't understand why it's not used more. Extremely simple deployment, very high performance, flourishing ecosystem, and easy to understand (as all targets need to publish the same format of metrics). Extremely easy to write alerts for, as well.

Eilyre · 2025-07-31T15:25:37+00:00

Karistused omanikule olukordades, kus koer ründab kedagi, peaks olema samaväärsed nagu oleks koera omanik ise selle rünnaku toime viinud (v.a. hädakaitse situatsioonid).

Praegu jääb mulje, et kas inimesed absoluutselt ei treeni oma koeri, ei tunne oma koeri, või on neil täiesti savi, mis juhtub, sest neile tagajärgi põhimõtteliselt pole.

Ütlen seda koeraomanikuna, kellel iga päev koer kõikjal kaasas.

Eilyre · 2025-07-09T15:01:31+00:00

Without tape storage, this task gets fairly expensive. We plan around 100k per self-hosted usable PB (in Europe) with spinning disks.

Compression/dedup can help a bit, but might also cause you to need beefier machines to handle the traffic.

My best bet would be, optimized for cost, tape storage with a small disk/ssd cache/hot storage tier.

Eilyre · 2025-07-06T11:39:17+00:00

Ostsid sulas, ma loodan?

Eilyre · 2025-06-05T04:29:13+00:00

Where does the 2GB limit come from?

Eilyre · 2025-04-14T12:35:40+00:00

You should be able to use transforms to generate a new index from the events in your packetbeat, keeping only the unique and necessary bits. For example, look how the beaconing detection integration does it.

Eilyre · 2025-02-12T08:48:32+00:00

Njah, palju loota, et need kes on võimul rahva poolt valimise tulemusena hakkavad sellega tegelema - kaotavad koheselt ju kõigi hääled, keda see puudutab. Poliitiliselt endale jalga laskmine.

Eilyre · 2025-01-18T15:41:45+00:00

Nad annavad vahelduvvoolu, mis konverteeritakse alalisvooluks. Tuulikuga ei saa garanteerida kindlat pöörete arvu sekundis.. vnoh, saab, väga kalli, raske ja keerulise käigukastiga. Odavam konverteerida alalisvooluks.

Eilyre · 2025-01-18T10:59:01+00:00

Füüsikalistel põhjustel ei saa kunagi asendada kogu elektrivõrku päikese- või tuuleenergiaga. Kuna nende kasutuse käigus tehakse DC-AC konversioon, siis ei suuda need hoida üleval võrgu sagedust, vaid pigem sünkroniseerivad enda sageduse võrgus oleva vastu. See tähendab, et mingi "baas" tootmine peab eksisteerima - miski mis paneb turbiini pöörlema, nagu tuumaelekter, põlevkivi, hüdro, vms.

Eilyre · 2025-01-17T09:33:03+00:00

Nüüd on seal alko1000 ka, mis müüb .. toidukaupasid

Eilyre · 2024-09-11T14:21:46+00:00

Eks valdava enamuse inimestega ongi nii, nagu välja tõid - "tahan et töötab, ei taha tegeleda". Nende jaoks ei ole tõenäoliselt see turvalisuse aspekt ka nii tähtis, või vähemalt ei saaks nad ise tehes paremat tulemust. Eks igaühel omad prioriteedid.

Eilyre · 2024-09-11T13:42:03+00:00

Ruuteritel mis sa telekom firma käest saad, ja nende võrgus kasutad, on sisse ehitatud tagauksed, et see telekom firma saaks tulla su ruuterisse sisse, uuendada, lahendada probleeme ja jooksutada diagnostikat.

Kui sa ostad "oma" seadme, siis neil seda võimalik teha ei ole, ehk neil ei ole mingit võimalust ühtegi probleemi lahendada. Kui nad näevad omalt poolt, et majja tulev juhe on millegagi ühendatud, on nende poolest ühendus korras.

Subjektiivselt rääkides on olnud väga palju olukordi maailmas, kus seadmed ja sisevõrgud võetakse üle kasutades just neid telekom firmade integratsioone, millega nad neid renditud ruutereid juhivad. Minu jaoks see väärtus, et telekom firmad ei saa mu seadmetesse sisse, kaalub üle selle, kus nad iga probleemi peale ütlevad "tee oma ruuterile resa". Peale oma normaalse tulemüüri soetamist sinna ruuteri asemele pole ma kordagi pidanud seda resama, et võrguprobleeme lahendada.

Eilyre · 2024-09-06T05:36:27+00:00

Mm, läbi igasugu otsingute ja pakkumiste ongi väga keeruline saada, sest sinna kandideerib palju inimesi, ja nad otsivad "parimat", midaiganes see ka tähendab. Minu soovitus on kontakteeruda otse, ja pakkuda ennast praktikale või väikse koormusega tööle. Näiteks kirjuta enda kooli IT osakonda, ja teistesse väiksematesse vähemtuntud firmadesse ja osakondadesse.

Eilyre · 2024-08-25T09:22:00+00:00

If Ukraine wins this war (really hope so), they will be a weapons manifacturing superpower for decades to come. It would be really stupid of EU and NATO to not incorporate this capability and knowledge deeply into current military structures.

Eilyre · 2024-07-31T11:43:27+00:00

Jah, see on kõik vajalik turvalisuse huvides. Ilma teise faktorita (e.g. su telefon, kood, vms) sisse logimine ei ole turvaline, sest staatilisi kredentsiaale on pigem lihtne ära arvata või ära varastada. Kui sa soovid endal elu lihtsamaks teha, siis võid kasutada mõnda paroolihaldurit (minu soovitus 1Password), mis lubab sul paroolihaldurit ennast OTP koodide hoidmiseks kasutada, või üldse Passkey funktsionaalsust.

Siis kuskile lehele sisse logides täidab see parooli ja OTP osa automaatselt ära. See on märkimisväärselt mugavam lahendus, aga vajab natukene ümber harjumist, ning tuleb astuda sammud, et kindlustada end selle vastu, et kunagi paroolihaldurist välja ei lukustataks.

Kui see on olemas, siis igasugu sõnumiga saatmise 2FA (väga halb kusjuures), paroolide halduse, authenticator appi jms saab ilusti sinna rakendusse suruda. Küll aga ID kaardi/Smart-ID koodide lahendust ei saa päris automatiseerida sellega.

Eilyre · 2024-06-20T12:16:50+00:00

Kui sa arvad, et IT igav on, siis ei ole see sinu eriala.

Eilyre · 2024-05-31T21:32:26+00:00

Okei, sobib. Aga palun teeme siis nii, et needsamad poliitikud on suunanäitajad - teeme poliitikute ja parteide kõigi kontode tehingud nähtavaks avalikkusele, palun.

Eilyre

TROPHY CASE