PeakSpray & IT

jaja wer kennt diese Fehlermeldung nicht?

Error: Could not stat() command file ‘/var/external commands/lib/nagios3/rw/nagios.cmd’!

Dieses mal schreibe ich es mir aber auf – im Debian style natürlich.

root@monitoring:~# cat /etc/nagios3/nagios.cfg |grep check_external_commands
check_external_commands=1

Damit das ganze auch Update resistent konfiguriert ist:

root@monitoring:~# /etc/init.d/nagios3 stop
root@monitoring:~# dpkg-statoverride –-update –-add nagios www-data 2710 /var/lib/nagios3/rw
root@monitoring:~# dpkg-statoverride –-update –-add nagios nagios 751 /var/lib/nagios3
root@monitoring:~# /etc/init.d/nagios3 start

jaja die auth.log sieht manchmal schon etwas voll aus bei den ganzen SSH Bruteforce Angriffen.
Was kann man machen? Portknocking?

Der SSH Port ist so lange zu bis eine bestimmte reinfolge an tcpflags abgeschickt wurde.
Bei der richtigen rein folge innerhalb des richtigen Zeitabstandes, wird der SSH Port eine weile geöffnet für die “anklopfende” IP Adresse …

Installieren und konfigurieren – geht sehr schnell …

# apt-get install knockd

Starten

# nano /etc/default/knockd

und ändern in

START_KNOCKD=1

Konfigurieren

# nano /etc/knockd.conf

[openSSH]
sequence = 1357,8653,7689
seq_timeout = 15
start_command = /sbin/iptables -A INPUT -s %IP% -p tcp –dport 22 -j ACCEPT
tcpflags = syn
cmd_timeout = 30
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp –dport 22 -j ACCEPT

Restart

# /etc/init.d/knockd restart

FERTIG!

Port öffnen unter Linux

# knock 1357 8653 7689
# ssh root@hostname

Port öffnen unter Windows —> KnockKnock

Bei der Nutzung von Delay pools in Squid 3.1 unter Debian Squeeze z.bsp so

…
delay_pools 3

#delay pool 0.5M
delay_class 2 2
delay_access 2 allow zone_1
delay_access 2 allow zone_2
delay_access 2 deny all
delay_parameters 2 16000/65536 -1/-1

#delay pool 5M
delay_class 1 2
delay_access 1 allow zone_3
delay_access 1 deny all
delay_parameters 1 80000/5242880 -1/-1

#delay pool 1M
delay_class 1 2
delay_access 1 allow zone_4
delay_parameters 1 131072/131072 -1/-1
#no_cache deny all
…

tritt häufiger (mehrmals Täglich je nach Auslastung) mal die folgende Fehlermeldung auf

2012/01/26 14:40:27| TunnelStateData::Connection::error: FD 217: read/write failure: (32) Broken pipe
2012/01/26 15:19:11| Preparing for shutdown after 4947583 requests

mit dem Resultat, dass der Squid seinen Dienst quittiert!!!

Ich habe echt alles versucht aber die einzige Lösung war ein Downgrade auf Squid 2.7 – danach ist das Problem nie wieder aufgetreten.

Reproduzieren kann man das ganze so:

Squid 3.1.1 utilizing cpu (near 100%) when client using CONNECT & hitting delay pool.

How to reproduce:

1. Install squid 3.1.1
2. Add delay pool to specific host.
3. Using CONNECT to download any file from this host.
4. See cpu utilization on proxy when download in progress.

Foreman sammelt mir alle nötigen Facts von unseren Systemen.
Gerade kam die Anforderung eine Paketeliste zu sammeln damit Ireport diese später ausgeben kann.
Ireport nutzt bei uns die Datenbank von foreman.

Das ganze ist wirklich sehr einfach:

root@client1:~# cat /usr/lib/ruby/1.8/facter/packages.rb
# packages.rb

Facter.add(“pakete”) do
setcode do
Facter::Util::Resolution.exec(“dpkg -l | grep ^ii | awk ‘{print $2, $3}’”).chomp
end
end

Sieht dann so aus:

root@client1:~# facter pakete
acpi 1.5-2
acpi-support-base 0.137-5
acpid 1:2.0.7-1squeeze3
adduser 3.112+nmu2
apt 0.8.10.3+squeeze1
apt-utils 0.8.10.3+squeeze1
aptitude 0.6.3-3.2+squeeze1
aspell 0.60.6-4
aspell-de 20091006-4.2
aspell-de-alt 1:2-26
augeas-lenses 0.7.2-1
base-files 6.0squeeze4
….
….
….

wirklich sehr sehr einfach zu installieren. Falls eine Hardware mal nicht ESXi kompatibel ist, ist das eine sehr gute alternative!

1. Pakete installieren

apt-get install kvm qemu-kvm libvirt-bin virtinst

2. User anlegen

adduser `id -un` libvirt
adduser `id -un` kvm

3. Testen

( Weiterlesen … )

Nginx als Reverse Proxy einsetzen mit Paketen von dotdeb

1. Sources von dotdeb hinzufügen zu /etc/apt/sources.list

deb http://packages.dotdeb.org stable all
deb-src http://packages.dotdeb.org stable all

2. Apt-key für dotdeb

wget -O – http://www.dotdeb.org/dotdeb.gpg | apt-key add -

apt-get update

3. Nginx installieren

apt-get install nginx-extras

4. Konfigurieren

server {
listen 80;
server_name DOMAIN.COM;
access_log /var/log/nginx/access.log main;
error_log /var/log/nginx/error.log;
# Main location
location / {
proxy_pass http://BACKEND:PORT/;
proxy_redirect off;
proxy_set_header Host BACKEND-SERVER-IP;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
client_max_body_size 10m;
client_body_buffer_size 128k;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
}
server {
listen 80;
server_name http://www.DOMAIN.COM;
location / {
rewrite ^(.*)$ http://DOMAIN.COM$1 permanent;
access_log off;
}
}

5. Backend konfigurieren

auf dem Backend ist es wichtig bzw sehr nützlich das folgendes gesetzt wird

set_real_ip_from BACKEN-SERVER-IP;

ansonsten wird in den Logs immer die IP Adresse des Reverse Proxy angezeigt.
Für statistiken ehr ungeeignet …

aufgrund der immer weiter steigenden Anzahl von Maschinen bzw. VM’s muss eine komfortable Lösung her zum verteilen von Konfigurationen, deployen neuer VM’s usw.

Die vorläufige Lösung, welche in mehreren Schritten voran getrieben wird, setzt sich aus den folgenden opensource Tools zusammen:

- Puppetmaster
- Puppetagent
- Foreman (mit Passenger)
- Forman-proxy
- MCollective

Die Anleitung folgt so gleich …

Proxy Authentifizierung in Squid 3.x gegen Windows AD bzw LDAP

# Authentifizierung an Active Directory
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b “dc=LOCAL,dc=DOMAIN” -D “USER@DOMAIN.LOCAL” -w “PASSWORT” -f “(sAMAccountName=%s)” -h IP_ADRESSE:3268
auth_param basic children 5
auth_param basic realm “Proxy Authentifizierung. Bitte geben Sie Ihren Benutzername und Ihr Passwort ein!”
auth_param basic credentialsttl 2 hours
external_acl_type InetGroup %LOGIN /usr/lib/squid3/squid_ldap_group -R -P -b “dc=DOMAIN,dc=LOCAL” -D “USER@DOMAIN.LOCAL” -w “PASSWORT” -f “(&(objectclass=person)(sAMAccountName=%v) (memberof=cn=%a,ou=GRUPPE,dc=DOMAIN,dc=LOCAL))” -h IP_ADRESSE:3268

acl localnet proxy_auth REQUIRED
acl InetAccess external InetGroup INTERNET_GRUPPE
http_access allow InetAccess

Alles was “FETT” markiert ist muss durch individuelle Daten ersetzt werden!

Um die/den Firewall/VPN Router etwas mehr unter kontrolle zu haben, monitore ich diesen seit einigen Tagen mit Cacti

Ich habe ein Template im Cacti Forum gefunden allerdings scheint sich etwas geändert zu haben an den MIB/OID seit der AQV.6 da ich keine Werte bekommen habe. Mittels MIBfile und MIBbrowser habe ich die richtigen OIDs ermittelt und ein neues Template erstellt.

Das ganze sollte auch mit der patch 6 von USG 100 / 200 / 300 und 2000 funktionieren, allerdings habe ich dies nicht getestet.

Überwacht wird -> TRAFFIC / CPU / MEM / SESSIONS / VPN TROUGHPUT

Hier das Hosttemplate:

-> DOWNLOAD <-