Buchrezension "Icinga 2"

Mal wieder ein wenig (IT-) Fachlektüre 😉 Da ich im Berufsleben unter anderem auch für das Monitoring der Systeme bei uns im Unternehmen zuständig bin wird natürlich auch entsprechende Software benötigt. War dies früher - zumindest wenn man Open Source-Software einsetzt - meist Nagios wird seit einigen Jahren verstärkt Icinga eingesetzt. Ein bekanntes Unternehmen in Deutschland, das die Entwicklung, etc. fördert ist hierbei die Firma NETWAYS GmbH aus Nürnberg. So verwundert es wahrscheinlich wenig, dass die beiden Autoren Lennart Betz und Thomas Widhalm, die das Buch "Icinga 2 - Ein praktischer Einstieg ins Monitoring" herausgebracht haben auch dort arbeiten. Die hier kurz besprochene 2., aktualisierte und erweitert Auflage aus dem Jahr 2018 ist mehr als doppelt so umfangreich wie die 1. Auflage!

Deutlich über 600 Seiten haben die beiden zusammengeschrieben und bieten damit aus meiner Sicht im Endeffekt zwei Sachen an. Zum einen haben Menschen, die sich bisher noch nicht mit Icinga auseinandergesetzt haben die Möglichkeit sich quasi durch das Buch zu arbeiten und ein laufendes System aufzubauen, dass Standard-Überwachungen auf Linux- und Windows-Systemen locker abdeckt. Zum anderen haben Menschen, zu denen ich mich dann auch zähle, die die Software bereits einsetzen ein entsprechend gutes Nachschlagewerk falls es bei der Einrichtung eines Checks doch mal hakt oder irgendwo ein Problem auftritt.

Das Buch gliedert sich zuerst einmal in fünf größere Abschnitte: "Einführung", "Betriebssystemüberwachung", "Fortgeschrittene Überwachung", "Integration" und "Anhang". Diese Abschnitte sind dann noch wieder in einzelne Kapitel und Unterkapitel unterteilt. Während sich "Einführung" und "Betriebssystemüberwachung" im Endeffekt mit der Installation von Icinga selbst und beispielsweise Informationsabfragen mittels SNMP, dem Icinga-Agent, SSH oder NRPE befassen geht es ab dem Abschnitt "Fortgeschrittene Überwachung" schon eher ans Eingemachte: Vom Aufbau und Konfiguration von Satelliten, die die Abfragen übernehmen über Aufteilung der Konfiguration auf Zonen bis hin zu Überwachungen von Diensten wie Datenbanken, SAP, VMware vSphere oder Hardware. Auch spielt - fürs Monitoring nicht unwichtig - das Thema Hochverfügbarkeit eine entsprechende Rolle. Der Abschnitt "Integration" beschäftigt sich dann mit solchen Themen wie der Erweiterung der Benutzeroberfläche Icinga Web 2, den Businessprozessen (auch eine sehr interessante Sache!), der recht umfangreichen REST-API oder der Erstellung von Graphen aus den gewonnenen Performancedaten beispielsweise mit Graphite oder Grafana. Der letzte Abschnitt "Anhang" kümmert sich dann noch um einige Themen wie Troubleshooting, Konfigurationsergänzungen oder auch einigen goldenen Regeln, die man beachten sollte. Insgesamt eine runde Sache, deren Anschaffung sich lohnt und rentiert.

Das Buch:
Icinga 2
Ein praktischer Einstieg ins Monitoring
2., aktualisierte und erweiterte Auflage
Lennart Betz, Thomas Widhalm
dpunkt.verlag GmbH, 2018, Heidelberg
ISBN 978-3-86490-556-8
Preis 44,90€
Kontakt feedback@icinga-book.net

Ubuntu Server 12.04 LTS

Da ich am Samstag (26.05.2012) sowieso arbeitstechnisch den ganzen Tag über am PC saß, dachte ich mir, dass ich ja auch "mal eben kurz" einen meiner eigenen Server "so nebenbei" auf das aktuelle Release Ubuntu Server 12.04 LTS bringen könnte ...

Das mit dem "mal eben kurz" und "so nebenbei" hatte sich dann aber recht bald erledigt. Zwar verlief die eigentliche Installation ohne Probleme und der Server kam nach dem notwendigen Neustart auch problemlos wieder hoch, allerdings wollte der Webserver nicht starten, die Datenbank verweigerte ebenfalls den Dienst und da hing dann doch noch so einiges dran. Die Nacht wurde also etwas länger (arbeitstechnisch) bzw. kürzer (schlaftechnisch).

Zumindest das Problem mit dem nicht startenenden Webserver konnte recht schnell behoben werden. Der eingesetzte Apache 2 verweigerte den Start, da das Modul ModSecurity die Bibliothek libxml2 nicht finden konnte. Eine kurze Internetsuche brachte mich dann auf das Blog von Knowledge Republic, wo unter dem Titel "Ubuntu 12.04 Missing libxml2.so.2 File [Mod-Security2]" die entsprechende, manuelle Lösung beschrieben ist. Durchgeführt und für gut/funktionsfähig befunden.

So, Webserver lief also wieder. Half aber nicht wirklich viel, da die Datenbank den Start nach wie vor komplett verweigerte. Dies lag an Problemen, die nach dem Upgrade der eingesetzten MySQL-Datenbank von der Version 5.1 auf die Version 5.5 auftraten. So viel war recht schnell klar. Nur, wie beheben? Nachdem ich einige Zeit gesucht hatte, bin ich dann auf die einfachste aller Lösungen gestoßen: Das  temporäre Verzeichnis war für den MySQL-Daemon nicht schreibbar! Das entsprechend angepasst und schon kam die Datenbank auch wieder hoch. Schöner Nebeneffekt: Auch der Mailserver (Postfix in Verbindung mit Dovecot) tat auf dieser Maschine wieder seinen Dienst :-)

Nun gab es "nur" noch ein paar Kleinigkeiten. So beschwerte sich beispielsweise mein RSS-Reader (Tiny Tiny RSS) in der Art und Weise, dass sein Update-Daemon nicht laufen würde. Dies lag daran, dass das Init-Skript schon recht alt war und daher einige Informationen nicht mehr stimmten und die aktuelle Version daher den Dienst verweigerte. Da ich keine Lust hatte, dass auch noch komplett neu zu schreiben, wurde mal kurz im Netz gesucht. Gestoßen bin ich dabei auf die Seite von Mathias (noctus.net), der unter dem Titel "Initscript mit Tiny Tiny RSS 1.5.10" ein entsprechendes Skript für Tiny Tiny RSS 1.5.10 anbietet. Danke, läuft! :-)

Jetzt gibt es nur noch ein paar Kleinigkeiten zu bereinigen. In erster Linie mittlerweile obsolet gewordene Einstellungen in Konfigurationsdateien, etc. Aber das hat auch Zeit, bis das Wetter mal wieder schlechter ist, da es den laufenden Betrieb in keinster Weise stört oder beeinträchtigt! Jetzt geht es lieber raus in die Sonne! Welfengarten? Biergarten? Herrenhäuser Gärten? Mal schauen :-)

Podcast XVI

Nachdem der letzte Beitrag zum Thema Podcasts mittlerweile doch schon wieder "etwas" länger her ist (5. März 2011), führe ich diese lose Folge vielleicht mal weiter und sehe auch mal zu, dass ich da wieder etwas mehr Konstanz reinbringe. Denn die verschiedensten Podcasts begleiten mich nach wie vor im Alltag ...

Podcast Nummer 16 in diese kleinen Reihe ist der Techview-Podcast von Leszek Lesner. Lesner stellt in seinen wöchtentlichen Episoden immer wieder neues aus dem Bereich Hard- und Software vor, wobei der Schwerpunkt hier auch auf Linux bzw. Open Source liegt. Zeitweise gibt es auch einen Videocast von ihm, in dem er dann beispielsweise neue Betriebssysteme, Oberflächen, o. ä. vorstellt und man einen kleinen Eindruck davon bekommt.

Auch die Länge ist mit maximal einer Stunde immer recht angenehm.

Interview mit Linus Torvalds

Bei Zeit Online ist am 1. November 2011 ein Interview mit Linus Torvalds erschienen. Ein bißchen musste ich beim Lesen schon schmunzeln, da der Eindruck von Torvalds aus dem Interview irgendwie etwas dem wiederspricht, den ich so aus seinem Buch gewonnen habe. Denn er selbst beschreibt sich im Interview als "[...] Ok, es gibt mich, aber ich bin kein sehr kontrollierender Mensch. [...]". Da war mein Eindruck aus seinem Buch doch ein etwas anderer ...

Interessant aber auf jeden Fall seine Einschätzung zum Thema Linux-Kernel. Aktuell hat der Code wohl rund 15 Millionen Zeilen und Thorvalds befürchtet, dass der Code mittlerweile so komplex geworden ist, dass man irgendwann nicht mehr durchsteigen wird. Genauer gesagt befürchtet Thorvalds, dass die Kernelentwickler irgendwann einen Fehler machen, den niemand mehr nachvollziehen kann.

Und wer es noch nicht kennt/kennen sollte: Hier das Video, mit dem die Firma Microsoft zum 20. Linux-Geburtstag gratuliert hat :-)

Buch "Just for Fun"

Bei meiner letzten Bestellung in den USA wurde dann auch (endlich mal ;-) ) Linus Torvalds, vom Prinzip her der Erfinder von Linux, supportet. Und zwar in Form des Kaufs seines Buchs "Just for Fun - The Story of an Accidental Revolutionary".

Torvalds selbst beschreibt in dieser Veröffentlichung, unter Hilfe des Journalisten David Diamond, seinen Lebensweg sowie die Entstehung von Linux ab der Version 0.01. Ebenso sein Weg aus Finnland bis ins Silicon Valley. Vor allem ist es immer wieder interessant zu sehen, wie er selbst auch immer wieder von Erfolgen, etc. überrascht wurde und auch, was er so über die ein oder andere Person aus dem IT-Bereich denkt. Liest sich, auch auf Englisch, sehr gut und man ist recht schnell durch. Lediglich der letzte Teil, ein Reprint des Artikels "Is The Linux Revolution Over" von ZD Net, ist da eine Ausnahme und passt aus meiner Sicht irgendwie nicht so recht zum Rest des Buchs.

Das Buch:
Just for Fun
The Story of an Accidental Revolutionary
Torvalds, Linus; Diamond David
HarperCollins Publishers Inc., 2001, New York
ISBN 978-0-06-662073-2
Preis 14,99$

Tool "CPU Limit"

Ein weiteres, wirklich sehr nützliches Tool hört auf den Namen CPU Limit. CPU Limit ist dafür gedacht, Prozesse, die viel Systemressourcen verwenden, entsprechend einzuschränken.

Linux bietet ja durchaus von Haus aus Tool wie nice/renice, diese haben allerdings einen kleinen Nachteil: Man kann keine bereits aktiven Prozesse einschränken! Und genau hier setzt CPU Limit an.

Ich übergebe dem Tool als Option entweder die PID, den Prozessnamen oder aber den Programmpfad an. Wobei hier natürlich die PID zu empfehlen ist, da einige Programme ja durchaus mehrere laufende Instanzen besitzen! Weiterhin muss ich natürlich noch den gewünschten maximalen CPU-Verbrauch in Prozent an. Dann sendet CPU Limit die Signale SIGSTOP und SIGCONT an den entsprechenden Prozess.

Weiterhin habe ich auch die Möglichkeit, dem Tool zum Beispiel die Option -b mitzugeben. Dies bedeutet, dass CPU Limit im Hintergrund läuft und das entsprechende Programm bzw. die Programminstanz überwacht. Beendet sich das Programm bzw. die Instanz und startet später neu, ist auch CPU Limit sofort wieder da und überwacht die Einhaltung der gesetzten Beschränkungen.

Fazit: Ein sehr schönes und praktisches Tool, gerade auch um bereits laufende Prozesse einzuschränken, wenn Belastungen, etc. erst im laufenden Betrieb auftreten bzw. bemerkt werden.

Tool "vnStat"

Dann will ich auch noch mal wieder ein paar (Linux-) Tools vorstellen ;-) Den Anfang macht diesmal das Tool vnStat, das einen Netzwerkmonitor für Linux und BSD darstellt und unter Linux mindestens einen Kernel der Version 2.2 voraussetzt. Die von mir aktuell eingesetzte Version ist die 1.11.

Das Tool kann (muss nicht) als Systemdienst gestartet werden und protokolliert dann im Hintergrund den Netzwerkverkehr von der bzw. den Netzwerkkarten. Über diverse Optionen kann man sich dann die Statistiken ausgeben lassen.

Das Tool ist allerdings nicht dafür geeignet, beispielsweise Netzwerkverkehr mitzuschneiden. Dafür sind dann andere Tools gedacht.

Tool "Perl Auto Connector (PAC)"

Ein weiteres, gerade für Systemadministratoren recht interessantes Tool bzw. einen Artikel zu seiner Verwendung hat das ADMIN Magazin in der Ausgabe 03/2011 veröffentlicht: Perl Auto Connector (PAC).

Der Artikel trägt den Titel "Muschelsammler - SSH- und andere Remote-Verbindungen mit PAC verwalten". Online ist er leider nur als Kaufversion verfügbar. Allerdings sollte sich das Tool nach seiner Installation mehr oder weniger auch von selbst erklären. Weiterhin gibt es beispielsweise eine Installations-Anleitung für ein aktuelles openSUSE 11.4 hier.

Wie der Artikeltitel schon verrät, geht es um das Management von Remoteverbindungen. Wer kennt das nicht: Zig SSH-Verbindungen zu diversen Servern und Clients müssen bearbeitet werden. PAC hilft einem einmal bei der Verwaltung dieser Verbindungen. So kann ich zum Beispiel eine Gruppe "Server" anlegen, in der ich meine Server verwalte und eine andere Gruppe "Rechnerpool", in der zum Beispiel die Maschinen für das freie Arbeiten der Studierenden stehen.

Neben dem Vorteil, die Verbindung dann einfach per Mausklick zu öffnen, habe ich aber dazu auch die Möglichkeit, gleich automatisiert entsprechende Befehle mit abzusetzen. Dazu habe ich die Möglichkeit, eine Art Cluster herzustellen: Also eine Gruppe von Verbindungen zu Clients, auf denen die gleichen Vefehle abgesetzt werden sollen. Wichtig: Immer speichern. Auch und gerade beim Verlassen des Programms! Sonst sind die Änderungen weg.

Etwas problematischer bzw. umfangreicher war bei mir auf dem ersten PC noch die Installation des Programms. Da ich auf der Arbeit noch mit einer openSUSE 11.4, musste ich via Sourceforge erst einmal die für meine Architektur passende Bibliothek libgnome2-vte-perl herunterladen. Danach musste der Quellcode für das eigentliche Tool her. Das Tool selbst kurz via

tar -zxvf pac-2.5.5.10-all.tar.gz

entpackt und mit

cd pac

in das Verzeichnis gewechselt. Eigentlich kann man das Tool nun mit

./pac

direkt aufrufen. Bei mir kamen allerdings noch eine zeitlang Fehler, dass bestimmte Perl-Module oder Bibliotheken fehlen würden. Nachdem diese Probleme durch Nachinstallationen gelöst werden konnten, startete das Programm. Nach dem Anlegen der ersten Verbindung und einem Test eben jener, gab es noch weitere Fehlermeldungen bzgl. fehlender Perl-Module. Nachdem diese auch installiert waren und die Tests erfolgreich verliefen, können nun neben Verbindungen, Verbindungsgruppen und Clustern auch entsprechende Befehlsketten angelegt und ausprobiert werden. Dürfte sich auf die Dauer lohnen!

Autorun-Attacken unter Linux

Häufig hört man ja, dass Linux sowieso viel sicherer als Windows. Dies stimmt allerdings nur solange, wie man sein Linux-System auch entsprechend pflegt! Ansonsten läuft man durchaus in genau die gleichen Probleme wie bei anderen Betriebssystemen auch.

Ein gutes Beispiel dafür hat Jon Larimer, seines Zeichens Senior Researcher bei IBM Internet Security Systems, auf der Konferenz "Hackito Ergo Sum 2011" im April diesen Jahres in Frankreich geliefert. Sein Vortrag "USB Autorun attacks against Linux" beschäftigt sich mit Autorun-Attacken unter Linux. Also der Möglichkeit, automatisiert Skripte, etc. beispielsweise von USB-Sticks auszuführen.

Larimer führt dies am Beispiel von Ubuntu Linux 10.10 mit GNOME als Desktopumgebung aus. Es gilt aber auch für andere Distributionen und (grafische) Benutzeroberflächen. Ist die Autostart-Funktion aktiviert, so lässt sich beispielswiese über ein Skript zum Beispiel Software ausführen/installieren oder aber der Bildschirmschoner abschalten, so dass ein potenzieller Täter trotz gedachtem Schutz des Anwenders kompletten Zugang zum System bekommt. Denn der Autostart bzw. Automount, der vorher durchgeführt wird, funktioniert auch bei einem gesperrten System! Unter GNOME können diese Einstellungen unter

System -> Look and Feel -> Removable Drives and Media

vorgenommen werden. Und diese Einstellungen sollte man vielleicht durchaus generell vornehmen. Zwar könnte man nun sagen, dass das ja vielleicht in erster Linie allgemein zugängliche PCs betreffen könnte, an denen dann Daten, Kennwörter, etc. ausspioniert werden könnten, aber das trifft es natürlich nicht ganz. Denn wer würde beispielsweise nicht, wenn er in der Kantine, Mensa, etc. einen USB-Stick findet, diesen aus Neugier mal einstecken um zu schauen, was sich darauf befindet? So etwas kann durchaus böse enden, wie ein Fall in den USA gezeigt hat bzw. wie es Sicherheitsunternehmen auch durchaus testen ...

Das recht interessante Video zu diesem Vortrag gibt es, gestückelt in vier Teile, bei Youtube.

Übernahme der Novell, Inc.

Da ich (mittlerweile nur noch) beruflich einiges an Novell-Produkten wie openSUSE oder den SUSE Linux Enterprise Server einsetze, habe ich mich einmal etwas näher mit der Übernahme der Novell, Inc. durch The Attachmate Group, Inc. beschäftigt. Zumal Mitte Mai auf der openSUSE-Mailingliste auch eine entsprechende Diskussion zu diesem Thema angestoßen wurde, da auch in Deutschland über Entlassungen spekuliert wird, gerade auch da Attachmate-Chef Jeff Hawn von "ergebnisorientierter Philosophie" sprach. Was das genau heißt zeigt vielleicht auch ein Blick auf die Eigentümer von The Attachmate Group, Inc.: Die Finanzinvestoren Elliott Management, Francisco Partners, Golden Gate Capital und Thoma Bravo, LLC. Novell, Inc. hatte seinerzeit die in Nürnberg beheimatete SUSE Linux GmbH übernommen.

Fakt ist laut heise open zunächst einmal, dass die Linux-Produkte der Novell, Inc. in einem Unternehmensbereich namens Suse zusammengefasst und ihren Sitz in Nürnberg haben werden. Geleitet werden soll dieser Bereich (natürlich) von einem Attachmate-Manager, Nils Brauckmann. Andere Teile des Unternehmens gehen an die NetIQ Corp., lediglich die Produkte aus den Bereichen Kollaboration und Management sollen laut dem Artikel bei Novell selbst verbleiben. Zudem verlassen einige leitende Mitarbeiter das Unternehmen und Attachmate selbst scheint bisher auch keinerlei Erfahrung mit Linux bzw. Open Source zu haben ...

Andererseits scheint die neue Aufteilung für die jetzt so genannte Suse Business Unit vielleicht auch nicht verkehrt zu sein: Es finden sich keine Novell-Produkte mehr im Repertoire und das Unternehmen soll sich voll auf seine [...] Linux-Enterprise-Produkte konzentrieren [...] konzentrieren, wie das Linux Magazin berichtete. Eingestellt wird demnach allerdings das Mono-Projekt, bei dem sich Kosten und Nutzen nicht vertragen haben.

Auf meine eigenen Entscheidungen wird dies allerdings keinen weiteren Einfluß mehr haben. Privat setze ich sowohl auf Arbeitsplatz-PCs als auch auf Servern nur noch Ubuntu als Linux-Distribution ein. Entweder immer als das aktuelle Release, teilweise allerdings auch in der sogenannten LTS-Version. Letztere lässt sich auch immer auf die nachfolgende LTS-Version upgraden, so dass man zumindest beim Thema Distributionsupgrades bis zu fünf Jahre (bei der Serverversion, Clients werden bis zu drei Jahre supportet) Ruhe hat. gerade das ist mir doch recht wichtig. Bei openSUSE ist es aktuell so, dass man nur rund 18 Monate Support für eine Version hat und es auch nicht immer ratsam ist, bei einem Upgrade eine dazwischenliegende Version zu überspringen. Aus diesem Grund sind wir auf der Arbeit aktuell auch dabei letzte Bedenkenträger zu überzeugen und hoffentlich in den nächsten zwölf bis 18 Monaten auf eine andere Distribution umzusteigen. Ob es unbedingt Ubuntu wird, sei einmal dahingestellt, aber damit dürfte sich das Thema SUSE/Novell/openSUSE/SLES für mich dann (hoffentlich) auch endlich erledigt haben. Dafür gab es in den letzten Jahren einfach zu viele Probleme und Unstimmigkeiten.

"Problem" mit eGroupware 1.8.001 & Dateimanager

Da ich bereits seit ein paar Tagen mit einem "Problem" im Zusammenhang mit eGroupware 1.8.001 und dem dort verfügbaren Dateimanager kämpfe, post ich es hier auch noch einmal. Vielleicht liest ja jemand mit, der eine Idee oder sogar "die" Lösung hat ;-) das ganze läuft unter einer openSUSE-Installation in Verbindung mit MySQL.

Und zwar haben wir ein Verzeichnis, auf das eine komplette Gruppe von Mitarbeitern Zugriff hat und dort auch Verzeichnisse anlegen und Dateien hochkopieren darf. Das Anlegen von Verzeichnissen schlägt aber teilweise ohne jegliche Fehlermeldung fehl. Es erfolgt lediglich ein Reload des aktuellen Verzeichnisses, ohne dass das neue Verzeichnis angelegt wurde. Andererseits funktioniert es dann hin und wieder beim gleichen Benutzer problemlos. Es lässt sich da kein Schema ableiten oder erkennen.

Die Benutzer sind alle Mitglied dieser Gruppe und die Gruppe hat auch alle Berechtigungen auf dem Verzeichnis (rwx). Hat das vielleicht sonst noch jemand beobachtet oder hat vielleicht jemand einen Lösungshinweis? Im Forum selbst habe ich nichts eiter zu dieser Thematik gefunden. Die Logfiles geben leider auch weder Aufschlüsse noch ansatzweise Hinweise diesbezüglich.

An der Verzeichnistiefe kann es meiner Meinung nach nicht liegen, da es bereits direkt unter /home/ in der Verzeichnisstruktur auftritt. Der bzw. die Gruppennamen sind genau wie die anzulegenden Verzeichnisnamen auch nicht länger als acht Zeichen.

Hat vielleicht jemand einen Link zu einem Lösungsansatz aus dem eGroupware-Forum? Dazu konnte ich bisher leider auch nichts weiter finden:

Da gab/gibt es immer mal wieder Problem abhängig von MSQL-version und was die an Verzeichnistiefe in einer Query auflösen kann.

MailScanner again :-)

Und zum Jahresende im Gegensatz zum Oktobereintrag noch einmal etwas positives über das Linux-/Unix-Tool MailScanner.

Ich hatte ja einige Probleme mit diesem Tool, weil es einen meiner Server innerhalb kürzester Zeit immer komplett lahmgelegt hat. Nach einer Anfrage auf der Mailingliste kamen auch ein paar Hinweise und einer davon brachte dann auch die Lösung. Der Aufruf von

/opt/MailScanner/bin/MailScanner --debug --debug-sa

brachte die Fehlermeldung

11:33:45 Use of uninitialized value in numeric ge (>=) at /usr/lib/perl5/5.8.3/x86_64-linux-thread-multi/DB_File.pm line 276.
11:33:45 Use of uninitialized value in numeric gt (>) at /usr/lib/perl5/5.8.3/x86_64-linux-thread-multi/DB_File.pm line 280.
11:33:45 Deep recursion on subroutine "DB_File::AUTOLOAD" at /usr/lib/perl5/5.8.3/x86_64-linux-thread-multi/DB_File.pm line 235.

und den Hinweis, sich die Routine DB_File bzw. die Unterroutine DB_File:: AUTOLOAD mal genauer anzuschauen. Auch das Wiki zu SpamAssassin hielt einen entsprechenden Hinweis bereit. Also unter Zuhilfenahme von CPANPLUS (konnte ich mir das auch endlich mal anschauen :-) ) die Routine deinstalliert und anschließend neu und sauber wieder installiert. Danach lief MailScanner auch wieder rund und damit so, wie es sollte. Wäre das in diesem Jahr auch noch erledigt.

MailScanner

Aus aktuellem Anlaß mal wieder ein kurzer Bericht zum Linux-/Unix-Tool MailScanner. Diesmal leider einer, der mich wohl mindestens dieses Wochenende kosten wird :-(

Und zwar ist vor kurzem die neue Version 4.81 herausgekommen. Daher stand dann auf einem meiner Server auch ein Update von der Version 4.79 auf eben diese neue an. Lief soweit auch alles gut.

Anschließend standen auf dem Server Updates des Kernels und von Perl an. Dies lief bis zum Reboot auch alles einwandfrei. Nach dem Reboot wollte MailScanner zunächst nicht starten, sondern meckerte, weil einige Perl-Module neuer waren als die, die das Tool erwartete. Auch das kein Problem: MailScanner kurz neu übersetzt. Dann aber begannen die Probleme: Beide CPUs des Systems liefen mit 100% Last, der Arbeitsspeicher war zu 100% belegt und ebenso der Swap-Bereich. Der Server hing also komplett.

Das Problem scheint demnach an einem der geupdateten Perl-Module zu liegen. Ich werde da jetzt noch ein wenig weitersuchen und wohl auch mal die Mailingliste zu Rate ziehen. Wäre schade, wenn ich mich von diesem Tool trennen müsste. Denn bisher lief das über Jahre eigentlich richtig gut.

Buch "Python for Unix and Linux System Administration"

Ein Buch, das schon länger auf meiner Liste stand, ist "Python for Unix and Linux System Administration" von Noah Gift und Jeremy M. Jones. Die Rezension, die dafür verantwortlich war, erschien bereits im Januar 2010 auf adminlife.net von Matthias.

Und seiner damaligen Rezension kann ich mich eigentlich nur anschließen: Python wird hier aus der Sicht eines Systemadministrators vorgestellt und es wird aufgezeigt, wie man damit alltägliche und auch nicht ganz so alltägliche Probleme lösen kann. Neben der automatisierten Auswertung von Logfiles geht es dabei zum Beispiel auch um die Statusabfragen via SNMP oder das Paketmanagement. Zudem gibt es im letzten Kapitel auch noch einiges an Code-Beispielen für die Bereiche DNS oder OpenLDAP.

Das Buch ist so sicherlich nicht zum durchlesen geeignet, aber als Nachschlagewerk oder auch zum Einholen von Anregungen lohnt sich der Kauf allemal.

Das Buch:
Python for Unix and Linux System Administration
Efficient Problem-Solving with Python
Gift, Noah; Jones, Jeremy M.
O'Reilly Media Inc., 2008, Sebastopol
ISBN 978-0-596-51582-9
Preis: 49,99$

Bei Login Mail

In der aktuellen Ausgabe des Linux Magazins gibt es in der Rubrik "Aus dem Alltag eines Sysadmins" mal wieder einen sehr interessanten Artikel von Charly Kühnast.

Unter dem Titel "Türspion: Bei Login Mail" beschreibt er dort, wie man seine Systeme so "konfiguriert", dass bei einer sich öffnenden Shell sofort eine Mail an eine festgelegte Mailadresse geschickt wird. Aus der Mail geht dann hervor, wer sich von welchem System aus eingeloggt hat.

Da er so leider nicht dazugeschrieben hat, welche Distribution(en) er einsetzt und ich zeitgleich festgestellt habe, dass dies so unter Produkten von Novell, openSUSE oder auch Debian nicht direkt zu laufen scheint, hier die Kurzanleitung. Immer natürlich abhängig davon, welche Shells den Benutzer zugewiesen sind! Charly spricht im Artikel davon, dass er den im Artikel erwähnten Einzeiler

echo 'Login on' `hostname` `date` `who` | \
mail -s "Login on `hostname` from `who | \
awk '{print $5}'`" user@example.com

in die systemweite "bashrc" einträgt. Unter dem SUSE Linux Enterprise Server, openSUSE und Debian funktioniert dies so allerdings nicht unbedingt. Entweder gibt es beim Einloggen bereits eine Fehlermeldung, die auch einen ungebetenen Gast hellhörig werden lassen würde oder aber die versendete Mail enthält nicht ganz die gewünschten Informationen in der Betreffzeile. Daher gehen wir das hier mal entsprechend für die einzelnen Distributionen durch :-)

Um im SUSE Linux Enterprise Server einen wie im Artikel erwähnten Effekt für den Benutzer root zu erwirken muss die Datei

/etc/bash.bashrc.local

angelegt und mit folgendem Inhalt

WHO_AKTUELL=`who -m | /usr/bin/awk '{print $6}'`
echo 'Login on' `hostname` `date` `who -m` | \
mail -s "Login on `hostname` from $WHO_AKTUELL" \ user@example.com

gefüllt werden. Wird die Variable "WHO_AKTUELL" vorher nicht gesetzt, sondern der entsprechende Befehl mit in die echo-Zeile gepostet, erscheint der Rechnername von dem aus der Login erfolgte nicht in der Betreffzeile der Mail. Dies würde jetzt für alle Logins funktionieren, bei denen der Benutzer die bash als Standard-Shell hat.

Die normalen Benutzer erhalten bei mir zum Beispiel die tcsh als Standard-Shell. Um auch diesen Fall mit abzudecken legen wir erst einmal die Datei

/etc/csh.login.local

an und füllen Sie mit dem folgenden Inhalt

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | /usr/bin/awk '{print $6}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mail -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

Nachdem dies dann gespeichert ist, bekommen wir auch von diesen Benutzern beim Login eine entsprechende Mail-Benachrichtigung. "user@example.com" steht hier natürlich jeweils für die Mail-Adresse, an die die Information gesendet werden soll.

"Normale" Benutzer berücksichtige auch auch deshalb, weil es ja vielleicht durchaus Systeme gibt (geben könnte), auf denen zum Beispiel ein Login des Benutzers "root" komplett untersagt ist um vielleicht besser nachzuvollziehen, welcher Benutzer via "su" zum Administrator geworden ist.

Kommen wir nun zu den openSUSE-Produkten. Hier ist es eigentlich ähnlich, lediglich der awk-Befehl unterscheidet sich im zweiten Fall ein wenig. Für bash als die Standard-Shell muss die Datei

/etc/bash.bashrc.local

angelegt und mit dem Inhalt

WHO_AKTUELL=`who -m | /usr/bin/awk '{print $6}'`
echo 'Login on' `hostname` `date` `who -m` | \
mail -s "Login on `hostname` from $WHO_AKTUELL" \ user@example.com

gefüllt werden. Ist also nichts anderes als oben auch. Für die tcsh als Standard-Shell muss auch hier erst einmal die Datei

/etc/csh.login.local

angelegt werden. Hier kommt als Füllung folgendes zum Einsatz

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | /usr/bin/awk '{print $5}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mail -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

Der/Die aufmerksame Leser/in wird hier das "/usr/bin/awk '{print $5}'" bemerkt haben. Dies sorgt bei openSUSE mit der tcsh als Shell für die Ausgabe des Rechnernamens, von dem aus der Login erfolgte. Würden wir hier $6 verwenden, wäre die Ausgabe leer.

Was Debian als Distribution angeht: Für Benutzer mit der bash als Standard-Shell funktioniert es wie im Artikel selbst beschrieben. Für meine Benutzer, die die tcsh als Standard-Shell benutzen musste ich die Datei

/etc/csh/login.d/csh.login.local

anlegen und mit folgendem Inhalt füllen:

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | awk '{print $5}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mail -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

Naja, und wenn ich schon einmal dabei bin, kann ich mich ja auch noch "kurz" Sun Solaris annehmen :-) Hier habe ich für die bash als Standard-Shell einfach mal kurz die Zeile

echo 'Login on' `hostname` `date` `who` | \
mailx -s "Login on `hostname` from `who | \
awk '{print $6}'`" user@example.com

an die Datei

/etc/profile

angehängt. Wichtig ist hier anstatt dem Befehl "mail" den Befehl "mailx" zu verwenden, da die Betreffzeile ansonsten leer bleibt. Für Benutzer mit der tcsh als Standard-Shell wird eine Datei

/etc/.csh

angelegt und mit dem Inhalt

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | awk '{print $6}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mailx -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

gefüllt. Et voilà: It works ;-) Auch hier natürlich wieder mit "mailx" anstelle von "mail".

Ein kleines "Problem" tritt aber dennoch auf. Nutzt man zum Beispiel Skripte oder ähnliches, die per SSH mit SSH-Keys Befehle auf Zielrechnern ausgeführen, ist die Zeitspanne wohl so gering, dass es nicht reicht um zu schauen, von welchem Rechner der Login kommt. Also ein einfaches "ssh who Rechnername" führt dazu, dass man zwar eine Meldung bekommt, dass dort was war, aber es geht aus der Mail nicht hervor, wer oder was es war. Hierfür habe ich auf die Schnelle so auch keine Lösung parat. Wird aber weiter untersucht.

Apache Directory Studio

Das Admin-Magazin hat in der aktuellen Ausgabe 03/2010 ein recht nettes Tool vorgestellt, mit dem sich (Open-) LDAP-Server entsprechend verwalten lassen. Der Artikel an sich ist zwar nicht frei verfügbar, aber das Tool Apache Directory Studio ist eigentlich recht selbsterklärend.

Ich selbst finde das Tool schon fast zu umfangreich und arbeite daher lieber weiter mit der Konsole bzw. Tools wie dem GQ LDAP Client oder dem LDAP Browser\Editor.

Mondo Rescue

Zur Abwechslung mal wieder ein kleines aber feines Linux-/Unix-Tool für die Kommandozeile :-) Einen etwas ausführlicheren Artikel dazu gab es im Linux Magazin Admin Sonderheft 02-2010.

Bei Mondo Rescue handelt es sich um ein Tool, mit dem man aktuelle und laufende Systeme sichern kann. Dazu wird auch gleich noch ein entsprechendes Rettungssystem gebaut. Sprich: Ich kann die gesicherten Daten auf CD/DVD brennen und bekomme eine Boot-CD, mit der ich im Notfall die gebrannten (System-) Daten zurückspielen kann. Die zu sichernden Daten kann ich entweder direkt auf CD/DVD schreiben lassen oder aber auf andere Medien. Neben Bandlaufwerken praktischerweise auch direkt auf NFS-Volumes. Die Rettungs-Boot-CD selbst wird unter /var/cache/mindi abgelegt.

Tests mit diesem System verliefen im Großen und Ganzen zufriedenstellend. Lediglich auf einer älteren openSUSE 11.0 64-Bit-Installation wollte das System definitiv laufen. Es gab immer nur die Fehlermeldungen:

test:~ # mondoarchive -V -On nfs://192.168.1.1:/Backup/test -9 -E "/mnt /var/log"
Initializing...
See /var/log/mondoarchive.log for details of backup run.
Checking sanity of your Linux distribution
---promptdialogYN---1--- Your kernel has no ramdisk support. That's mind-numbingly stupid but I'll allow it if you're planning to use a failsafe kernel. Are you?
---promptdialogYN---Q--- [yes] [no] ---
--> yes
Done.
NFS share is not mounted. Please mount it.
Errors were detected in the command line you supplied.
Please review the log file - /var/log/mondoarchive.log
Execution run ended; result=1
Type 'less /var/log/mondoarchive.log' to see the output log
test:~ #

Die Optionen von mondoarchive stehen in diesem Fall für

-On Sicherung auf Netzlaufwerk
-9 Höchste Komprimierungsstufe
-E Diese Verzeichnisse von der Sicherung ausnehmen
-V Backup prüfen

Auf allen anderen System (Debian, openSUSE, SLES, Ubuntu; egal ob 32- oder 64-Bit) lief es aber ohne Probleme. Der Test auf einem Solaris 10 steht dagegen noch aus. Zudem gibt es mit -s noch eine Option, bei der man die Größe des CD-/DVD-Speichermediums angeben kann.

Datenbankeintrag vor Löschung exportieren

Gerade auch mal wieder etwas für mich, damit ich beim nächsten mal nicht lange suchen muss :-)

Hin und wieder gibt es das Problem, dass man über eine Weboberfläche einen Eintrag aus einer MySQL-Datenbank löschen möchte. Allerdings möchte man den Eintrag vor der Löschung vielleicht sicherheitshalber noch in eine CSV-Datei sichern. Man weiß ja nie ;-)

Ich hatte für ein paar Personen bei uns ein entsprechendes Frontend via PHP gebaut, so dass diese Personen ohne Probleme Datensätze eintragen, ändern oder auch löschen können. Vor die Löschfunktion ist jetzt noch eine Zeile Code gewandert. Und zwar:

mysql($db,"SELECT * FROM $tabelle WHERE Suchstring = $id INTO OUTFILE '/tmp/$tabelle_$id.csv' FIELDS TERMINATED BY ';' OPTIONALLY ENCLOSED BY '""'");

Hierbei stehen

$db Für die verwendete Datenbank
$tabelle Für die verwendete Tabelle in dieser Datenbank
$id Für die gesuchte ID

Das Suchergebnis wird dann unter

$tabelle_$id.csv Name der Datei, zusammengesetzt aus
Tabellenname mit ID.

Und? Funktioniert! :-)

Durchsuchung verschiedener Arten von Dateien/Dokumenten

Durch einen Eintrag auf der deutschen openSUSE-User-Mailingliste bin ich auf eine Fragestellung bzgl. der Durchsuchung von Dokumenten verschiedenster Arten aufmerksam geworden.

Das ganze ist eine Problematik, die bei uns auch des öfteren mal autritt. Daher habe ich die beiden neben "Google Desktop" genannten Tools Recoll und DocFetcher einmal einer näheren Überprüfung unterzogen. Wichtig war hier neben der Tatsache, dass es nicht unbedingt das Google-Produkt sein sollte/musste, der Punkt, das es möglichst auf verschiedenen Plattformen (Linux, Solaris, Windows, etc.) lauffähig sein sollte.

Da Recoll ein Tool für Linux/Unix ist, fällt es daher eigentlich schon einmal raus. Angesehen habe ich es mir trotzdem einmal, da ich selbst eigentlich nur unter Linux bzw. Unix arbeite. Nach dem Start fängt das Tool dann auch gleich erst einmal an, das gesamte Homeverzeichnis zu indizieren. Neben der Tatsache, dass dies recht lange dauern kann, werden auch alle möglichen Cache-Dateien, Logdateien, usw. durchlaufen. Ist nicht so wirklich praktisch. Der "normale" Anwender will es sicherlich auf Office-Dokumente, PDF-dateien, etc. beschränken. Kann man aber auch entsprechend konfigurieren. Klickt man nach dem Start so allerdings erst einmal auf weiter, muss man die Indizierung entweder einmal komplett durchlaufen lassen oder aber abbrechen.

Komfortabler ist da schon das Tool DocFetcher. Auffällig hier: Es gibt auch eine portable Version, die sich zum Beispiel auch für USB-Stick o. ä. eignet. Nach dem Start sind auf der linken Seite alle Dokumenttypen ausgewählt. In der Spalte drunter kann man dann zum Beispiel das zu indizierende Verzeichnis festlegen. Die eigentliche Indizierung der Dateien dauert dann je nach Anzahl und Größe aber natürlich auch wieder seine Zeit. Anschließend kann man recht komfortabel in diesen Dateien suchen.

Fazit: Bei uns auf der Arbeit wird wohl DocFetcher bei den Kolleginnen und Kollegen einmal einen ausführlichen Test machen.

Paper "Shadows in the Cloud"

Bereits vor einiger Zeit waberte das Thema GhostNet durch die Medien und wurde jetzt Ende März 2010 einmal mehr aktuell. Auf den Internetseiten der Firma F-Secure Inc. gibt es zu dieser Thematik ein aktuelles Paper mit dem Titel "Shadows in the Cloud - Investigating Cyber Espionage 2.0" (PDF, ca. 1 MB). Man hat das GhostNet weiter analysiert und auch jede Menge interessanter Aspekte gefunden. Unter anderem zum Thema Cloud Computing. Das Paper existiert zudem auch als Webversion unter http://shadows-in-the-cloud.net.

Es geht im Allgemeinen um die Problematik des Cloud Computing. Besser gesagt: Um die Möglichkeiten, die Kriminelle unter anderem nutzen können, um abgegriffene Daten zu speichern. Als Beispiel wird hier das 2009 gefundene und als solches benannte GhostNet angeführt. Hier sind von 1.295 Computern aus 103 Ländern Informationen abgeflossen. 30% dieser PCs wurden als hochrangige Ziele eingestuft. Unter anderem das Büro des Dalai Lama oder Computer der indischen Regierung bzw. der UN. Nachdem der erste Bericht veröffentlicht wurde, gingen viele der "Kontrollserver" offline, aber lange nicht alle. Daher konnten zum Beispiel auch viele der Briefe aus dem Büro des Dalai Lama rekonstruiert werden. Vermutungen von vielen Seiten gingen diesbezüglich ja Richtung China, da hier viele dieser "Kontrollserver" beheimatet waren.

Ausgewertet hat man in den weiteren Untersuchungen nun die Punkte

• DNS Sinkholing
• Malware Analysis
• Command and Control Server Topography
• Victim Identification
• Data Recovery
  

In den folgenden Kapiteln des Papers wird beschrieben, wie man genau vorgegangen ist und was man alles berücksichtigt hat. Unter anderem stand einer der Server auch in Deutschland, der Rest allerdings in den USA. Untersucht wird auch der Punkt des "Patriotic Hacking". Alles in allem ein Paper, das sich Interessierte durchaus mal durchlesen sollten. Zumal die Links im Anhang auch recht umfangreich sind. Der Großteil davon frei verfügbar im Netz.

Links zum Thema:

• Ghostnet 2.0: Spionagenetz nutzt Dienste in der Cloud (heise online, 06.04.2010)
• Spionagenetz "GhostNet": Ein "Weckruf für die Politik" (heise online, 31.03.2009)
• Chinesische Spionage-Software infiltriert Rechner tibetischer Exil-Regierung (heise online, 29.03.2009)
• Tracking GhostNet: Investigating a Cyber Espionage Network