In meinem aktuellen Monitoringsetup habe ich festgestellt, dass die ausgiebige Verwendung von SNMP zu einigen False/Positives führte. Das nervt gewaltig und ist zudem auch noch ziemlich unbequem.
Daher habe ich mich an eine Ansible-Rolle gemacht, welche meine Hosts vorbereitet zukünftig NRPE zu nutzen. Um es besser nachvollziehen zu können, welche Schritte gegangen werden müssen habe ich das ganze hier einmal niedergeschrieben.
yum Install nrpe.x86_64 nrpe-selinux.x86_64 nagios-plugins-*
Anschließend muss die Datei /etc/nagios/nrpe.conf angepasst werden. Standardmässig ist nur das ausführen von Commands ohne Parameter erlaubt. Daher will ich das ändern um mehr Flexibilität bei der Anpassung der Rahmenparameter zu haben. Damit mir das nicht auf die Füße fällt muss der Wert von dont_blame geändert werden. Damit mir aber niemand dazwischen funkt, schränke ich die Hosts ein, die Checkscommands aufrufen dürfen - dazu dient allowed_hosts. Zum Schluss werden noch lokale Commands definiert. Diese sind notwendig und müssen für alle gewünschten Checks eingerichtet werden. Andernfalls kann NRPE nicht tun wofür es da ist (Nagios Remote Plugin Execution). Die Betonung liegt hier ganz klar auf Remote und Execution.
dont_blame_nrpe=1
allowed_hosts=127.0.0.1,192.168.X.X
command[check_users]=/usr/lib64/nagios/plugins/check_users -w $ARG1$ -c $ARG2$
command[check_load]=/usr/lib64/nagios/plugins/check_load -w $ARG1$ -c $ARG2$
command[check_disk]=/usr/lib64/nagios/plugins/check_disk -w $ARG1$ -c $ARG2$ -u GB -E -p $ARG3$
command[check_mailq]=/usr/lib64/nagios/plugins/check_mailq -w $ARG1$ -c $ARG2$
command[check_ntp_peer]=/usr/lib64/nagios/plugins/check_ntp_time -w $ARG1$ -c $ARG2$ -H $ARG3$
command[check_procs]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$
command[check_procs_zombie]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -s Z
command[check_procs_named]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C named
command[check_procs_java]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C java
command[check_procs_apache]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C apache
command[check_procs_httpd]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C httpd
command[check_procs_platform]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C platform
command[check_procs_dhcpd]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C dhcpd
command[check_procs_qemu]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C qemu
command[check_procs_mysqld]=/usr/lib64/nagios/plugins/check_procs -w $ARG1$ -c $ARG2$ -C mysqld
command[check_sensors]=/usr/lib64/nagios/plugins/check_sensors
command[check_smtp]=/usr/lib64/nagios/plugins/check_smtp -H $ARG1$
command[check_swap]=/usr/lib64/nagios/plugins/check_swap -w $ARG1$ -c $ARG2$
command[check_security_updates]=/usr/lib64/nagios/plugins/check_updates --security-only -t 30
Nun sind wir fast fertig. Für müssen nun nur noch unserem icinga Monitoring-Server mitteilen, dass es doch bitte ein neues Checkcommand kennt und zum anderen natürlich noch einen zu monitorenden Service daraus machen. Anschließend wird der angegebene Dienst per NRPE auf dem neu installierten Host überwacht.
define command {
command_name check_nrpe
command_line /usr/lib/nagios/plugins/check_nrpe -H $ARG1$ -c $ARG2$ -a $ARG3$
}
$ARG1$ wird zum Hostnamen
$ARG2$ wird zum Command das auf dem Server definiert wurde (sehe oben)
$ARG3$ wird zu den Schwellwerten für Warning und Critical
define service {
hostgroup_name nrpe
service_description Check users on system
check_command check_nrpe!$HOSTNAME!check_users!2 5!
use generic-service
}
Oh.. Mein... Gott...
Nun passiert es auch mir und die Zeit verstreicht. Ich werde leider immer Bequemer und kenne die Ursache dafür nicht. Allerdings habe ich in den letzten Wochen der Jagd gefröhnt und ein paar interessante Projekte beenden können. Im Internet habe ich auch wieder einige Dinge gefunden die ich hier wie gewohnt einfach mal aufführe:
How to say "no" for the sake of your customers Es ist ein altes Leid. Wir trauen uns (allein schon weil wir Menschen sind) immer wieder zu viel zu und verlagern die Verantwortung und Schuldfrage. Es ist unerlässlich eigene Maßstäbe und Regeln zu haben, wenn man möchte, dass es eine Orientierung gibt.
Why Employers and Employees Should Be Wary of BYOD Wir "verlernen" zunehmend wie man Dinge voneinander trennt und verschmelzen Arbeit, Freizeit und ähnliches miteinander. Das an sich ist nicht schlimm - allerdings scheint es unreflektiert und vor allem unbewusst zu passieren. Die Randerscheinungen lasten auf uns und alle jammern nach Lösungen. Es einfach sauber zu trennen kann vielen Unternehmen helfen - auch wenn es weniger modern wirkt.
Security Harden CentOS 7 Hier hat sich jemand mal richtig, richtig, richtig viel Mühe gegeben zusammezufassen was man alles machen kann und vor allem worüber man pauschal mal nachdenken sollte, wenn man einen Host aufsetzt. Ich hänge leider noch immer bei SELinux fest. Aber meine Setup-Skripte werden definitiv nochmal auditiert.
IoT-Hersteller ignoriert Sicherheitslücken monatelang Irgendwie verwundert mich das nicht. Das ganze IoT Dinge wirkt auf mich sehr unprofessionell und viel zu überstürtzt. Man will alles Smart machen - egal ob sinnvoll oder nicht. Ob es nur erweitert werden müsste oder nicht. Wir bauen alles um, vergessen Rahmenbedingungen, Nachfrage, Bedarf und vor allem Wartung und Pflege. Diese ganzen Abhängigkeiten sind Anstrengend und für mich um längen kein Fortschritt.
Why is openness so difficult? Wir - als Menschen - haben viel Potentiel. Leider vedrängen wir gern Natur, Ursache und Wirkung und vergessen dabei, dass die Dinge die wir uns romantisch ausmalen viel Arbeit, Geduld, Einfluss und Hingabe erfordern. Warum nur ist es so schwer eigenverantwortlich zu sein oder zumindest sein zu wollen?
FreeBSD 4.11 im Jahre 2017 ich muss mir vermutlich einfach eingestehen, dass ich ein hoffnungsloser romantiker bin. Ich mag es einfach wenn Dingen eine Wertschätzung entgegen gebracht wird und wir uns ab und an einmal vor Augen führen wie wir dahin gekommen sind wo wir stehen und was dazu - auch und vor allem durch andere - notwendig gewesen ist.
This Is Why You Should Stop Using Google Search Ich mag es sich selbst zu hinterfragen und Dinge spontan mal anders zu machen als man es sonst tut. Google-Suche nicht zu benutzen mag maginal klingen. Dennoch scheint es viele Dinge zu geben die dafür sprechen. Allein schon aus der Filterblase auzubrechen sollte doch mal reichen :)
How To Use GPG to Encrypt and Sign Messages Ist doch eigentlich immer wieder zu gebrauchen. Dieses Verschlüsselungsding. Bei alle dem mit dem man sich aber so beschäftigt kann es nicht schaden zu wissen wo man nachschlagen kann.
Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon Leider ist es nur ein Beispiel von vielen die ich in meiner Erfahrung sammeln konnte. Es ist immer wieder ärgerlich wenn so eine Fahrlässigkeit und Fehlende Professionalittät (immerhin hat man als "Dienstleister" eine Verantwortung gegenüber dem Empfänger) zu so einfach zu vermeiden ist.