Author Archive
Vor einiger Zeit kam das im Juni erschienene Praxisbuch Nagios bei mir an – Aufgrund von Prüfungen, Arbeitsstress etc. bin ich allerdings leider erst kürzlich dazu gekommen, es intensiver zu betrachten; das Schreiben dieses Reviews hat sich dann ebenfalls etwas hingezogen…
Eins vorweg: das Buch ist sowohl für den Einsteiger, als auch für den fortgeschritteneren Admin als Nachschlagewerk oder Inspiration brauchbar, denn es wird auch auf fortgeschrittenere Themen wie z.B. Visualisierung und Pluginprogrammierung eingegangen.
Ausführlich erläutert das Buch anfangs, was mit Nagios möglich ist, was es mit Scheduling, Plugins, Benachrichtigungen, CGIs fürs Webinterface, Zeitperioden, Check-Kommandos, Templates usw. auf sich hat – jeweils ausführlich anhand von Beispielen. Dank der mitgelieferten Live-CD kann man bei Interesse auch zu haus sehr schnell selbst loslegen, ohne ein gesamtes Nagios installieren und konfigurieren zu müssen.
Hier ein Tipp für Sysadmins, die url_rewrite in Squid nutzen: schaut euch genau an, wie performant eure Scripte sind und benchmarkt diese unbedingt!
Ich hatte die Tage ein Problem mit einem Squid, der ungewöhnlich hohe Load verursachte – es lag an ineffizienter Programmierung des Rewriters. Für eine Hand voll URLs sollte er Umleitungen vornehmen, etwa von ^http://domain/formular auf https://domain/formular.
Das ursprüngliche Script war in BASH programmiert – es verwendete externe Programme wie grep, sed – und war für geringe Bandbreiten (5MBit/s) performant genug. Die Bandbreite stieg jedoch bald auf 20MBit/s, was die Last schon sehr deutlich erhöhte, und es werden voraussichtlich bald ~200MBit/s sein.
Das Script wurde daraufhin in Perl reimplementiert und läuft laut Benchmark um den Faktor 180 (!) schneller. Als Benchmark empfiehlt sich:
[code language="shell"]time tail /var/log/squid/access_combined.log -n 100000 | awk '{print $7}' | /pfad/zum/url_rewriter.pl > /dev/null[/code]
Wenn dort (z.B. bei einem komplizierterem Script) Werte von mehr als 5 Sekunden stehen, sollte man sein Script für hohe Bandbreiten ggfs. überarbeiten und/oder in einer performanteren Sprache reimplementieren, z.B. in C oder für Extremfälle in Assembler. 
Ich frage mich, wie ihr eure Firewallregeln in Firmenfirewalls verwaltet und sichert – wer iptables oder eine darauf basierende Lösung besitzt, wird wohl einfach automatisch oder eventbasiert Backups machen oder die Regeln in ein Repo einchecken – doch was machen die armen Admins, die mit proprietärer Hardware zu tun haben? Mir fallen spontan folgende 5 Punkte ein:
- Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
- Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
- Eingeben der Firewallregeln in ein Dokumentationssystem
- Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
- Keine Dokumentation
Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.
In letzter Zeit hatte ich wirklich viel Hardwareärger – allerdings nur mit frisch gekaufter Neuhardware und nicht mit dem teils fast 10 Jahre alten Kram, den ich hier noch rumstehen habe…
Und zwar:
- 2 Asus AM2 Boards (Alternate): jeweils mit defektem Spannungswandler
- MSI-AM2 Motherboard (Alternate): der Lüfter läuft nach 1-2 Wochen zu schnell, da das Board dann falsche Sensorwerte über die Temperatur meldet
- Komplett-PC Sockel 775 (Mindfactory): diverse BIOS-Einstellungen falsch (DANKE an Mindfactory dafür, System war so nicht lauffähig) defekter Spannungswandler des Mainbords (Gigabyte)
- Bundle (Alternate): Asrock AM3 Board, DDR3, x2 250 von Alternate: Spring nichtmal an, kein BIOS-Piepser…
*Seufz*. Vor allem die extrem laut fiependen Spannungswandlern sind echt nervig – bei Asus scheinen einige Serien komplett davon betroffen zu sein.
Allgemein habe ich so das Gefühl, dass die Qualität und Kompatibilität der PC-Komponenten ab der DDR2-Genaration deutlich abgenommen hat… 
Die DNS-Sperren wurden ja in der “Bloggosphäre” reichlich diskutiert und werden allgemein als sinnlos für den angedachten Zweck und schädlich für den Normalbürger erachtet, auch weil schon jetzt hinter vorgehaltener Hand neue Überwachungs und Kontrollmöglichkeiten diskutiert werden, wie z.B. die Echtzeitüberwachung der Stopp-Seiten.
Nun gibt es eine Petition gegen die Zensur durch die Hintertür: hier mitzeichnen! Heute morgen waren es bloß ca. 1.000 Mitzeichner, nun sind es bereits über 12.000. Laßt euch bitte nicht davon entmutigen, dass die Seite etwas lahm ist und man sich anmelden muss! Verbreitet die Seite außerdem bitte weiter, erzählt davon und klärt darüber auf, was es mit den DNS-Sperren auf sich hat!
Ausgenommen sind Anbieter mit weniger als 10.000 Nutzern, außerdem staatlichen Dienste wie Hochschulnetze und Behörden-Provider sowie einige hundert regionale Netzanbieter.
Völlig inkonsequent. Kinderpornos nur für Politiker und Studenten, hurra!? Kostet ja auch alles Geld und Zeit, was der Bund nicht ausgeben will. Aber die freie Wirtschaft “darf” es “freiwillig” tun, sonst wird sie als Kinderporno-Unterstützer abgestempelt! Vielleicht wollen die Politiker die nächsten Internetsperren für z.B. Onlinepoker nicht bekommen, oder fänden es vielleicht zu schwierig, die lächerlichen DNS-Sperren zu umgehen? Die Zypris weiß ja noch nicht einmal, wie dieses Internet-Surfdings heißt!
Interessant wäre jetzt zu wissen, ob man als Betreiber eines komplett öffentlichen DNS-Resolvers nun irgendwas machen muss, denn man bietet ja im Grunde vielen Millionen Nutzern einen Dienst an…
Quelle:
Spiegel
Wim Vandeputte hat derzeit wohl ein paar Probleme mit Theo de Raadt, dem OpenBSD Führer – es geht um Merchendiseeinnahmen. Traurig, dass es letztlich immer ums Geld gehen muss!
Wim kenne ich übrigens persönlich flüchtig von den Chaos Communication Congressen & Camp und würde ihn als aufrichtigen, netten Menschen beschreiben – von Theo bekommt man ja leider immer nur das Gegenteil mit. Ich bin gespannt, wie sich das Ganze entwickelt!
Wer die Details lesen will, kann dies auf accounting.kd85.com tun.
Kennt ihr das auch? Man lernt jemanden kennen und sobald derjenige mitbekommt, dass man als Administrator arbeitet, befragt er einen auch schon nach irgendwelchen bescheuerten Windowsproblemen…
Zuletzt durfte ich mir auch mal anhören, dass ich ja noch sehr viel zu lernen habe, weil ich das Tastenkürzel für “linksbündig” in Word nicht kenne – und das von jemandem, der es nach mehreren Stunden probieren nichtmal über das Symbol geschafft hat… *seufz*
Meine Diagnose ab sofort lautet “Format C:” !
Siehe auch: arschkrebs.de
