All articles

systemd is enterprise grade software...

systemd does not like to run with newer kernels if there are new capabilities...

root@buster:~ # systemctl show dnsmasq >/dev/null; echo $?
Failed to parse bus message: Invalid argument
1

I really like that software. NOT.

This breaks many software packages which (have to) use systemd, e.g. Ansible - see Github Ansible Issue #71528

Quick fix for Debian Buster/Backport's /usr/lib/python3/dist-packages/ansible/modules/system/systemd.py (Ansible 2.9.6)

Fixes should go into Ansible 2.10.4 and 2.9.16.

Using oci template with lxc-create

lxc-create -t oci does not work out of the box on Devuan 3 "Bewulf"/Debian 10 "Buster".

  1. Install umoci from distribution
  2. Install skopeo (Chimaera/Bullseye version) from e.g. http://ftp.de.debian.org/debian/pool/main/s/skopeo/
  3. Create /etc/containers/policy.json with
{
  "default": [
    {
      "type": "insecureAcceptAnything"
    }
  ],
  "transports":
    {
      "docker-daemon":
        {
          "": [{"type":"insecureAcceptAnything"}]
        }
    }
}

As Docker is not LXC most containers need some tuning in their config!

firewalld und permanente Port-Freigabe

Bei der Installation einer Appliance auf Basis von CentOS 7 wollte ich - wie immer - SSH auf "meinen" Port konfigurieren. Leider zeigte sich die Appliance und deren verpflichtende Verwendung von firewalld nicht ganz so kooperativ - sie bestand auf Port 22 đŸ„Ž

NatĂŒrlich könnte man es in den Files der Appliance ĂŒberschreiben, aber bei einem Update wĂŒrden die Änderungen wieder platt gebĂŒgelt - also keine Alternative. Also habe ich in der "public"-Zone der Firewall einen neuen Port hinzugefĂŒgt, der dann ab sofort geöffnet wird. Das "--permanent" sorgt dafĂŒr, dass der Port auch nach einem Reboot wieder geöffnet wird:

% firewall-cmd --zone=public --add-port=2222/tcp --permanent

Dadurch bleibt dann leider Port 22 natĂŒrlich offen. Aber wer seine ~/.ssh/config im Griff hat kann ja z. B. Portsentry oder Ă€hnliches auf diesen Port binden 😁

Apropos SSH-Port

Wenn schon jemand den SSH-Port Àndert, dann bitte kreativ sein! Verwendet nicht

  • 22
  • 222
  • 2222
  • 2223
  • 4422
  • 6622
  • 8822
  • 9922
  • 22222

Diese Ports (und bestimmt noch mehr) sind in div. SSH-Scan-Scripts enthalten...

Debian und die /etc/network/interfaces

Ach ja, Debian...

Seit einiger Zeit hat ifupdown die Möglichkeit, nicht alle Netzwerk-Interfaces in /etc/network/interfaces zu pflegen, sondern diese z.B. in /etc/network/interfaces.d/ als kurze Dateien abzulegen. Gerade wenn man mal 10 VLANs und dazu jeweils eine Bridge hat (ja, ein Virtualisierungsserver), macht das die Sache IMHO deutlich ĂŒbersichtlicher.

Wenn ich mich richtig erinnere, dann gab es zuerst die Möglichkeit per source /etc/network/interfaces.d/* einzelne Dateien bzw. Wildcards einzulesen. SpÀter kam dann noch ein source-directory /etc/network/interfaces.d/ dazu.

Leider hat man es von Anfang an versĂ€umt, statt nur "*" ein Suffix fĂŒr die Schnippsel zu definieren, also z.B. source /etc/network/interfaces.d/*.iface - somit wird auch bei einem frisch installiertem Debian/Buster alles gelesen, was in diesem Verzeichnis liegt.

Das fĂŒhrt jetzt zu der dĂ€mlichen Situation, dass der Editor (der hoffentlich automatisch Backup-Files anlegt), nachdem man statt DHCP eine feste IP-Adresse eingetragen hat, folgendes hinterlĂ€sst:

root@buster:/etc/network/interfaces.d# ls
eth0.cfg  eth0.cfg~

Und was macht ein ifup eth0 draus? Das da:

root@buster:/etc/network/interfaces.d# ip a ls dev eth0
2: eth0@if28: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether fe:ac:16:f0:00:bb brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.10.10.10/28 brd 10.10.10.15 scope global eth0
       valid_lft forever preferred_lft forever
    inet 172.22.240.100/24 brd 172.22.240.255 scope global dynamic eth0
       valid_lft 3086sec preferred_lft 3086sec
    inet6 fe80::fcac:16ff:fef0:bb/64 scope link
       valid_lft forever preferred_lft forever

Die Lösung? Eigentlich GANZ einfach. Es gÀbe ja sogar zwei...

  1. Entweder man definiert ein Suffix (z.B. *.iface, siehe oben) und macht dann source /etc/network/interfaces.d/*.iface, ignoriert also alles andere.
  2. Man stellt (zumindest bei Neuinstallationen) auf source-directory /etc/network/interfaces.d/ um, welches nur folgende RegExp zulÀsst: ^[a-zA-Z0-9_-]+$

Ich bin ein Freund von Zweiterem, deswegen stell ich das auch mit meiner Ansible-Grundinstallation um.

Gestern allerdings fiel mir das auf die FĂŒĂŸe. Nach einem Reboot kam der vServer nicht mehr hoch. Warum? Darum:

root@buster:/etc/network/interfaces.d# ls
50-cloud-init.cfg

In der RegExp fĂŒr source-directory ist kein Punkt dabei! Daher werden Dateien mit einem Suffix nicht gelesen. DarĂŒber lĂ€sst sich jetzt auch streiten, ob das sinnvoll ist, klar. An anderer Stelle ist das aber (im Debian-System, z.B. Cron-Scripte, die per run-parts aufgerufen werden) dann auch wieder so, es zieht sich also durch. Ich fĂ€nde es als Default immer noch besser, als Backup-Dateien (welche auf "~" enden) wie Schnippsel zu behandeln und sie einzulesen.

An anderer Stelle hat man gelernt: War es bei Apache 2 in Debian möglich, im Verzeichnis /etc/apache2/sites-enabled/ beliebige Dateinamen abzulegen, werden inzwischen nur noch Schnippsel mit der Endung "*.conf" inkludiert.

Fazit:
Durch eine unbedachte Default-Einstellung bei der EinfĂŒhrung eines eigentlich SEHR coolen Features (source mit "*" als Wildcard), hat man Probleme in der Zukunft vorprogrammiert.

Devuan (oder Debian) auf AMD Ryzen 5 Pro 4650G

Wer einen der neuen Ryzen-CPUs sein eigen nennt, wird schnell feststellen, dass es unter Devuan 3 "Beowulf" bzw. Debian 10 "Buster" mit der Grafikkarte gibt. Nach der Installation des Linux-Kernels 5.7 aus den Backports plus firmware-amd-graphics war das Problem erledigt. Zur VervollstÀndigung habe ich noch die AMD64-Microcode-Updates und die passenden X.org-Treiber installiert.

root@beowulf:~# apt install amd64-microcode xserver-xorg-video-amdgpu
root@beowulf:~# apt install -t beowulf-backports linux-image-amd64 firmware-amd-graphics

Archlinux hat mich auf die richtige Spur geleitet. Aber ich hab mal wieder festgestellt, dass Archlinux nix fĂŒr mich ist ;)

Raspberry Pi: NFS-Root

(updated )
by Sven Velt

Nur als kurzer Link: http://youresuchageek.blogspot.de/2013/01/raspberrypi-root-over-nfs-share.html

Nuernberg Rams in der GFL2 (2. American Football "Bundesliga")

So ganz glauben kann ich's eigentlich noch nicht, aber es ist wohl war: Durch den RĂŒckzug der Plattling Black Hawks aus der GFL (1. Liga) bzw. Verzicht auf den Startplatz in der GFL2 gab es einen freien Platz, der dem American Football Verband Bayern "zusteht". Und da die Nuernberg Rams in der abgelaufenen Regionalliga-Saison (3. Liga) den 2. Platz belegt haben, sind sie natĂŒrlich Kandidat Nummer 1 (gewesen).

Das heißt dann effektiv: Vier Jahre Spielbetrieb, vier mal Aufstieg, 31 gewonnene und nur 2 verlorene Spiele. Diese Statistik wird sich zwar vermutlich nĂ€chstes Jahr deutlich Ă€ndern (leider) und doch freu ich mich auf dann sieben Heimspiele (dieses Jahr waren's ja nur vier). Und das alles, obwohl ich nach dem ersten (verlorenen) Saisonspiel schon gedacht habe: Nur nicht absteigen! Das gilt dann wohl nĂ€chstes Jahr ;-)

PS: Weiß jemand schon was ĂŒber die Auf-/AbstiegsmodalitĂ€ten 2012?

check_icmp liefert mit Squeeze mehr PerfDatas als mit Lenny

Alternativ-Titel: Keine PNP4Nagios-Graphen mehr mit check_icmp nach Squeeze-Upgrade

Irgendwann zwischen den Releases 1.4.12 (Lenny) und 1.4.15 (Squeeze) sind bei "check_icmp" zwei zusĂ€tzliche PerfData-Werte hinzugekommen "rtmin" und "rtmax". Beim Update meiner privaten Nagios-Installation ist mir das natĂŒrlich ziemlich auf die FĂŒĂŸe gefallen, denn die vorhandenen RRD-Files von PNP4Nagios kannten nur die zwei bisherigen "rta" und "pl" PerfDatas bzw. Datasources.

Jetzt hĂ€tte man natĂŒrlich einfach alle RRDs, die es betrifft, löschen können, dann hĂ€tte sie PNP4Nagios wieder neu angelegt. Aber damit wĂ€ren dann ja auch die alten Werte verloren gegangen. Also habe ich nach einer Lösung gesucht, wie man die RRD-Dateien erweitern kann.

Da das leider nicht so einfach möglich ist, habe ich mir ein Python-Skript geschrieben, dass letztendlich die Daten aus der RRD-Datei dump't (XML), das XML an den entsprechenden Stellen erweitert, und dann aus diesem "neuen" XML wieder eine RRD-Datei baut. Und siehe da, es funktioniert :)

BITTE VORHER DIE RRD-DATEIEN SICHERN!

Aufruf: add_ds.py [-v] Ping.rrd
Dadurch wir eine neue Datei "Ping.rrd.new" erzeugt, die entsprechend erweitert ist.

Theoretisch wĂ€re es sogar möglich, das Tool folgendermaßen aufzurufen:
cd /var/lib/pnp4nagios/perfdata; add_ds.py --rename */Ping.rrd
ICH wĂŒrd's aber nur mit einer vorherigen Sicherung machen ;-)

Update 1:
Das Skript ist so (vor)eingestellt, dass es genau fĂŒr diesen Fall (Lenny->Squeeze) funktioniert.

Update 2:
Noch etwas genauer: Es ĂŒberprĂŒft, dass genau zwei ("--expect=2") DS/Datasources in der RRD-Datei existieren und fĂŒgt dann zwei weitere ("--addds=2") des Typs GAUGE ("--adddstype=GAUGE") hinzu. Über die Parameter kann man dies steuern und natĂŒrlich fĂŒr andere FĂ€lle auch andere Datasources hinzufĂŒgen.

Download
Da ich noch nicht ganz schlĂŒssig bin, wo ich das Skript letztendlich hinlegen werde, wird es einfach mal hier angehĂ€ngt.

Nagios-Portal Workshop in Hannover

Die letzten beiden Tage fand in Hannover der Nagios-Portal Workshop bei der KassenĂ€rztliche Vereinigung Niedersachsen statt. Erst einmal ein herzliches Dankeschön an die KVN fĂŒr die Bereitstellung der RĂ€ume und GetrĂ€nke und natĂŒrlich auch dem Organisator fĂŒr das Essen und das Rahmenprogramm!

Ich kann mich im Prinzip nur Wiederholen: Über solche Veranstaltungen kann man sich viel Input der verschiedenen Projekte holen, schnell einen Überblick ĂŒber Neuigkeiten bekommen und natĂŒrlich kommen auch GesprĂ€che mit anderen Nagios-Admins hier nicht zu kurz.

Deswegen nochmal ein Dank an die Veranstalter - und ich freu mich schon auf nÀchstes Jahr :)

Zwei "Wacken Open Air 2011"-Karten abzugeben

(updated )
by Sven Velt

Tja, aus einigen ja bekannten GrĂŒnden können wir leider dieses Jahr nicht hingehen. Deswegen stehen hier noch 2 Karten rum, die wir gerne (bevorzugt natĂŒrlich an uns bekannte Personen ;-) zum Originalpreis abgeben wĂŒrden. Wer also Interesse hat, Mail an mich.

Running MK-Multisite without installing check_mk

Before starting this you should have MK-Livestatus up and running!

Updated to 1.1.12p3!

  1. Download check-mk 1.1.12p3 from http://mathias-kettner.de/download/check_mk-1.1.12p3.tar.gz
  2. % cd /tmp
  3. % tar .../xzf check_mk-1.1.12p3.tar.gz
  4. % mkdir /usr/local/nagios/mk-multisite
    or wherever you want to put it. If you change this path you also have to change/fix the config files
  5. cd /usr/local/nagios/mk-multisite
  6. % tar xzf /tmp/check_mk-1.1.12p3/web.tar.gz
  7. % mkdir -p var/web
  8. % chown -R www-data:www-data var
    (on Suse use "wwwrun:www" as new owner)
  9. Download attached mk-multisite-etc.tar.gz
  10. % tar xzf .../mk-multisite-1.1.12-etc.tar.gz
  11. Install and enable "mod_python" in your Apache2, on Debian: apt-get install libapache2-mod-python && a2enmod python
  12. % ln -s /usr/local/nagios/mk-multisite/etc/apache.conf /etc/apache2/conf.d/mk-multisite.conf
  13. % ln -s /usr/local/nagios/mk-multisite/etc/defaults.py /usr/local/nagios/mk-multisite/htdocs/
  14. % /etc/init.d/apache2 reload
  15. Have fun :)

If it doesn't work have a look to etc/defaults.py (path names) and/or etc/multisite.mk

Feedback welcome ;-)

NagTrap on PHP 5.3 - newer OpenSUSE and Debian 6 Squeeze

Well... an other "wonderful" change between PHP 5.2 and 5.3... "parse_ini_file" behaves different on some characters. You will see a

Database-Error
Can't connect to database!
Check your configuration!
Errors: Access denied for user 'www-data@localhost' (using password: NO)

or on OpenSUSE:

Errors: Access denied for user 'wwwrun@localhost' (using password: NO)

You have to change one line in "nagtrap/etc/config.ini.php" from:

illegalCharJavabox = <,>,'

to:

illegalCharJavabox = "<,>,'"

After this small change everything works fine.

PS: Also remember short_open_tags settings on OpenSUSE. Must be turned On in /etc/php5/apache2/php.ini!

PNP4Nagios in Debian

Short english version: It's finally done! PNP4Nagios is now a part of Debian. Thanks to Sebastian Harl for finishing the work I started.

Es ist endlich geschafft! PNP4Nagios (und seine ganzen AbhÀngigkeiten) ist ein Teil von Debian. Im Moment befindet es sich "nur" in Wheezy und Sid, wir wollen es aber auf jeden Fall noch in die Backports von Lenny und Squeeze bekommen.

Begonnen hat das ganze Abenteuer ja schon vor langer, langer Zeit, aber die vielen Feinheiten (insbesondere Lizenzen diverser "Kleinteile") haben einen Upload leider sehr lange verzögert. Sebastian "tokkee" Harl hat sich nun dem fitzeligen Rest angenommen, es in ein Debian-wĂŒrdiges Format gebracht und (weil er eben DD ist) es auch gleich nach Debian hochgeschoben. Ein Danke von mir nochmals an dieser Stelle :)

Brain-f--cked SNMP coder

% snmptranslate -IR -mALL -On fcpLowReadBytes fcpHighReadBytes
.1.3.6.1.4.1.789.1.17.3
.1.3.6.1.4.1.789.1.17.4
% snmptranslate -IR -mALL -On fcpLowOps fcpHighOps
.1.3.6.1.4.1.789.1.17.14
.1.3.6.1.4.1.789.1.17.13

Bin ich eigentlich der Einzige, der bei sowas k*tzen muss?!?

Gedankenspiel: Bundesfinanzbehörden stellen neue Heimat fĂŒr Wikileaks

(updated )
by Sven Velt

Zwei Dinge, die auf den ersten Blick gar nicht so viel miteinander zu tun haben, beschÀftig(t)en die Nachrichten:

Die SteuersĂŒnder-CDs

Zitat FAZ: Das Bundesverfassungsgericht hat klar Stellung bezogen: Der deutsche Staat darf angekaufte Daten ĂŒber SteuersĂŒnder nutzen, auch wenn diese Informationen rechtswidrig erlangt wurden.

Alternative Quellen:
* sueddeutsche.de Newsticker: Fahnder dĂŒrfen Steuer-CD benutzen
* Die WELT online: Fahnder dĂŒrfen Steuer-CD benutzen
* Manager Magazin: StaatsanwĂ€lte dĂŒrfen gestohlene Steuer-CDs nutzen

Halten wir fest: Offensichtlich ist es also in Deutschland möglich, auch nicht "ganz legal" erworbene Daten zu verwenden bzw. sogar in rechtsstaatliche Prozesse einzubringen.

Wikileaks

Wie man schwer nicht mitbekommen haben kann, haben ja schon mindestens zwei amerikanische große Firmen ihre (bezhalten!) Dienstleistung fĂŒr Wikileaks eingestellt: Amazon und Paypal. Ob diese Reaktion von den Unternehmen selbst kam oder "von außen herbeigefĂŒhrt wurde", kann man nur erahnen. Quellen z.B.:

Beides kombiniert

Soweit, so schlecht. Bisher. Meiner Meinung nach sind beide "VorfĂ€lle" fĂŒr sich betrachtet schon unglaublich und nicht mit meiner VerstĂ€ndnis von Demokratie, Rechtsstaatlichkeit und freier MeinungsĂ€ußerung vereinbar.

Aber nun kann man ja mal aus Beidem das "Beste" herausziehen: Wikileaks hat sich - zumindest auf nicht ganz seriöse Weise - Dokumente verschafft, die viele gerne geheim gehalten hÀtten. Eins der Hauptargumente der Wikileaks-Gegner ist ja gerade, dass diese Dokumente "illegal" beschafft wurden. Soweit bisher durchgesickert ist, allerdings nicht von Wikileaks bzw. deren Mitstreitern selbst, sondern durch Dritte.

Und genauso verhĂ€lt es sich doch mit den SteuersĂŒnder-CDs. Diese bzw. die Daten drauf wurden auch von Dritten sehr wahrscheinlich illegal kopiert bzw. beschafft. Nun kaufen deutsche Behörden/LĂ€nder/Institutionen diese offensichtlich illegal erworbenen Daten und das Bundesverfassungsgericht erlaubt jetzt die Verwendung dieser Daten. Also kann es ja so schlimm nicht bestellt sein um den Weg der Beschaffung.

Damit kann man auch mal vermuten, dass das Bundersverfassungsgericht auch die Beschaffung und das Vorhandensein der teilweise geheimen Daten von Wikileaks nicht als unrechtsmĂ€ĂŸig einstufen wĂŒrde.

Man könnte nun auf die Idee kommen, den deutschen Finanzbehörden, die ja unzweifelhaft von den SteuersĂŒnder-CDs profitieren, aufzufordern, doch von dem Geld einen Teil abzuzwacken und damit Wikileaks eine neue, sichere Heimat in dem von Angela "Teflon" Merkel regierten Deutschland zu schaffen bzw. zu finanzieren. Findet Ihr nicht auch? ;)

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 »