Archiv für den Monat: September 2011

Windows Updates prüfen mit Nagios

Um unserer Server optimal überwachen zu können, habe ich eine Lösung implementiert, wie die benötigten Updates durch Nagios überwacht werden können.
Leider ist dies nicht eine Standardfunktion von NSClient++ und auch per SNMP habe ich nichts schlaues gefunden, also habe ich eine Lösung mittels Scripts und NRPE implementiert.

Damit das klappt, muss zuerst dieses Script auf der zu überwachenden Maschine abgelegt werden. Ich habe dazu den Ordner C:\Program Files\NSClient++\scripts verwendet.

Nun kann es an die Konfiguration gehen. Dazu müssen einige Einstellungen in der NSC.ini-Datei angepasst werden. Natürlich ist NRPE bereits aktiviert und deshalb auch einkommentiert:

NRPEListener.dll

Aber es wird auch die folgende DLL gebraucht:

; Script to check external scripts and/or internal aliases.
CheckExternalScripts.dll

Dann wird noch der passende Port festgelegt:

[NRPE]
;# NRPE PORT NUMBER
;  This is the port the NRPEListener.dll will listen to.
port=5666

Ganz praktisch ist es auch, das Timeout hochzusetzen:

;# COMMAND TIMEOUT
;  This specifies the maximum number of seconds that the NRPE daemon will allow plug-ins to finish executing before killing them off.
command_timeout=60

;# SOCKET TIMEOUT
;  Timeout when reading packets on incoming sockets. If the data has not arrived withint this time we will bail out.
socket_timeout=30

Um es sicherer zu machen, verbieten wir noch Argumente zu übergeben.

;# COMMAND ARGUMENT PROCESSING
;  This option determines whether or not the NRPE daemon will allow clients to specify arguments to commands that are executed.
allow_arguments=0

Natürlich wollen wir auch SSL verwenden:

;# USE SSL SOCKET
;  This option controls if SSL should be used on the socket.
use_ssl=1

Nun können wir auch schon unser Script angeben:

Weiterlesen

NRPE Module installieren

Aktuell arbeite ich an einer Lösung, um mittels Nagios zu prüfen, ob auf unseren Windows-Servern neue Updates zur Verfügung stehen. Da dies leider nicht remote geht, versuche ich mittlerweile via NRPE ein Script auf der Maschine auszuführen.
Jedoch war ich ein wenig überrascht, auf meinem Nagios Server war gar kein check_nrpe verfügbar. Ich dachte eigentlich, das gehört zum Standard von Nagios, aber nun sei es so.

Den passenden Quelltext dazu habe ich auf Sourceforge gefunden und heruntergeladen:

cd /tmp
wget http://sourceforge.net/projects/nagios/files/nrpe-2.x/nrpe-2.12/nrpe-2.12.tar.gz

Dann noch entpackt und schon ist man bereit für die Installation:

tar -xvzf nrpe-2.12.tar.gz
cd nrpe-2.12

Doch führt man jetzt einfach “configure” aus, so erhält man den folgenden Fehler:

error: Cannot find ssl headers

Dazu müssen zuerst noch Abhängigkeiten installiert werden:

apt-get install libssl-dev libssl0.9.8

Nun läuft auch alles durch:

./configure
make all

Das war auch schon die ganze hexerei, nur noch kopieren und gut ist:

cp src/check_nrpe /usr/local/nagios/libexec/

Mein Kindle 3 und ich

Seit nun ein bisschen mehr als einem Monat bin ich auch stolzer Besitzer eines Kindle 3G. Ich hatte das Glück meinen Kindle so ziemlich am Tiefpunkt des Dollars zu kaufen, wodurch ich für das 189$-Produkt inklusive Zoll- und Lieferkosten nur CHF 180.- bezahlen musste.

Nun genug davon, jetzt zum Kindle selbst. Ich nehme mal an, ich muss nicht mehr vorstellen, was das Gerät überhaupt ist, denn wer es nicht kennt, der kann hier lesen oder das folgende Video schauen:

Nun denn, wie gesagt bisher habe ich meinen Kindle seit ein bisschen mehr als einem Monat. Ich bin mich ja gewöhnt, dass die Laufzeit von Akkus immer etwas optimistischer angegeben werden, als sie eigentlich halten. So habe ich bei der versprochenen Laufzeit von 2 Monaten ohne oder 10 Tage mit WLAN / 3G ein bisschen gezweifelt, nun jedoch muss ich sagen, die Angaben sind durchaus noch untertrieben!
Mein Kindle habe ich bekommen mit halber Akkuladung, was mir nun gut 3 Wochen lang Lesevergnügen bereitete. Und das obwohl während der Hälfte der Zeit das WLAN / 3G aktiviert war. So ist es sogar vorgekommen, dass ich mich schon so fest an den guten Akku gewöhnt hatte, dass ich erst mal das Ladekabel suchen musste…

Weiterlesen

SSL VPN gegen asoziale Firewalls

Was tut man, wenn man hinter einer Firewall sitzt, die nur die Ports 80 und 443 geöffnet hat und trotzdem zum Beispiel mit vSphere über Port 902 eine Konsole öffnen, oder aber via Port 8080 auf eine Webseite zugreifen sollte. Genau, die Lösung ist VPN… Doch kein normales VPN!

Begonnen habe ich mit OpenVPN und habe es mit SSL verschlüsselt und auf Port 443 gelegt. Doch interessanter weise wollte keine Verbindung zu Stande kommen. Das Problem lag darin, dass die Firewall bereits blockte, bevor mein Client überhaupt einen SSL-Tunnel aufbauen konnte.
Die Lösung dafür also, ich brauche eine Lösung, welche ich als normale Webseite ansurfen und dann vom Server aus einen SSL-Tunnel aufbauen kann.
Dank dem Macher von IT Blögg bin ich auf SSLExplorer, oder besser gesagt das Folgeprojekt daraus auf Adito SSL VPN gestossen.
Die Installation dazu ist denkbar einfach. Ein bisschen Javacode, einmal kompilieren und noch hier und da ein Klick und schon läuft alles! Doch von vorne:

Installiert habe ich Adito nach folgender Anleitung hier. Die Installation geht relativ sauber und problemlos.

Doch nun kommt der kompliziertere Teil. Dank Adito kann ich jeglichen Traffic von meiner lokalen Maschine an eine beliebige IP und einen beliebigen Port im Netz weiterleiten. Also habe ich mir auf pfSense OpenVPN konfiguriert. Anleitungen dazu gibt es unzählige, mir hat dieses Video hier sehr geholfen:

Weiterlesen