Doch natürlich gibt es im Wettbewerb auch Regeln!

• Thema: Die einzige Vorgabe ist hier Open-Source. Wir wollen weder Leute ausschließen, noch uns auf ein Betriebssystem festlegen. Open-Source-Software gibt es für Linux (irgendwie klar), Mac OS X, Windows, *BSD, Android und so weiter und so fort. Wir setzen hier auf die Kreativität der Schüler, die auch in die Berwertung einfließen wird.
• D A CH: Schulen aus Deutschland, Österreich und der Schweiz sind teilnahmeberechtigt. Wenn aus dem anderen EU-Bereich ein Artikel in deutscher Sprache eingeht, werden wir den auch mitspielen lassen.
• Zeichenbeschränkung: maximal 8000 Zeichen (inklusive Leerzeichen) und keine Untergrenze. Heißt im Klartext, wer sich mehr Mühe macht, hat höhere Chancen. Bedenkt allerdings bitte, dass Quantität nicht immer Qualität ist. Man kann auch 8000 Zeichen schreiben und gar nichts aussagen. Schwafelei endet wahrscheinlich in Punktabzug.
• Schrecklicher Verdacht: Sollten wir das Gefühl haben, dass der zuständige Lehrer zu viel mitgeholfen hat, werden wir das entsprechende Team kontaktieren. Wenn wir dann der Meinung sind, dass sich der Verdacht bestätigt, wird es Punktabzug geben. Die Schüler sollen das Thema selbst erarbeiten und ausarbeiten – der Lehrer als Stütze und Koordinations-Leiter dienen. Bitte haltet Euch daran, sonst hätten wir gleich einen Wettbewerb für Lehrer ausrufen können.
• Bildschirmaufnahmen oder auf neuhochdeutsch Screenshots: Ihr könnt bis zu 10 Screenshots abliefern. Das sollte allerdings dem Umfang des Werkes gerecht werden. Also ein Text mit 3 Zeilen und dazu 10 Screenshots ist unangemessen. Ihr werdet das richtige Mittelmaß schon finden. Die Screenshots bitte in einem png- oder jpg-Format mitschicken. Numeriert die Bilder bitte in der richtigen Reihenfolge und gebt uns auch entsprechend Bildunterschriften mit. Macht hierzu einfach eine txt-Datei bu.txt, wo sich die Bildunterschriften wie zum Beispiel im folgenden Format befinden: 1.jpg: Was für ein toller Screenshot!
• Schreibweise: Bekanntlich lesen sich Texte auf einem Bildschirm schwerer als auf Papier. Wir werden keine Punkt-Abzüge vergeben, wenn ihr zum Beispiel Zahlen bis 12/zwölf auch als Zahl schreibt, oder lange zusammenhängende Wörter trennt. Hier könnt ihr schalten und walten wie ihr möchtet. Dass die Sätze Sinn ergeben und nachvollziehbar sein sollen, versteht sich von selbst.
• Textformat: Den Text bitte als Klartext (.txt-Datei) oder HTML-formatiert einsenden. Wer seinen Text natürlich farblich und mit Überschriften aufhübschen möchte, wird das HTML-Format bevorzugen. Bitte keine aufwändigen CSS-Orgien durchführen, weil sich diese beim Veröffentlichen der Artikel in Luft auflösen. Reines, klares HTML bitte und nur das, was zwischen <body></body> stehen soll – ohne die <body></body>-Tags.
• Teilnehmerinformationen: Wir wollen natürlich auch bekannt geben, von wem das schöne Werk ist. Daher bitte eine txt-Datei team.txt erstellen, in dem folgende Informationen sind: Klasse, Schule, Stadt, zuständiger Lehrer und eine E-Mail-Adresse an die wir uns bei Rückfragen wenden können / dürfen. Die E-Mail-Adresse wird von uns selbstverständlich weder veröffentlicht, noch für lästige Newsletter verwendet – sie dient rein zu Kommunikations-Zwecken. Optional könnt ihr uns eine Liste mit den Vornamen der Schüler schicken, die wir dann auch veröffentlichen. Bitte keine Nachnamen – das hier ist nicht die Stalker-Applikation von Facebook (Timeline). Ihr könnt uns auch mitteilen, wenn wir bestimmte Informationen nicht veröffentlichen sollen. Das wird respektiert und natürlich auch nicht mit Punktabzug belegt – schöner ist es schon, wenn man ein bisschen etwas über das Team erfahren kann. Überlegt es Euch einfach.

Wer Lust hat auch am Wettbewerb teilzunehmen, der hat Zeit bis am 24. Februar sein Werk an schreibwettbewerb@bitblokes.de einzusenden und somit die Möglichkeit einer der 11 Preise abzustauben:

• bitblokes.de: 200 Euro für die Klassenkasse. Damit könnt ihr machen, was ihr wollt.
• O’Reilly: 5 Bücher. Ein Gewinnberechtigter kann sich ein Buch nach Wahl für die Klassen- / oder Schulbibliothek aussuchen.
• terrashop.de: 5 Gutscheine zu je 20 Euro. Ein gewinnendes Team kann diesen bei terrashop.de einlösen.

Also auf die Tasten, fertig, los – zu verlieren habt ihr nichts! Mehr Infos gibt es hier.

Ganz interessant finde ich aber die Verteilung der Plattformen, welche sich auf der Liste ergibt. Ich will ja hier kein “Plattformen-Weltkrieg” losbrechen aber, geht man mal von den offensichtlichsten aus, so findet man viele Anhänger der Microsoft (Office-) Palette, jedoch keine Produkte von OpenOffice / LibreOffice. Auch sind der eine oder andere Virenschutz und natürlich der Internet Explorer sehr “gut” platziert!
Erst weiter unten kommen dann auch bekannte Produkte aus beiden Welten wie der Mozilla Firefox.

Woran das nun genau liegt, das zu interpretieren überlasse ich jedem selbst, für mich war es schön zu sehen, dass es nicht nur mir so geht! Und für mich reichte die Liste für ein Schmunzeln am Montag morgen und das ist ja immerhin schon etwas!

Ach ja, dreckstool.de heisst die Seite – tobt euch aus!

Das könnte dich auch interessieren:

1. Fast Dial und Firefox 5.0 Fast Dial, ein Add-on für Firefox, dass ich in den...

Prey lets you keep track of your phone or laptop at all times, and will help you find it if it ever gets lost or stolen. It’s lightweight, open source software, and free for anyone to use. And it just works.

Vor allem letzteres wollen wir mal hoffen

Probieren konnte ich es selbst noch nicht, doch hier hilft eine andere Geschichte:

Stephan Meier* ist ein Geek. Der Schweizer lebt seit 10 Jahren in Rom. Doch aufgrund eines Todesfalles in seiner Familie, ist er während der Festtage nicht wie sonst üblich in die Skiferien gefahren, sondern hat sich im Raum Zürich bei seiner Verwandtschaft aufgehalten.

Am 31. Dezember ist er mit seiner Partnerin unterwegs in Richtung Toggenburg und lässt beim Umsteigen seine Tasche mit Notebook, Pass und weiteren Dokumenten in der S-Bahn nach Rapperswil liegen.

[...]

Aber nach ein paar Stunden findet die Durchsuchung statt, und die vemisste Tasche mit Notebook, Pass, usw. konnte sichergestellt werden. Zu guter letzt willigte auch noch die Staatsanwältin ein, die “Beweisstücke” freizugeben und Stephan kann morgen nach Rom zurück fahren, als ob nichts geschehen wäre.

Die ganze Story gibt es hier.

Insgesamt ein voller Erfolg, wenn man bedenkt, dass die Software zu installieren gerade mal ein paar Minuten in Anspruch nimmt. Klar, die Chance, dass der Benutzer die Maschine auch sogleich ans Internet hängt, ist sehr klein, doch ist es immerhin ein Lichtblick, als wenn man gar nichts getan hätte. Wer es nicht versucht, hat schon verloren!

Ganz cool, dass es Prey nicht nur für Windows, Mac oder Linux (Ubuntu) gibt, sondern auch für Android und iOS.

Das könnte dich auch interessieren:

1. Aufgabenverwaltung kann schön sein! Obwohl ich es auf meinem iPhone schon länger installiert habe,...
2. Demonstrationen in neuem Ausmasse: Internet Blackout geplant Die Zeiten von Demonstrationen auf der Strasse sind vorbei. Am...
3. Paketquellen für Windows Die Lösung heisst Ninite und gibt es eigentlich schon seit...

Nun meistens spart man bei der Grafik. Anstatt einer Grafikkarte, gibt es nur noch integrierte Grafik, doch dies ist ja bereits bei vielen aktuellen Laptops der Fall.
Weiter verzichtet man auf ein optisches Laufwerk. Doch was, wenn man mal eine CD hat? Sind CD / DVD bei Notebooks überhaupt noch zeitgemäss?

Als ich mich dann so im Markt der Ultrabooks umgeschaut habe, gefiel mir ein bestimmtes Teil ganz besonders: Das Asus Ultrabook UX31!
Sieht echt schick aus, ist dünn und leicht und hat trotzdem Power. Doch wo ist da der LAN-Anschluss verbaut? Genau, nirgends! LAN gibt es nur noch über USB, ganz wie es beim Air der Fall ist. Oder aber Internet via WLAN. Und da stellt sich mir wieder die Frage, versucht man hier das kabel-gebundene Netzwerk ein für alle mal durch die drahtlose Variante zu ersetzen? Ist es überhaupt noch nötig, dass künftige Notebooks LAN-Anschlüsse haben?

Was ich persönlich sehr schade finde, zu Beginn der Netbooks hat sich Linux ja einigermassen etablieren können, wurde dann aber mit steigender Leistung der Dinger durch Windows ersetzt. Da die Ultrabooks schon mit genügend Leistung ausgeliefert werden, gehört Windows bereits zum Standard!
Natürlich besteht immer noch die Möglichkeit Linux selbstständig zu installieren, doch mit voller Unterstützung kann man leider nicht rechnen, vie Golem.de bereits testete:

Weder der Bereitschaftsmodus (S3 oder Suspend-To-RAM) noch der Ruhezustand (S4 oder Suspend-To-Disk) funktionierte mit Ubuntu 11.10 samt Kernel 3.0.0.12 korrekt.

In meinen Augen sehr schade, dass Asus es hier verpasst hat, auf den “Linux-Zug” aufzuspringen, denn so finde ich leider keinen Kaufgrund! Auf das Andere hätte ich noch verzichten können…

Das könnte dich auch interessieren:

1. LVM für Linux einrichten LVM ist eine andere Art von Festplatten Management, ähnlich einem...
2. Backup und Restore mit Linux Von den bisher vorgestellten Themen in LPIC 201 ist das...
3. Linux von Acer verbannt Da der Acer Aspire One von einer Kollegin nicht mehr...

Die alteingesessenen Nagios-Admins kennen das Problem: Es ist keines, es ist ein Feature – so habe ich mich von der Community belehren lassen!

Es hängt zusammen mit einer Statusdatei, welche Nagios anlegt, damit nach einem Neustart des Daemons nicht immer alle Checks ohne Daten dastehen und erst alles wieder aufgebaut werden muss. Deshalb wird darin der letzte Zustand gespeichert und dann auch abgerufen.
Wieso dabei auch der Hostname gespeichert und aus dieser Datei anstelle der Konfigurationsdatei ausgelesen wird, kann ich mir leider nicht erklären. Aber eben: Das ist ein Feature, kein Bug!

Die Lösung des Problems liegt darin, dass der Name nicht nur in der offiziellen Konfigurationsdatei, sondern auch in der Statusdatei unter var/retention.dat angepasst wird. Bevor das geschieht, muss aber der Nagios-Daemon gestoppt werden.

Also (der Pfad der Nagios-Installation bitte anpassen):

/etc/init.d/nagios stop
vi /usr/local/nagios/var/retention.dat
/etc/init.d/nagios start

Verzweifelt nicht an euer Sehkraft, es ist wirklich so

Das könnte dich auch interessieren:

1. Unbekannte Systeme in Nagios Die Nagios Status Map ist ja eine ganz feine Sache,...
2. Notification von Nagios ans iPhone Auf der Suche nach einer Lösung, wie ich die Notifications...
3. Windows Updates prüfen mit Nagios Um unserer Server optimal überwachen zu können, habe ich eine...
4. Nagios als Inventory-Lösung Heute bin ich über ein interessantes Script gestossen, welches aus...
5. NRPE Module installieren Aktuell arbeite ich an einer Lösung, um mittels Nagios zu...

Beides gibt es leider nicht bei meinem ESXi Server. Noch nicht mal eine anständige iptable oder hosts.deny sind vorhanden, geschweige denn von einer Firewall, wie es bei ESX Standard ist.

Um jedoch mal zu sehen, wie viele Personen versuchen, mein SSH zu knacken, habe ich ein einfaches kleines Script für Nagios geschrieben.

Ich weiss es kann noch viel optimiert werden dabei, doch es erfüllt seinen Zweck:

#!/bin/bash

# ####################################################################
# Check Syslog /var/log/SPLVS002.log for Brute Force Attacks via SSH
# by Patrick Schmid
# Version 1.0
######################################################################

export STATE_OK=0
export STATE_WARNING=1

time=`date +%H.%M.%S |cut -d'.' -f1`
time=`echo $time|sed 's/^0*//'`
time2=$(( $time - 1))
time3=$(( $time - 2))

if [ $time -lt 10 ]; then
        time=0$time
fi

if [ $time2 -lt 10 ]; then
        time2=0$time2
fi

if [ $time3 -lt 10 ]; then
        time3=0$time3
fi

compare=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3`
compare=`echo $compare | cut -d' ' -f1`

if [ $compare -lt 10  ]; then
        attackers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f4,14 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq`
        computers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f4,14 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq |wc -l`
        attemps=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f4,14 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |wc -l`
else
        attackers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3,13 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq`
        computers=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3,13 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |uniq |wc -l`
        attemps=`tail -300 /var/log/SPLVS002.log |grep "from" |grep "root" |grep "attempt" | cut -d' ' -f3,13 |cut -d':' -f1,2,3 |sed -e 's/://' | tee -a |sed -e 's/://' |tee -a |grep "^$time\|^$time2\|^$time3" |cut -d' ' -f2 |sort |wc -l`
fi

[ "$attackers" ] && echo -e "$attemps attemps from $computers attackers\n$attackers"
[ "$attackers" ] || echo "No Attack running"

[ "$attackers" ] && exit $STATE_WARNING
[ "$attackers" ] || exit $STATE_OK

Und schon sieht man in Nagios selbst, was so abgeht:

So dann weiter im Konzept! Es gibt zwar keine Möglichkeit, Angreifer aussperren oder ähnliches, jedoch aber kann man verhindern, dass das Passwort erraten werden kann, indem man das Login mit einem zusätzlichen Zertifikat schützt. Wie das geht, lest ihr in den folgenden Zeilen!

Zuerst wird ein Key generiert, mit ssh-keygen.
Nun kann der Public-Key kopiert werden, denn dieser muss auf den ESX wie folgt eingefügt werden:

mkdir /.ssh
touch /.ssh/authorized_keys
chmod 0600 -R /.ssh
echo "ssh-rsa KEY_HIER_EINFÜGEN" >> /.ssh/authorized_keys

Nun kann man das Login schon mal prüfen. Hier sollte man bereits mit dem Key einloggen können.

Jetzt wird das ganze noch abgesichert, damit es auch einen Reboot übersteht. Einfach den obigen Part in die Datei /etc/rc.local einfügen und abspeichern.
Und zu guter Letzt wird noch das Login ohne Zertifikat deaktiviert. Dazu wird in der Datei /etc/inetd.conf den beiden Punkten “ssh” der Parameter -s angefügt:

ssh      stream   tcp   nowait   root   /sbin/dropbearmulti   dropbear ++min=0,swap,group=shell -s -i -K60
ssh      stream   tcp6  nowait   root   /sbin/dropbearmulti   dropbear ++min=0,swap,group=shell -s -i -K60

Von nun an ist ein Login nur noch mit Zertifikat möglich, wodurch auch die lästigen Bots ausgebremst werden.

Das könnte dich auch interessieren:

1. Syslog Server für ESXi Nach dem ich entdeckt hatte, dass der ESX so intelligent...
2. ESXi sichern auf FTP Vor einiger Zeit hatte ich die Aufgabe ein Backup-Konzept für...
3. Vmware Image für ESXi aufbereiten Für eine Analyse gab es diese Woche eine Installation von...
4. DNS-320 mit fun_plug zu SSH Ganz cool an meinem NAS DNS-320 ist die Funktion des...
5. NAT konfigurieren unter ESX(i) NAT ist so eine Sache. Unter Vmware Workstation sehr einfach...

Da ich sowas noch nie eingerichtet hatte, war ich mir nicht ganz sicher, was auf mich zu kommen würde. Nun aber kann ich sagen, schreckt nicht davor zurück! Das Einrichten geht schnell und einfach und der Gewinn daraus ist enorm.

Auf meinem Ubuntu Server habe ich mich für syslog-ng entschieden, welches problemlos über die Paketquellen installiert werden kann:

apt-get install syslog-ng

Nun muss die Konfiguration unter /etc/syslog-ng/syslog-ng.conf angepasst werden.
Eingefügt habe ich die folgenden Punkte für jeweils einen ESX und einen normalen Ubuntu-Server:

source s_udp
{
        udp(port(514));
};

destination d_server1 {
        file("/var/log/server1.log");
};

filter f_server1 {
        host("192.168.1.45");
};

log {
        source(s_udp);
        filter(f_server1);
        destination(d_server1);
};

destination d_server2 {
        file ("/var/log/server2.log");
};

filter f_server2 {
        host("192.168.1.23");
};

log {
        source(s_udp);
        filter(f_server2);
        destination(d_server2);
};

Somit sei es den beiden Hosts mit der Adresse 192.168.1.23 und 192.168.1.45 über den Port UDP/514 erlaubt, Daten an den Syslog-Server zu senden, welche jeweils unter /var/log/server1.log und server2.log abgelegt werden.

Noch neustarten und gut ist:

/etc/init.d/syslog-ng restart

Nun geht es weiter auf den zu überwachenden Servern!
Hier fügt man folgende Zeile in die Konfiguration unter /etc/syslog.conf ein:

*.* @192.168.1.25

192.168.1.25 ist dabei natürlich die IP des Syslog-Servers. Aktuell wird hier alles geloggt, was so auf der Maschine abgeht. Wer das ganze noch genauer spezifizieren will, der findet entsprechende Parameter bei Google.
Auch hier ist noch ein Neustart nötig und schon sind die entsprechenden Infos auf dem Syslog-Server ersichtlich:

/etc/init.d/sysklogd restart

Auf dem ESX Server kann der Syslog-Server über den vSpehre-Client gesetzt werden. Einfach unter “Configuration” > “Advanced Settings” > “Syslog” > “remote” IP und Port eintragen.

Und nun dürft ihr auch schon all die Kiddies und Bots bewundern, welche versuchen euer SSH-Passwort zu knacken

Nov 30 12:17:17 server1 sshd[11775]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:19 server1 sshd[11775]: Failed password for root from 180.227.218.245 port 34035 ssh2
Nov 30 12:17:22 server1 sshd[11777]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:23 server1 sshd[11777]: Failed password for root from 180.227.218.245 port 34311 ssh2
Nov 30 12:17:26 server1 sshd[11779]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:28 server1 sshd[11779]: Failed password for root from 180.227.218.245 port 34525 ssh2
Nov 30 12:17:30 server1 sshd[11784]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:33 server1 sshd[11784]: Failed password for root from 180.227.218.245 port 34770 ssh2
Nov 30 12:17:35 server1 sshd[11795]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:37 server1 sshd[11795]: Failed password for root from 180.227.218.245 port 35037 ssh2
Nov 30 12:17:39 server1 sshd[11800]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:42 server1 sshd[11800]: Failed password for root from 180.227.218.245 port 35313 ssh2
Nov 30 12:17:44 server1 sshd[11805]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:47 server1 sshd[11805]: Failed password for root from 180.227.218.245 port 35591 ssh2
Nov 30 12:17:49 server1 sshd[11807]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:51 server1 sshd[11807]: Failed password for root from 180.227.218.245 port 35809 ssh2
Nov 30 12:17:54 server1 sshd[11842]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:17:56 server1 sshd[11842]: Failed password for root from 180.227.218.245 port 36091 ssh2
Nov 30 12:17:58 server1 sshd[11848]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root
Nov 30 12:18:00 server1 sshd[11848]: Failed password for root from 180.227.218.245 port 36361 ssh2
Nov 30 12:18:02 server1 sshd[11850]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=180.227.218.245  user=root

Wer auch dem Abhelfen will, der soll sich mal das Tool denyhosts ansehen! Ansonsten ein sicheres Passwort, Zertifikate oder was ihr gerade lustig seid. Ideen gibts genug!

Das könnte dich auch interessieren:

1. ESXi sichern auf FTP Vor einiger Zeit hatte ich die Aufgabe ein Backup-Konzept für...
2. Vmware Image für ESXi aufbereiten Für eine Analyse gab es diese Woche eine Installation von...
3. Windows session credentials cannot be used to log into this server Ist der ESX-Server ans AD angebunden, so liegt es ja...
4. DNS-320 mit fun_plug zu SSH Ganz cool an meinem NAS DNS-320 ist die Funktion des...
5. NAT konfigurieren unter ESX(i) NAT ist so eine Sache. Unter Vmware Workstation sehr einfach...

This script performs backups of virtual machines residing on ESX(i) 3.5/4.x+/5.x servers using methodology similar to VMware’s VCB tool. The script takes snapshots of live running virtual machines, backs up the master VMDK(s) and then upon completion, deletes the snapshot until the next backup. The only caveat is that it utilizes resources available to the Service Console of the ESX server or Busybox Console (Tech Support Mode) of the ESXi server running the backups as opposed to following the traditional method of offloading virtual machine backups through a VCB proxy.

Das Script entspricht also einer freien Variante des VCB Tools von Vmware. Gesichert wird, indem das Script zuerst einen Snapshot der entsprechenden Maschine auslöst und diesen dann weg kopiert und wieder löscht. Somit wird die zu sichernde Maschine weder in ihrer Performance noch im Betrieb gestört oder beeinträchtigt. Hier zeigt sich auch schon der unschlagbare Vorteil von einem Backup auf der Ebene vom Virtualisierungsserver!

Eingerichtet ist das ganze relativ schnell und unkompliziert, die entsprechenden Dateien gibt es von github. Als einzige aus dem Archiv wird die Datei ghettoVCB.sh benötigt, welche auch auf den ESX kopiert werden muss. Hier gilt zu beachten, die Datei sollte auf dem datastore abgelegt werden, da alle anderen Dateien nach einem Reboot nicht mehr verfügbar sind… Und fragt mich ja nicht nach dem Sinn dahinter!

Konfiguriert wird das ganze über die ersten paar Zeilen der Datei. Hier kann zum Beispiel eingestellt werden, wohin gesichert wird, wie viele Sicherungen behalten werden, ob die VM’s dafür heruntergefahren werden sollen und noch ganz viel mehr. Schaut euch dazu am besten mal unter diesem Link den Punkt “Configurations” an, da wird alles verständlich erklärt. Meine Konfiguration sieht so aus:

# directory that all VM backups should go (e.g. /vmfs/volumes/SAN_LUN1/mybackupdir)
VM_BACKUP_VOLUME=/vmfs/volumes/datastore1/backup/

# Format output of VMDK backup
# zeroedthick
# 2gbsparse
# thin
# eagerzeroedthick
DISK_BACKUP_FORMAT=thin

# Number of backups for a given VM before deleting
VM_BACKUP_ROTATION_COUNT=1

# Shutdown guestOS prior to running backups and power them back on afterwards
# This feature assumes VMware Tools are installed, else they will not power down and loop forever
# 1=on, 0 =off
POWER_VM_DOWN_BEFORE_BACKUP=0

# enable shutdown code 1=on, 0 = off
ENABLE_HARD_POWER_OFF=0

# if the above flag "ENABLE_HARD_POWER_OFF "is set to 1, then will look at this flag which is the # of iterations
# the script will wait before executing a hard power off, this will be a multiple of 60seconds
# (e.g) = 3, which means this will wait up to 180seconds (3min) before it just powers off the VM
ITER_TO_WAIT_SHUTDOWN=3

# Number of iterations the script will wait before giving up on powering down the VM and ignoring it for backup
# this will be a multiple of 60 (e.g) = 5, which means this will wait up to 300secs (5min) before it gives up
POWER_DOWN_TIMEOUT=5

# enable compression with gzip+tar 1=on, 0=off
ENABLE_COMPRESSION=0

############################
####### NEW PARAMS #########
############################

# Disk adapter type: buslogic, lsilogic or ide
ADAPTER_FORMAT=buslogic

# Include VMs memory when taking snapshot
VM_SNAPSHOT_MEMORY=1

# Quiesce VM when taking snapshot (requires VMware Tools to be installed)
VM_SNAPSHOT_QUIESCE=0

##########################################################
# NON-PERSISTENT NFS-BACKUP ONLY
#
# ENABLE NON PERSISTENT NFS BACKUP 1=on, 0=off

ENABLE_NON_PERSISTENT_NFS=0

# umount NFS datastore after backup is complete 1=yes, 0=no
UNMOUNT_NFS=0

# IP Address of NFS Server
NFS_SERVER=172.51.0.192

# Path of exported folder residing on NFS Server (e.g. /some/mount/point )
NFS_MOUNT=/upload

# Non-persistent NFS datastore display name of choice
NFS_LOCAL_NAME=backup

# Name of backup directory for VMs residing on the NFS volume
NFS_VM_BACKUP_DIR=mybackups

############################
######### EMAIL ############
############################

# Email debug 1=yes, 0=no
EMAIL_DEBUG=0

# Email log 1=yes, 0=no
EMAIL_LOG=0

# Email SMTP server
EMAIL_SERVER=auroa.primp-industries.com

# Email SMTP server port
EMAIL_SERVER_PORT=25

# Email FROM
EMAIL_FROM=root@ghettoVCB

# Email RCPT
EMAIL_TO=auroa@primp-industries.com

Ist das Backup konfiguriert, so habe ich mir noch eine weitere Datei angelegt, welche die Namen aller Maschinen enthält, welche ich gerne sichern möchte. Einfach pro Zeile der Name einer VM und gut ist’s:

./backup # cat maschines_to_backup.txt
MACHINE1
MACHINE2
MACHINE5
MACHINE7

Nun kann man das Backup theoretisch schon starten. Einfach den folgenden Befehl verwenden:

./ghettoVCB.sh -f maschines_to_backup.txt

Doch was ist ein Backup schon, wenn man es manuell anschieben muss… Ausserdem sollte das Backup ja irgendwann auch noch auf den FTP verschoben werden. Also weiter im Programm.
Leider ist die FTP-Funktionalität vom ESXi sehr stark eingeschränkt. So etwas ähnliches wie rekursives Hochladen gibt es nicht. Auch das Erstellen von Ordnern auf dem ESXi ist so nicht möglich! Diese beiden Punkte und die Tatsache, dass ein Backupvolumen von über 50GB in einem komprimierten Archiv nur noch knapp 15GB gross ist, haben mich dazu bewegt zuerst alles mit tar zu packen und dann hochzuladen. Ich weiss: Schande auf mein Haupt, die ersten Stimmen werden schon laut werden, dass ein Backup niemals gepackt werden darf. Aber, da immer das letzte Backup noch auf dem ESXi selbst liegen bleibt, gibt es noch eine zusätzliche Sicherheit und ich konnte mich zu dem Schritt überwinden.
Also entstand noch ein weiteres, recht skurriles Skript. Aber es tut seinen Zweck:

/vmfs/volumes/datastore1/backup/ghettoVCB.sh -f /vmfs/volumes/datastore1/backup/maschines_to_backup.txt >> /vmfs/volumes/datastore1/backup/log/`date +"%d"-"%m"-"%y"`.log
date=$(`echo date +%F`).tar.gz
tar -cvz -f /vmfs/volumes/datastore1/backup/$date /vmfs/volumes/datastore1/backup/*
ftpput -u USER -p PASSWORD -P FTP_SERVER_IP /$date /vmfs/volumes/datastore1/backup/$date
rm /vmfs/volumes/datastore1/backup/$date

Das Script löst zuerst das Backup aus und schreibt auch gleich ein Log dazu. Danach wird alles in ein Archiv mit dem aktuellen Datum gepackt und via FTP hochgeladen. Ja, ich weiss, FTP ist nicht wirklich das beste Protokoll dazu. Es ist zwar schnell, jedoch bricht die Verbindung einmal ab, kann diese nicht wieder aufgenommen werden, sondern muss neu beginnen. Jedoch ist FTP der einzigste Zugriffsweg, den ich habe.

Nun, damit auch noch alles automatisch abläuft, wird das Backup in den Crontab integriert. Dazu fügen wir eine weitere Zeile an:

./backup # cat /var/spool/cron/crontabs/root
#syntax : minute hour day month dayofweek command
01 01 * * * /sbin/tmpwatch.sh
01 * * * * /sbin/auto-backup.sh #first minute of every hour (run every hour)
00 22 * * * /vmfs/volumes/datastore1/backup/daily.sh

Nun muss noch ein bisschen nacharbeit geleistet werden, damit alles reibungslos abläuft:

kill $(cat /var/run/crond.pid)
crond

Damit das Konzept auch noch einen Reboot überlebt, muss noch die /etc/rc.local ergänzt werden:

/bin/kill $(cat /var/run/crond.pid)
echo "00 22 * * * /vmfs/volumes/datastore1/backup/daily.sh" >> /var/spool/cron/crontabs/root
crond

Und somit wäre eine einfache und schnelle Backuplösung für die freie Version von Vmware’s ESX implementiert.
Muss eine Maschine innert einem Backupzyklus wiederhergestellt werden, so geschieht dies direkt ab dem ESXi selbst, da das letzte Backup da immer zwischengespeichert ist. Ansonsten kann ein beliebiger Zeitpunkt vom FTP heruntergeladen, entpackt und gestartet werden. Und mit der passenden Software kann auch das Disk-Format von Vmware geöffnet und so einzelne Dateien wiederhergestellt werden.

Das könnte dich auch interessieren:

1. Vmware Image für ESXi aufbereiten Für eine Analyse gab es diese Woche eine Installation von...

Den passenden Quelltext dazu habe ich auf Sourceforge gefunden und heruntergeladen:

cd /tmp
wget http://sourceforge.net/projects/nagios/files/nrpe-2.x/nrpe-2.12/nrpe-2.12.tar.gz

Dann noch entpackt und schon ist man bereit für die Installation:

tar -xvzf nrpe-2.12.tar.gz
cd nrpe-2.12

Doch führt man jetzt einfach “configure” aus, so erhält man den folgenden Fehler:

error: Cannot find ssl headers

Dazu müssen zuerst noch Abhängigkeiten installiert werden:

apt-get install libssl-dev libssl0.9.8

Nun läuft auch alles durch:

./configure
make all

Das war auch schon die ganze hexerei, nur noch kopieren und gut ist:

cp src/check_nrpe /usr/local/nagios/libexec/

Das könnte dich auch interessieren:

1. Unbekannte Systeme in Nagios Die Nagios Status Map ist ja eine ganz feine Sache,...
2. Notification von Nagios ans iPhone Auf der Suche nach einer Lösung, wie ich die Notifications...

Begonnen habe ich mit OpenVPN und habe es mit SSL verschlüsselt und auf Port 443 gelegt. Doch interessanter weise wollte keine Verbindung zu Stande kommen. Das Problem lag darin, dass die Firewall bereits blockte, bevor mein Client überhaupt einen SSL-Tunnel aufbauen konnte.
Die Lösung dafür also, ich brauche eine Lösung, welche ich als normale Webseite ansurfen und dann vom Server aus einen SSL-Tunnel aufbauen kann.
Dank dem Macher von IT Blögg bin ich auf SSLExplorer, oder besser gesagt das Folgeprojekt daraus auf Adito SSL VPN gestossen.
Die Installation dazu ist denkbar einfach. Ein bisschen Javacode, einmal kompilieren und noch hier und da ein Klick und schon läuft alles! Doch von vorne:

Installiert habe ich Adito nach folgender Anleitung hier. Die Installation geht relativ sauber und problemlos.

Doch nun kommt der kompliziertere Teil. Dank Adito kann ich jeglichen Traffic von meiner lokalen Maschine an eine beliebige IP und einen beliebigen Port im Netz weiterleiten. Also habe ich mir auf pfSense OpenVPN konfiguriert. Anleitungen dazu gibt es unzählige, mir hat dieses Video hier sehr geholfen:

Einzig eine kleine Unterscheidung musste ich vornehmen. Zum einen hier:

Und hier, da Adito bei mir nur TCP akzeptieren wollte:

Nun darf natürlich die Firewall nicht vergessen gehen:

So nun läuft OpenVPN und Adito, also gehts ans verknüpfen. In Adito richte ich mir unter “SSL Tunnels” einen neuen Tunnel ein. “Source Interface” ist hier 127.0.0.1, der “Source Port” ist ein beliebiger Port, bei mir zum Beispiel 12345. “Destination Host” und “Destination Port” sind die IP und Port unter welchem der OpenVPN Server verfügbar ist:

Nun aber muss man die Konfiguration vom OpenVPN Client noch ein bisschen tunen, welche man sich dank dem Client Export Utility problemlos und fix fertig herunterladen kann:

dev tun
persist-tun
persist-key
proto tcp
cipher BF-CBC
tls-client
client
resolv-retry infinite
remote 127.0.0.1 12345
tls-remote vpn server Cert
auth-user-pass
pkcs12 vpn-server.p12
tls-auth vpn-server-tls.key 1
comp-lzo

Schliesslich soll der Traffic ja auch über den SSL Tunnel laufen.

Und schon ist alles konfiguriert und es kann verbunden werden!

Tue Sep 06 14:16:00 2011 [vpn_server_Cert] Peer Connection Initiated with 127.0.0.1:12345

Ich möchte nicht übertreiben, aber ich behaupte einfach mal, das ganze funktioniert hinter jeder Firmenfirewall, ausser eure Firma hat etwas gegen verschlüsselte Seiten oder euren Server explizit ausgesperrt!