Narzędzie którego potrzebujemy do konwertowania dysków wirtualnych jest w pakiecie z aplikacją VirtualBox.
Konwersja dysku wirtualnego VMDK(VMware) na VHD(Hyper-V):
|
1 |
vboxmanage clonehd --format vhd disk1.vmdk disk.vhd |
Konwersja dysku wirtualnego VHD(Hyper-V) naVMDK(VMware):
|
1 |
vboxmanage clonehd --format vmdk disk1.vhd disk1.vmdk |
Dla systemów Linux
Na serwerze który ma być monitorowany instalujemy pakiet xinetd
|
1 |
apt install xinetd |
Konfigurujemy plik /etc/xinetd.d/daytime, powinień wyglądać jak poniżej:
|
1 2 3 4 5 6 7 8 9 10 |
service daytime { disable = no type = INTERNAL id = daytime-stream socket_type = stream protocol = tcp user = root wait = no } |
Następnie na serwer z którego będziemy monitorować sciągamy plik check_daytime.pl
Nadajemy uprawnienia
|
1 |
chmod +x check_daytime.pl |
Obsługa jest dość oczywista, poniżej przykład
|
1 |
check_daytime.pl -H $HOSTADDRESS$ -P daytime -w 5 -c 10 |
-w i -c to oczywiście dopuszczalna różnica w sekundach.
Źródłem czasu dla skryptu check_daytime.pl jest czas na serwerze z którego wykonujemy odpytanie.
Dla systemów Windows
W przypadku systmów windows sprawa jest prostsza, wystarczy nam jeden skrypt, który można pobrać stąd: check-time.ps1
Wystarczy dodać do konfiguracji NSClienta++ w pliku NSC.ini w sekcji [NRPE Handlers] poniższy wpis
|
1 |
check_time=cmd /c echo scripts\check-time.ps1 -refTimeServer ntp.nask.pl -maxWarn 3 -maxError 5 | PowerShell.exe -Command - |
Wpis oznacza że czas będzie porównywany z serwer ntp.nask.pl, maxWarn i maxError to dopuszczalne wartości w sekundach.
Oczywiście musimy jakoś wywoływać zapytanie, np modułem check_nrpe, przykład poniżej:
|
1 |
check_nrpe -H $HOSTADDRESS$ -c check_time -t 60 |
Podsumowanie
Ważne jest aby korzystać z tego samego serwera czasu do walidacji czasu jak i źródła. Tutaj napisałem jak zmienić serwer źródła czasu na systemie Windows.
Cześć, poniżej przedstawiam Wam opis podstawowych poleceń administratora serwera postfix, niezbędnych do obsługi kolejki.
|
1 |
mailq |
|
1 |
postcat -vq ID_WIADOMOŚCI |
|
1 |
postsuper -d ID_WIADOMOŚCI |
|
1 |
postsuper -d ALL |
|
1 |
postsuper -d ALL deferred |
|
1 |
postqueue -f |
|
1 |
postqueue -i ID_WIADOMOŚCI |
Cześć, dziś krótki wpis o tym jak zmienić defaultowy serwer ntp w systemie Windows.
Wystarczy wykonać poniższy skrypt, oczywiście pod zmienną $server należy podstawić własny serwer NTP.
|
1 2 3 4 5 6 7 |
$server = "ntp.nask.pl" net stop w32time w32tm /config /syncfromflags:manual /manualpeerlist:"$server" w32tm /config /reliable:yes net start w32time w32tm /resync |
Jeżeli chcesz mieć możliwość wysyłania maili z konsoli na port 25 bez autoryzacji, korzystając z konta gmail to ten wpis jest dla Ciebie. Poniżej przedstawiam instrukcję jak to osiągnąć.
1. Instalacja pakietów.
|
1 |
apt-get install postfix mailutils libsasl2-2 ca-certificates libsasl2-modules |
2. Edytujemy plik /etc/postfix/main.cf
|
1 2 3 4 5 6 |
relayhost = [smtp.gmail.com]:587 smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_tls_CAfile = /etc/postfix/cacert.pem smtp_use_tls = yes |
3. Definiujemy dane do autoryzacji w pliku /etc/postfix/sasl_passwd
|
1 |
[smtp.gmail.com]:587 [email protected]:PASS |
4. Nadajemy odpowiednie uprawnienia
|
1 |
chmod 400 /etc/postfix/sasl_passwd |
5. Mapujemy
|
1 |
postmap /etc/postfix/sasl_passwd |
6. Generujemy plik cacert
|
1 |
cat /etc/ssl/certs/Thawte_Premium_Server_CA.pem | tee -a /etc/postfix/cacert.pem |
7. Na koniec restartujemy postfixa
|
1 |
/etc/init.d/postfix restart |
Jest to fajny sposób na przesyłanie powiadomień, gmail gwarantuje nam dobrą reputację i to że wiadomość dotrze do adresata. Oczywiście można to wykorzystać do innych zastosowań, chociażby wordpressa.
Dzisiejszy wpis będzie poświęcony walce ze spamerami. W fimie w której pracuję często dostajemy mailing typu „Ja być Twój admin, Ty zmienić hasło, Ty tu mieć formularz, Ty wpisać dane.”, niestety bardzo dużo ludzi przekazuje swoje hasła, przez co często prowadzimy batalię ze spamerami. Blokada samego konta już nie wystarcza, ponieważ spamerzy przełączają się na drugie aktywne konto i działają dalej.
W ramach walki z opisanym powyżej znajwiskiem napisałem skrypt w bashu, który za pomocą iptables blokuje konta które logują się za często, informując nas o tym mailem.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 |
#!/bin/bash #ilość ostatnich monitorowanych logowań(jest to parametr, dlatego z minusem) logon_count="-500" #limit logowań, po którym przekroczeniu uznajemy że mamy do czynienia ze spamerem logon_limit=150 #ilosc logować z logon_count które podlegają sprawdzeniu czy został przekroczony próg ze zeminnej logon_limit (jest to parametr, dlatego z minusem) check_last_logon_count="-10" smtp_server="smtp.xxxx.pl" cat /var/log/maillog|grep sasl_method | tail ${logon_count} | cut -d "[" -f 3 | cut -d "]" -f 1 | sort | uniq -c | sort -n | tail ${check_last_logon_count} | while read -r ip_line; do ip=$( echo ${ip_line} | cut -d " " -f 2) count=$( echo ${ip_line} | cut -d " " -f 1) if [ ${count} -gt ${logon_limit} ]; then check_ip=$( /sbin/iptables -L | grep $ip) if [[ $check_ip = "" ]]; then /sbin/iptables -I INPUT -p tcp -s $ip -j DROP echo "`date` [Skrypt block_ip]: Blokada adresu: ${ip}, zarejestrowano ${count} logowań." >> /var/log/messages echo "Zablokowano adres IP: ${ip} Zarejestrowana ilość połączeń: ${count} W celu odblokowania wykonaj: iptables -D INPUT -p tcp -s $ip -j DROP" | mailx -r ${mail_from} -S smtp=${smtp_server} -s "ZIMBRA - blokada IP" ${mail_to} fi fi done |
Poniższe skrypty dają możliwość monitorowania
Skrypt napisałem w JavaScripcie, dlatego potrzebujemy nodejs’a. Zakładam że nagios-nrpe-server jest już skonfigurowany.
Instalację wykonujemy na serwerze na którym jest możliwośc wykonania polecenia ceph status.
Kroki które trzeba wykonać.
1. Należy utworzyć katalog /usr/local/nrpe/ceph/:
|
1 |
mkdir -p /usr/local/nrpe/ceph/ |
2. W katalogu /usr/local/nrpe/ceph/ tworzymy plik ceph_status.js, oraz uzupełniamy zmienne ALL_MON i ALL_RGW:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
var status = process.argv.slice(2); status = JSON.parse(status); //liczba wszystkich monitorów ALL_MON = 3; //liczba wszystkich node'ow rados gateway, jeżeli nie mamy to wpisujemy 0 ALL_RGW = 3; OSD_COUNT = status.osdmap.osdmap.num_osds OSD_UP = status.osdmap.osdmap.num_up_osds; STATUS = status.health.status; MON_COUNT = status.monmap.mons.length; if (typeof status.servicemap.services.rgw === 'undefined') { RGW_COUNT = "0"; } else { RGW_COUNT = status.servicemap.services.rgw.daemons; } var n = 0; for (var _ in RGW_COUNT) n++; RGW_COUNT = n - 1; if( ALL_RGW > 0 ) { console.log("STATUS: "+STATUS+", OSD UP: "+OSD_UP+"/"+OSD_COUNT+", MON UP: "+MON_COUNT+"/"+ALL_MON+", RGW UP: "+RGW_COUNT+"/"+ALL_RGW+" | OSD_UP="+OSD_UP+", MON_UP="+MON_COUNT+", RGW_UP="+RGW_COUNT) } else { console.log("STATUS: "+STATUS+", OSD UP: "+OSD_UP+"/"+OSD_COUNT+", MON UP: "+MON_COUNT+"/"+ALL_MON+" | OSD_UP="+OSD_UP+", MON_UP="+MON_COUNT) } if ( OSD_COUNT == OSD_UP && STATUS == "HEALTH_OK" && MON_COUNT == ALL_MON && RGW_COUNT == ALL_RGW) { process.exit(0); } else { process.exit(2); } |
3. W katalogu /usr/local/nrpe/ceph/ tworzymy plik ceph_status.sh
|
1 2 3 4 5 6 7 |
#!/bin/bash status=$(/usr/bin/ceph status --format json | tail -1) nodejs /usr/local/nrpe/ceph/ceph_status.js ${status} exit $? |
4. W katalogu /etc/nagios/nrpe.d/ tworzymy plik check_ceph.cfg
|
1 |
command[check_ceph]=sudo /usr/local/nrpe/ceph/ceph_status.sh |
5. Do /etc/sudoers dodajemy:
|
1 |
nagios ALL=(ALL) NOPASSWD: /usr/local/nrpe/ceph/ceph_status.sh |
6. Restartujemy nagios-nrpe-server.
Przykładowy wynik:
Potrzeba dodania nowego systemu operacyjnego w moim przypadku pojawiła się wraz z wyjściem Debiana Jessie. Niestety najnowsza możliwa do wyboru wersja w Virtual Machine Managerze to Debian Wheezy. Nowe wersje systemów nie przychodzą wraz z aktualizacjami, nie znalazłem również możliwości wyklikania nowego systemu. Przypomnę że chodzi o metadane, pozwalające zachować porządek.
Jeżeli chcemy dodać nowy system operacyjne niezbędnę będzie wygenerowanie nowego klucza UUID. W tym przypadku z pomocą przychodzi powershell:
|
1 2 3 4 5 |
PS C:\Users\user> $uuid = $([guid]::NewGuid()).Guid PS C:\Users\user> $uuid 9b0de477-8772-4ce5-bb50-b050ef2a9258 PS C:\Users\user> $uuid.ToUpper() 9B0DE477-8772-4CE5-BB50-B050EF2A9258 |
Następnie uruchamiamy Microsoft SQL Server Management Studio i na bazie Virtual Machine Managera wykonujemy poniższy skrypt:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
USE [VirtualManagerDB] GO INSERT INTO [dbo].[tbl_IL_OS] ([OSId] ,[Name] ,[Description] ,[Architecture] ,[OSFlags] ,[VMWareGuestId] ,[OSType]) VALUES ('9B0DE477-8772-4CE5-BB50-B050EF2A9258' /* Wygenerowany wcześniej klucz */ ,'Debian GNU/Linux 8 (64-bit)' /* Nazwa, limit 64 znaków */ ,'Debian GNU/Linux 8 (64-bit)' /* Opis */ ,'amd64' /* Architektura, x86 lub amd64 */ ,'28' /* Pozostawiamy bez zmian */ ,'otherLinux64Guest' /* Pozostawiamy bez zmian */ ,'1') /* Pozostawiamy bez zmian */ GO |
Nowy system operacyjny powinien pojawić się po ponownym uruchomieniu Virtual Machine Managera.
Dzisiejszy wpis przeznaczony jest dla osób korzystających z Virtual Machine Manager. Jeżeli zarządzacie klastrami HyperV warto jest monitorować parametr ClusterReserveState.
Parametr ten jest ścisle związanym z parametrem ClusterReserve który określa ilośc node’ów w klastrze które mogą ulec awarii, przy założeniu że maszyny wirtualne będą dalej dostępne.
ClusterReserve możymy wyświetlić poniższym poleceniem:
|
1 |
Get-SCVMHostCluster -VMMServer $vmmServer | Where-Object {$_.ClusterName -eq "$clusterName"}| select ClusterReserve |
Parametr ClusterReserveState przybiera wartość „Over-committed” lub „Over” w momencie gdy node’y nie będą w stanie utrzymać wszystkich maszyn wirtualnych w ramach klastra, w przypadku awarii node’ów w ilości znajdującej się w parametrze ClusterReserve. Parametr ten pełni rolę ostrzegawczą przed ewentualną niedostępnością VM’ek.
Poniżej załączam skyrpt, którym można monitorować opisywany parametr, np przy pomocy NRPE.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
$clusterName = $args[0] $vmmServer = "vmm.ad" $ClusterReserveState = $(Get-SCVMHostCluster -VMMServer $vmmServer | Where-Object {$_.ClusterName -eq "$clusterName"}).ClusterReserveState if ($ClusterReserveState -eq "OK") { Write-Host "OK" exit 0 } else { Write-Host "$ClusterReserveState" exit 2 } |
Definicja w konfiguracji NSClienta:
|
1 |
cluster_reserve_state=cmd /c echo scripts\ClusterReserveState.ps1 $ARG1$ | PowerShell.exe -Command - |
Przykład odpytania modułem check_nrpe, np przez nagiosa:
|
1 |
check_nrpe -H $vmmHost -c cluster_reserve_state -a cluster-0 -t 60 |
Witajcie, pierwszy wpis zacznę od czegoś bardzo prostego.
Poniższy kod listuje użytkowników dodanych do grupy „biuro” w Active Directory.
|
1 2 3 4 5 |
$group = "biuro" foreach ($user in $(Get-ADGroupMember $group)) { Get-ADUser $user.SamAccountName | select GivenName, Surname, SamAccountName } |
Oczywiście zamiast atrybutów GivenName, Surname, SamAccountName możemy wyświetlić inne.
Poniżej lista dostępnych:
DistinguishedName
Enabled
GivenName
Name
ObjectClass
ObjectGUID
SamAccountName
SID
Surname
UserPrincipalName
PropertyNames
AddedProperties
RemovedProperties
ModifiedProperties
PropertyCount
Linki z technetu:
Get-ADUser https://technet.microsoft.com/en-us/library/ee617241.aspx
Get-ADGroupMember https://technet.microsoft.com/pl-pl/library/ee617193.aspx