Ubuntu Linux 16.04 LTS Server iSCSI Target (Server) Installation – Low Cost SAN Storage

Ubuntu Linux 16.04 LTS Server iSCSI Target (Server) Installation – Low Cost SAN Storage

Per PuTTY am Server anmelden (Siehe auch Grundinstallation für vorherige Details).

Zwischenablage34.jpg

Als root anmelden.

Zwischenablage35.jpg

Dann mit apt-get die Software „tagetcli“ installieren.

apt-get install targetcli

Und ein Verzeichnis /storage für die Ablage der Storage-Files anlegen.

„Ubuntu Linux 16.04 LTS Server iSCSI Target (Server) Installation – Low Cost SAN Storage“ weiterlesen

Check_MK Konfiguration main.mk

Als Betriebssystem für das Monitoring System wird aktuell ein SuSE Linux Enterprise Server 11 eingesetzt. Weiter stützt sich das System dann auf die Open Monitoring Distribution OMD, die auch die Check_MK Installation beinhaltet. Auf der Homepage gibt es auch Installationspakete für weitere Linux-Distributionen:

Open Monitoring Distribution – http://omdistro.org
Check_MK – https://mathias-kettner.de/check_mk.html

Hier zeige ich eine Check_MK Konfigurationsdatei main.mk. Diese stammt aus einem Monitoringsystem, wurde aber um einige Hosts gekürzt. Auch wurden Hostnamen und IP-Adressen durch „fiktive“ Werte ersetzt. Dadurch kann es sein, dass darauffolgende Definitionen mal auf einen nicht existenten Host zeigen. Aber als Beispiel für eigene Konfigurationen kann es genutzt werden.

all_hosts

In diesem Abschnitt werden die zu überwachenden Hosts eingetragen. Damit die Abfrage richtig funktioniert, müssen die angegebenen Hostnamen auflösbar sein.
Auch können an die Hostnamen getrennt durch das Pipe-Zeichen „|“ Tags definiert werden, die in weiteren Definitionen verwendet werden können.

all_hosts = [ ’srvvmnagios‘,              \
  ’srv1|windows-tag‘,                     \
  ’sap1|windows-tag|sap‘,                 \
  ’srv2|backup|windows-tag‘,              \
  ’srv3|windows-tag|web-tag‘,             \
  ’srv4|windows-tag|citrix‘,              \
  ’srv5|windows-tag|sometag‘,             \
  ’srv6|ping‘,                            \
  ’srv7|windows-tag|owntag‘,              \
  ‚www.google.de|ping‘,                   \
  ’srv8|ping|web-tag‘,                    \
  ’srv9|vmware-tag‘,                      \
  ’switch1|snmp-switch|snmp‘,             \
  ’switch2|snmp-switch|snmp|nobulk‘,      \
  ‚192.168.209.38|snmp-lom|snmp|ILO‘,     \
  ‚192.168.108.53|snmp|snmp-backup-tag‘ , \
  ‚192.168.108.52|snmp‘ ,                 \
  ‚client1|ping‘ ]

Native Nagios Konfigurationsoptionen beeinflussen

Mit der Variable extra_host_conf können native Nagios Optionen beeinflusst werden und z.B. an per Tag gruppierte Hosts oder gar all_hosts übergeben werden.

Die Timeperiod GoodForSleep habe ich über die Nagios Konfiguration ~/etc/nagios/conf.d/timeperiods.cfg eingerichtet.

extra_host_conf[„notification_interval“] = [ ( „0“, ALL_HOSTS ) ]
extra_host_conf[„notification_period“] = [ ( „GoodForSleep“, ALL_HOSTS ) ]
extra_service_conf[„notification_interval“] = [ ( „0“, ALL_HOSTS, ALL_SERVICES ) ]
extra_service_conf[„contact_groups“] = [ ( „admins“, ALL_HOSTS, ALL_SERVICES ) ]
extra_service_conf[„notification_period“] = [ ( „GoodForSleep“, ALL_HOSTS, ALL_SERVICES ) ]

#Auszug der Nagios Konfig timeperiods.cfg
define timeperiod{
timeperiod_name GoodForSleep
alias Only Good For Sleep
sunday 06:00-22:00
monday 06:00-22:00
tuesday 06:00-22:00
wednesday 06:00-22:00
thursday 06:00-22:00
friday 06:00-22:00
saturday 06:00-22:00
}

„Check_MK Konfiguration main.mk“ weiterlesen

HOWTO: Open Monitoring Distribution Installation auf Mini PC

Installation von Open Monitoring Distribution auf Pokini Hardware
Siehe: http://www.pokini.de/de/produkte/fanless-pcs/pokini-z

Debian Installation
Benötigte DVDs
32bit Atom DVD Debian Wheezy DVD-1 reicht.
ACHTUNG: Debian Jessy wird nicht korrekt unterstützt.
OMD Paket 1.20 ist für Wheezy
Warnung zu Realtek Firmware ignorieren.
Nichts nachladen.
NICs werden trotzdem im OS erkannt.

Partitionierung
1 prim 1GB /boot
2 prim 4GB swap
3 prim Rest ca. 59GB /

Probleme mit dem Bild beim Booten
Nur problematisch bei Debian 8.x -> Muss sowieso 7.x werden wegen OMD
ACHTUNG: Bei Wheezy gibt es nur eine FrameBuffer Schönheitsfehler -> dieser Hinweis kann also ignoriert werden!
Dann im Grub „e“ drücken und bei linux den Parameter
video=LVDS-1:d
ergänzen
Dann bootet das System mit Bild.
Den Parameter am besten direkt in die Config von Grub eintragen

Passwortvergabe
Root-Passwort
Mysql-Passwort

„HOWTO: Open Monitoring Distribution Installation auf Mini PC“ weiterlesen

Sichere Passwörter und /bin/false als Shell!

Durch einen ungeschickten useradd-Befehl gepaart mit Passwort == Username, wurde mal ein Server schnell kompromittiert. Dem useradd-Befehl wurde dann auch nicht per „-s /bin/false“ keine Shell zugewiesen, sondern es wurde „/bin/sh“ per Default gesetzt. So fand jemand sehr schnell die Einstiegsluke.

In Unterverzeichnissen von /tmp wurden einige Exploit-Skripts und eine IRC-Bot-Software installiert. Unter anderem beinhaltete die Softwaresammlung auch den Bot Eggdrop.

Nachdem ich den Angreifer ausgesperrt hatte, konnte ich in der Shell-History das Vorgehen einsehen.

Sowas darf nicht passieren!

Hier die Shell-History (die IP-Adressen und Hostnamen sind geändert):

„Sichere Passwörter und /bin/false als Shell!“ weiterlesen

IP Adresse mit iptables blockieren

Mir fiel auf, dass von einer IP-Adresse sehr viele Passwortanfragen kamen, da die /var/log/auth.log Datei sehr groß wurde.

Als schnelle Lösung habe ich die IP-Adresse mit iptables blockiert.

Mit folgendem iptables-Befehl kann der Traffic einer IP-Adresse (Bsp. 1.2.3.4) komplett geblockt werden.

iptables -A INPUT -s 1.2.3.4 -j DROP

Netstat sortieren nach Foreign Portnummer

Dieser Befehl war sehr praktisch, als ein Serial-To-Ethernet Umsetzer von Perle (IOLAN STS-16) ausgetauscht werden musste. Diese Geräte werden z.B. dafür genutzt, um Laboranalygeräte an die EDV anzuschließen. Die einzelnen seriellen Leitungen werden von dem Umsetzer auf tcp-Socket 10001-100016 gemappt.

Nach dem Austausch konnte ich durch den Befehl schön beobachten, wie die einzelnen Treiber des Laborservers sich mit den Sockets verbunden hatten.

Befehl
linux$ netstat -apn | grep 110.27 | sort -t \: +2

Ausgabe
(Es konnten nicht alle Prozesse identifiziert werden; Informationen über
nicht-eigene Processe werden nicht angezeigt; Root kann sie anzeigen.)
tcp 0 0 192.168.110.35:57494 192.168.110.27:10002 VERBUNDEN 539/process-name
tcp 0 0 192.168.110.35:37240 192.168.110.27:10003 VERBUNDEN 787/process-name
tcp 0 0 192.168.110.35:36276 192.168.110.27:10004 VERBUNDEN 1031/process-name
tcp 0 0 192.168.110.35:47603 192.168.110.27:10007 VERBUNDEN 801/process-name
tcp 0 0 192.168.110.35:49051 192.168.110.27:10008 VERBUNDEN 1033/process-name
tcp 0 0 192.168.110.35:51300 192.168.110.27:10009 VERBUNDEN 1202/process-name
tcp 0 0 192.168.110.35:53143 192.168.110.27:10010 VERBUNDEN 1029/process-name
tcp 0 0 192.168.110.35:54758 192.168.110.27:10012 VERBUNDEN 927/process-name
tcp 0 0 192.168.110.35:37393 192.168.110.27:10015 VERBUNDEN 526/process-name
tcp 0 0 192.168.110.35:55052 192.168.110.27:10016 VERBUNDEN 1027/process-name

Default Login Perle IOLAN STS-16
User: iolan oder system oder su
Passwort: iolan oder system oder iolan123