Archiwum

Archive for the ‘Fascynująca technika’ Category

Zabbix, pierwsza krew

21/11/2012 Komentarze wyłączone

Hasło ‚Nagios nam nie wystarcza’ uzasadniane słowami ‚nie ma tam wykresów dla zarządu’ to zmora większości technicznych odpowiedzialnych za systemy monitorujące. Chwilę potem techniczny usłyszy ‚że istnieje taki system, który spełnia sny – system nazywa się Zabbix’. Na etapie testów wszystko działa perfekcyjnie. Obliczenia, prognozy, przepis na ciastko autorstwa twórców, to wszystko zachęca do zboczenia w stronę systemu statystycznego, który przy okazji umie wysłać powiadomienie, że coś jest nie tak.

Pierwszych 100 urządzeń i 4000 testów się nie zauważa. Kolejnych 100/4000 urządzeń/testów także nie. A potem, dzięki sprawnym palcom ekipy wpisującej budzicie się ze snu dysponując w systemie liczbą 800 urządzeń, 79000 testów, z martwym Zabbixem za sprawą serwera bazodanowego, który nie dał rady, bo właśnie zapierdala z prędkością jakiś 340/390 operacji (select/insert/delete/update) na sekundę i najpewniej albo zjadł pamięć, albo przestał się wyrabiać na IO – jakkolwiek – zabił wielką żabę na amen.

Czytaj dalej…

Reklamy

Kiedy Nagios ‚staje dęba’

15/03/2012 Komentarze wyłączone

Dzień zaczyna się spokojnie; człowiek siada, wydaje komendę:

apt-get install nagios3

– i chwilę potem cieszy się dystrybucyjnym monitoringiem ;) Cieszy się niezbyt długo albowiem grzebanie po webowej przyległości co chwila kończy się komunikatem:

Error: Could not open command file ‘/var/lib/nagios3/rw/nagios.cmd’ for update!

– myśli sobie ‚co ja źle zrobiłem’; sprawdza konfigurację, ale:

check_external_commands=1

– widnieje w niej jak wół. No to siup – chmod – i po sprawie. Do restartu nagiosa ;) Bo potem znowu kanalizacja miejska. Na koniec zmęczony wytacza poważne argumenty:

service nagios3 stop
dpkg-statoverride --update --add nagios www-data 2710 /var/lib/nagios3/rw
dpkg-statoverride --update --add nagios nagios 751 /var/lib/nagios3
service nagios3 start

– i jego problemy ustają… do kolejnej szybkiej instalacji. Bye :)

Ps. Tak, wiem, że już o tym pisałem przy okazji Centreona na Ubuntu 8.10.

VPS : Nr 1 w Polsce

04/10/2011 Komentarze wyłączone

Skrót ‚VPS’ to fetysz branży IT. Nie masz? Nie istniejesz – więc możliwość nabycia usługi oferują się wszystkie „Nr 1 w Polsce” zajmujące się dostarczaniem usług hostingowych. Działy marketingu i sprzedaży przewidziały niechęć potencjalnego nabywcy do płacenia za niesprawdzone usługi i udostępniają usługi testowe. A kto ‚testuje’ najczęściej owe usługi? Patrząc po logach zarządzanych środowisk odnoszę wrażenie, że głównie sieciowa przestępczość zorganizowana czyli właściciele różnej maści botnetów oraz sporadycznie tzw. script kiddies.

Jak to rozpoznać?

Jakiś czas temu odkryłem w logach sporo odwołań do plików popularnych skryptów OpenSource. Do typowych nazw i lokalizacji tychże plików. Jako, że jestem fanem WordPress’a omówię to na jego przykładzie.

Czytaj dalej…

Cisco, HP ProCurve and MSTP

22/12/2010 Komentarze wyłączone

Not so far away and not so long ago we made a Plan: new, redundant LAN for small Data Center. In fact, it was boring work. Homogeneous equipment, star-like, flat topology: two redundant units to aggregate traffic, edge switches connected to both units to achieve redundancy and load-balancing by MSTP. Nothing special.

But Our Lady walks nearby and, in cloudy and windy morning, small, gold apple with engraved word „cheaper” flew through window in our office. After that we got: two HP 5400zl, bunch of HP 2910al, four Cisco 2960, stack of Cisco 2950… and unchanged requirements.

Then funny part of our work was to come. Fortunately MSTP in 2960s is compatible with one in 5400s. But these in 2950s… not. As expected and noticed in this document and here.

In fact, we were able to achieve something like „working” environment, but situation, when some switches in LAN don’t recognize root-switches (this mechanism is described in mentioned docs), was considered by us as unacceptable.

We thought…
we smoked…
we prayed to Eris…
and we made it!

It was so simple: maybe Cisco 2950 isn’t compatible with HP equipment – but it is compatible with 2960. So, we created second level in our spanning-tree and connected each 2950 to two 2960, instead to root-HP 5400s. Each 2960 is connected to two 5400s and, in this way, we got reliable network with fast-enough convergence. BPDUs sent and received from/by 2950s are translated by 2960s and all switches can see valid roots in MSTP regions.

Hail Eris! Sieg hail Discordia!

PS. Thanks to Kooba for corrections and advices.

Certyfikat ‚wildcardowy’ Thawte i MSIE

14/10/2010 Komentarze wyłączone

Wyobraźcie sobie następującą sytuację z Thawte, klientem klasy VIP (hipergold) i wildcardowym certyfikatem SSL

Klient kupuje rzeczony certyfikat i prosi o instalację. Nie zastanawiając się dodajecie do konfiguracji w Apache’u taki oto zestaw ścieżek w konfiguracji serwera wirtualnego:

SSLEngine on
SSLCertificateFile /etc/apache2/ssl/2010/*.crt
SSLCertificateKeyFile /etc/apache2/ssl/2010/*.key

Następnie:

/etc/init.d/apache2 restart

Kolejno wykonujecie test na swoim Firefox’ie (zakładam, że pracujecie na stacjach z *nix’ami). Działa! Klientowi wysyłacie informację ‚jest GIT!’ o treści ‚szanowny Panie, miło było nam uczestniczyć w pracach nad wdrożeniem zaawansowanych zabezpieczeń dla…’.

Mijają 24 godziny. Dzwoni klient. Wściekły z hasłem ‚w MSIE nie działa, to jest niedopuszczalne, to dyletanctwo’ etc. etc. Zastanawiacie się ‚jak to k… mać jest możliwe’ zwłaszcza, że zdążyliście już sprawdzić, że nie działa także na niektórych FF’kach? Otóż jest – gdy CA podaje certyfikat urzędu w … środkowej linijce certyfikatu klienta. Szybka poprawka konfiguracji Apache’a po pobraniu i zapisaniu, środkowego, certyfikatu wystawiającego i wgraniu go na serwer wygląda tak:

Czytaj dalej…

Pożytek z Caps Locka

21/02/2010 Komentarze wyłączone

No właśnie – do czego administratorowi przydaje się Caps Lock? Do pewnego czasu niespecjalnie się nad tym zastanawiałem – Caps Lock siedział sobie po lewej stronie klawiatury a ja – przed nią. Ja go nie ruszałem, on zazwyczaj nie wchodził mi w paradę. Po prostu harmonia. Ale w pewnym momencie musiałem odciążyć nieco prawą, i duży, wygodny klawisz, kulący się pod serdecznym palcem lewej dłoni, doczekał się swoich pięciu minut sławy…

Czytaj dalej…