Ich habe mir in der Firma OTRS aufgesetzt, um einen besseren Überblick über Probleme und Aufgaben zu bekommen. Das hatte ich zwar schon einmal laufen, konnte ich aber wegen einer Umstrukturierung der IT nicht mehr nutzen.
Nach einem halben Jahr(!) habe ich also meinen Zugang bekommen, dennoch hat OTRS zunächst keine automatischen Benachrichtigungsmails versandt.
Grund war, dass das From im Envelope der Mails leer war und unser Mailserver solche Mails abweist. Also in den Einstellungen rumgesucht, eine Adresse eingetragen und schon klappt alles wunderbar.
Die ersten Tickets habe ich auch bereits erfolgreich aufgenommen.
Artikel mit Tag linux
Donnerstag, 29. Juli 2010
Start von OTRS mit Problemen
Donnerstag, 22. Juli 2010
Keine IPv6 Adresse
Es ist zum Haare ausraufen!
In der ganzen Abteilung haben alle eine IPv6-Adresse automatisch vom radvd bekommen. Nur ein Rechner weigert sich, IPv6-Traffic zu senden oder anzunehmen! Routen stimmen, Modul ist geladen, Adresse manuell vergeben, Paketfilter ausgeschaltet, mit Wireshark gesnifft. Nix! Nada! Auf dem Interface kommt weder Traffic an, noch geht von dem Rechner Traffic raus.
Mit IPv4 ist alles bestens.
Nachdem ich da mal einige Zeit rumgesucht habe, habe ich dem Kollegen geraten, die Kiste mal neu zu starten. Dummerweise steuert sein Rechner aber diverse Testprogramme, so dass das nicht so ohne Weiteres möglich ist. In letzter Konsequenz habe ich ihm dann einen IPv6-over-IPv4-Tunnel gegraben. Jetzt kann er auch per IPv6 die (lokale) Welt erforschen!
In der ganzen Abteilung haben alle eine IPv6-Adresse automatisch vom radvd bekommen. Nur ein Rechner weigert sich, IPv6-Traffic zu senden oder anzunehmen! Routen stimmen, Modul ist geladen, Adresse manuell vergeben, Paketfilter ausgeschaltet, mit Wireshark gesnifft. Nix! Nada! Auf dem Interface kommt weder Traffic an, noch geht von dem Rechner Traffic raus.
Mit IPv4 ist alles bestens.
Nachdem ich da mal einige Zeit rumgesucht habe, habe ich dem Kollegen geraten, die Kiste mal neu zu starten. Dummerweise steuert sein Rechner aber diverse Testprogramme, so dass das nicht so ohne Weiteres möglich ist. In letzter Konsequenz habe ich ihm dann einen IPv6-over-IPv4-Tunnel gegraben. Jetzt kann er auch per IPv6 die (lokale) Welt erforschen!
Mittwoch, 9. Juni 2010
PowerDNS als Master und Bind als Slave
Lange Zeit nichts mehr gebloggt, weil irgendwie nichts passiert (zumindest im Bereich "Administration"). Heute aber bin ich einem kleinen Fehler auf die Spur gekommen. Was heisst Fehler...aber der Reihe nach:
Ich setze PowerDNS mit PostgreSQL als DNS Server in unserem Netz ein. Um die Ausfallsicherheit zu erhöhen, habe ich einen Bind 9 Server als Slave konfiguriert (vorher war der nur einfacher Forwarder). Nun hat der Bind aber bei der Änderung eines Records auf dem Master keine Benachrichtigung erhalten.
Nach Sucherei im Web, habe ich dann den entscheidenden Hinweis gefunden: Man muss definitiv eine Seriennummer im SOA Record eintragen! Da bietet sich natürlich der Timestamp an. Interessanterweise habe ich irgendwo gelesen, dass PowerDNS eine 0 als Serial automatisch erkennt und die richtigen Schlüsse daraus zieht, aber dem ist nicht so.
Also habe ich mir eine Stored Procedure mit einer Regexp-Ersetzung gebastelt, die mir den Job abnimmt.
Fazit: Kaum macht man es richtig, klappt es auch mit dem Notify an den Bind!
Ich setze PowerDNS mit PostgreSQL als DNS Server in unserem Netz ein. Um die Ausfallsicherheit zu erhöhen, habe ich einen Bind 9 Server als Slave konfiguriert (vorher war der nur einfacher Forwarder). Nun hat der Bind aber bei der Änderung eines Records auf dem Master keine Benachrichtigung erhalten.
Nach Sucherei im Web, habe ich dann den entscheidenden Hinweis gefunden: Man muss definitiv eine Seriennummer im SOA Record eintragen! Da bietet sich natürlich der Timestamp an. Interessanterweise habe ich irgendwo gelesen, dass PowerDNS eine 0 als Serial automatisch erkennt und die richtigen Schlüsse daraus zieht, aber dem ist nicht so.
Also habe ich mir eine Stored Procedure mit einer Regexp-Ersetzung gebastelt, die mir den Job abnimmt.
Fazit: Kaum macht man es richtig, klappt es auch mit dem Notify an den Bind!
Donnerstag, 27. Mai 2010
Proxmox und IPv6
Wenn man virtuelle Maschinen unter Proxmox mit IPv6 betreiben und das Ganze via venet-Interfaces machen will, dann wird man feststellen, dass man aus den VEs nur bis zum darunterliegenden Host kommt.
Genau dieses Problem hatte ich in den vergangenen Tagen vor mir gehabt, was natürlich zur Folge hatte, dass keine VE per IPv6 von ausserhalb erreichbar war.
Das Problem lässt sich dadurch lösen, dass man ip -6 add proxy <ip der VE> für jede VE auf dem Host durchführt.
Die Automatisierung habe ich mit einem kleinen Skript-Hack erzielt, das per Cronjob gestartet wird. Die Infos kann man sich ja bequem aus den Konfigurationsdateien der jeweiligen VE rauskramen. Eine Erkennung, ob die Adresse nun v4 oder v6 ist, habe ich nicht gemacht, da der Aufruf von ip -6 bei einer v4-Adresse eh in einen Fehler läuft. Von daher ist mir auch egal, wie die Reihenfolge der Adressen in der Konfigurationsdatei ist.
Montag, 3. Mai 2010
Blockade umgangen
Die mir übergeordnete IT-Abteilung scheint diverse Ports auf externen Servern unerreichbar zu machen.
So zumindest meine Vermutung, da ich heute für einen Repositoryserver keinen rsync auf einen offiziellen Debian-, bzw. Ubuntumirror machen konnte. Der Server, der Spiegel spielen soll, steht in einem internen Netz und soll für interne Server die Pakete bereitstellen, was natürlich unsere externe Anbindung entlastet. Wie gesagt: rsync ging nicht und es gab Timeouts.
Da ich aber nicht ganz so blöd bin, habe ich einen Squid-Proxy auf einem anderen Server geprüft und siehe da: Der kann Port 873 extern erreichen. Also fix RSYNC_PROXY korrekt auf dem Reposerver gesetzt, rsync gestartet und siehe da: Die Dateien kamen nur so angeflogen.
Wie war das noch mal mit der Zensur? Lässt sich alles umgehen, man muss nur wissen wie!
So zumindest meine Vermutung, da ich heute für einen Repositoryserver keinen rsync auf einen offiziellen Debian-, bzw. Ubuntumirror machen konnte. Der Server, der Spiegel spielen soll, steht in einem internen Netz und soll für interne Server die Pakete bereitstellen, was natürlich unsere externe Anbindung entlastet. Wie gesagt: rsync ging nicht und es gab Timeouts.
Da ich aber nicht ganz so blöd bin, habe ich einen Squid-Proxy auf einem anderen Server geprüft und siehe da: Der kann Port 873 extern erreichen. Also fix RSYNC_PROXY korrekt auf dem Reposerver gesetzt, rsync gestartet und siehe da: Die Dateien kamen nur so angeflogen.
Wie war das noch mal mit der Zensur? Lässt sich alles umgehen, man muss nur wissen wie!
Dienstag, 27. April 2010
rsync gepatcht
Es gibt mal wieder was aus dem Serverraum zu berichten:
Wir sind dazu verpflichtet, jede Software, die wir Kunden zum Download anbieten, vorher durch einen Virenscanner laufen zu lassen. Das war bisher immer eine ziemlich mühselige Sache, sodass ich mir überlegt habe, rsync zu patchen. Mit Hilfe von rsync synchronisieren wir unsere externen Downloadserver mit dem Server, der bei uns in der Firma steht. Also habe ich mir erst mal den Quellcode von rsync runtergeladen und einige Stunden lang durchgelesen. Mit Hilfe diverser Debugausgaben habe ich dann die passende Stelle gefunden, an der die Dateien auf die Reise geschickt werden. Durch eine zusätzliche Option wird nun der Virenscanner aufgerufen. Dadurch verlangsamt sich zwar der Upload, aber man muss nicht mehr manuell die Dateien prüfen.
Wird Malware gefunden, bricht rsync natürlich auch sofort ab. Im Testbetrieb hat das alles schon prima funktioniert.
Morgen werde ich das mal auf unserem Livesystem mit Hilfe des Eicar Testvirusses ausprobieren.
Wir sind dazu verpflichtet, jede Software, die wir Kunden zum Download anbieten, vorher durch einen Virenscanner laufen zu lassen. Das war bisher immer eine ziemlich mühselige Sache, sodass ich mir überlegt habe, rsync zu patchen. Mit Hilfe von rsync synchronisieren wir unsere externen Downloadserver mit dem Server, der bei uns in der Firma steht. Also habe ich mir erst mal den Quellcode von rsync runtergeladen und einige Stunden lang durchgelesen. Mit Hilfe diverser Debugausgaben habe ich dann die passende Stelle gefunden, an der die Dateien auf die Reise geschickt werden. Durch eine zusätzliche Option wird nun der Virenscanner aufgerufen. Dadurch verlangsamt sich zwar der Upload, aber man muss nicht mehr manuell die Dateien prüfen.
Wird Malware gefunden, bricht rsync natürlich auch sofort ab. Im Testbetrieb hat das alles schon prima funktioniert.
Morgen werde ich das mal auf unserem Livesystem mit Hilfe des Eicar Testvirusses ausprobieren.
Montag, 22. März 2010
Migration erfolgreich
Die Migration eines unserer Server von reinem OpenVZ auf Proxmox hat heute Morgen erstaunlich gut geklappt. Eine Sache jedoch war etwas verwunderlich: Bei intensiver Nutzung von IPv6 unter Kernel 2.6.24-10-pve stürzte mir das IPv6 Modul ab. Ich habe daraufhin erst einmal 2.6.18-2-pve installiert, um auf der sicheren Seite zu sein.
Aber jetzt läuft der Server in einem Proxmoxcluster und das ist - ehrlich gesagt - eine richtige Wohlfühlatmosphäre! Die Templates erstelle ich auf dem Mastersystem und automagisch werden diese an die Nodes im Cluster verteilt. Zudem gibt es eine recht gute und übersichtliche Weboberfläche.
Aber jetzt läuft der Server in einem Proxmoxcluster und das ist - ehrlich gesagt - eine richtige Wohlfühlatmosphäre! Die Templates erstelle ich auf dem Mastersystem und automagisch werden diese an die Nodes im Cluster verteilt. Zudem gibt es eine recht gute und übersichtliche Weboberfläche.
Mittwoch, 17. März 2010
Neuen Server bekommen
Nach etwa 3(!) Monaten Lieferzeit, ist endlich heute unser neuer Server angekommen, der als Aufgabe hat, diverse virtuelle Maschinen zu beherbergen.
Als Basisystem nutze ich dafür das modifizierte System Proxmox, das mich in vorangegangenen Tests überzeugt hat.
Als Basisystem nutze ich dafür das modifizierte System Proxmox, das mich in vorangegangenen Tests überzeugt hat.
Dienstag, 2. März 2010
Proxmox ausprobiert
Gestern und heute habe ich mal ein wenig mit Proxmox rumgespielt, von dem mir ein Kollege erzählt hat. Das ist eine Webanwendung, mit der man u.a. OpenVZ VEs verwalten kann. Das ganze lässt sich unter Debian bequem installieren und ist weitgehend kompatibel zu OpenVZ (man muss in den Konfigurationsdateien der OpenVZ VEs eine kleine Änderung machen), sodass man relativ zügig OpenVZ VEs zu Proxmox migrieren kann.
Der Vorteil von Proxmox ist, dass man damit mehrere Hardwareknoten unter einer Weboberfläche verwalten kann. Die Knoten sind zu einem Cluster zusammengefasst, wobei man dann nur noch auf dem Master arbeitet. Templates werden automatisch an die Knoten synchronisiert.
Einziger Wermutstropfen, der mir bisher aufgefallen ist: Der aktuellste Kernel (-32) führte bei mir dazu, dass die VEs nicht mehr starteten, weswegen ich auf dem 18er Kernel geblieben bin.
Alles in allem ein ganz nützliches Tool. Mal gucken, ob ich das irgendwie mit unserem Verwaltungssystem verbinden kann.
Der Vorteil von Proxmox ist, dass man damit mehrere Hardwareknoten unter einer Weboberfläche verwalten kann. Die Knoten sind zu einem Cluster zusammengefasst, wobei man dann nur noch auf dem Master arbeitet. Templates werden automatisch an die Knoten synchronisiert.
Einziger Wermutstropfen, der mir bisher aufgefallen ist: Der aktuellste Kernel (-32) führte bei mir dazu, dass die VEs nicht mehr starteten, weswegen ich auf dem 18er Kernel geblieben bin.
Alles in allem ein ganz nützliches Tool. Mal gucken, ob ich das irgendwie mit unserem Verwaltungssystem verbinden kann.
Montag, 8. Februar 2010
Upgrade von PostgreSQL
Das Upgrade von PostgreSQL von Version 7.4 auf eine 8er Version lief hier leider nicht so reibungslos, da ich Depp vergessen hatte, vorher einen Dump zu machen. Da ich nicht mehr an die alte Version via aptitude rankam, musste ich mir PostgreSQL 7 erst einmal runterladen und fix selbst compilieren.
So kam ich dann auch an meinen Datenbankdump und konnte den dann dem 8er Server vorwerfen. Dass das geklappt hat, sieht man an diesem Blog, der wieder funktioniert.
So kam ich dann auch an meinen Datenbankdump und konnte den dann dem 8er Server vorwerfen. Dass das geklappt hat, sieht man an diesem Blog, der wieder funktioniert.
(Seite 1 von 4, insgesamt 33 Einträge)
nächste Seite »
Kommentare