Системное администрирование *

Этот пост можно было б начать по разному. Можно по делу: как необходима система мониторинга для поиска ошибок системы и как она помогает обнаружить узкие места. Но, сейчас лето, время отдыха на природе, и начну с того, как я решил узнать, как же часто менятеся прогноз погоды, с помощью популярного средства мониторинга Cacti. Под катом, о любопытный читатель!, тебя ждут рассказы о том как настроить мониторинг произвольных данных в Cacti, да не просто, а с картинками.

Еще не успела остыть новость об удалении IE из Windows 7 на территории Европейского Союза, как ситуация получила интригующее продолжение, и похоже, взяла старт на новый уровень.

Это краткий вольный перевод новостей. Обратитесь к ссылкам внизу записи для получения оригинальных материалов.

Несмотря на согласие Microsoft убрать Internet Explorer из европейских сборок, Комиссия заявила, что продолжит антимонопольное расследование в отношении софтверного гиганта. Чиновники считают, что выбор браузера — дело пользователя, и Microsoft этот выбор должна предоставлять сама.

У меня, да и думаю у вас, логи веб-сервера частенько забиваются запросами вида:

62.193.233.148 - - [28/May/2009:18:20:27 +0600] "GET /roundcube/ HTTP/1.0" 404 208 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
62.193.233.148 - - [28/May/2009:18:20:28 +0600] "GET /webmail/ HTTP/1.0" 404 206 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5"
212.150.123.234 - - [29/May/2009:20:51:12 +0600] "GET /admin/main.php HTTP/1.0" 404 212 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:12 +0600] "GET /phpmyadmin/main.php HTTP/1.0" 404 217 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:12 +0600] "GET /phpMyAdmin/main.php HTTP/1.0" 404 217 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:13 +0600] "GET /db/main.php HTTP/1.0" 404 209 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:13 +0600] "GET /PMA/main.php HTTP/1.0" 404 210 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:14 +0600] "GET /admin/main.php HTTP/1.0" 404 212 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:14 +0600] "GET /mysql/main.php HTTP/1.0" 404 212 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:15 +0600] "GET /myadmin/main.php HTTP/1.0" 404 214 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:15 +0600] "GET /phpadmin/main.php HTTP/1.0" 404 215 "-" "-"
212.150.123.234 - - [29/May/2009:20:51:16 +0600] "GET /webadmin/main.php HTTP/1.0" 404 215 "-" "-"


В основном это боты, бывают и пользователи, которые сканируют сервер на наличие всяких папок, ищут уязвимости.
Так вот захотелось блокировать эти IP-адреса сразу после попытки сканирования сервера, средствами nginx.

В своей повседневной работы я очень активно использую nagios. Как мне кажется, это очень мощная система для мониторинга серверов. Можно мониторить загрузку сервера, доступность разных серверов и тд и тп.

Для нагиоса есть очень много плагинов. Большое собрание плагинов находится по адресу nagiosplugins.org. Можно найти подходящий для себя, поставить и наслаждаться жизнью. Но что же делать если ни один плагин не устраивает вас по функционалу? Да ничего. Напишем свой. Это очень просто.

Итак начнем.

Первое что нам нужно знать для написания простейшего плагина это как работает нагиос на базовом уровне.

Он парсит свой конфиг, находит там команду запуска какого-либо плагина и запускает. Например, php -f checkServer.php. checkServer.php выполняет какую-то свою работу по проверке сервера и отдаёт в ответ статусное сообщение и код завершения работы.

Нагиос понимает 4 кода завершения работы

• 0 — Все ок.
• 1 — Предупреждение
• 2 — Критическая ошибка
• 3 — Что-то неизвестное случилось

Статусное сообщение это любая информация которая выводится скриптом на стандартный вывод.

И так сам скрипт простейшего плагина под nagios(на php).

define( "STATUS_OK", 0 );
define( "STATUS_WARNING", 1 );
define( "STATUS_CRITICAL", 2 );
define( "STATUS_UNKNOWN", 3 );

$checkFilePath = 'file';
if(file_exists($checkFilePath))
{
echo 'File exists. Everything is ok';
exit(STATUS_OK);
}

echo 'File does not exists';
exit(STATUS_CRITICAL);


вот и все — подключаем в нагиос и он будет проверять существует ли файл или нет. Конечно же Вы можете организовать любую проверку бизнес логики своего проекта, вплоть до автоматического тестирования через phpunit.

Всем привет! Сегодня я завершаю цикл статей о внедрении OpenLDAP (раз, два, три, четыре), и расскажу о хранении sudoers в LDAP.

Возникла задача мониторинга нескольких серверов, находящихся в разных ДЦ, имеющих разные ОС и ПО.

ТЗ получилось примерно такое:

1. Мониторинг системы (cpu, mem, load average, bandwidth).
2. Мониторинг состояния сервисов (запущен или нет).
3. Мониторинг функционирования сервисом (отвечает на запросы корректно или нет).
4. Контроль потребляемых сервисами ресурсов и общего их состояния.
5. Централизованая «админка» для всей этой радости.
6. Уведомление по email, самостоятельное исправление проблемы (например рестарт упавшей службы).

Демократия есть искусство управления цирком изнутри обезьяньей клетки.
Генри Луис Менкен

В крупных, постоянно меняющихся и развивающихся гетерогенных сетях установка адреса локального ntp-сервера на всех машинах может представлять определенную проблему. В данном случае можно воспользоваться возможностями DNS-сервера BIND и подменить выдаваемый по запросу «time.windows.com» ip-адрес.

Надеюсь, что ни для кого не секрет, что в Windows есть возможность выполнять Run команды посредством вызова диалога Пуск-> Выполнить или используя горячие клавиши Win + R.
Это удобно для запуска приложений, к которым вы либо иначе доступ и не получите, либо получите, пройдя по папкам с большим уровнем вложенности (например для установки и удаления программы вам нужно зайти в Пуск -> Панель управления -> Установка и удаление или просто выполнить команду appwiz.cpl).

Поэтому, для того, чтобы ускорить работу за компьютером привожу список из 156 команды, которые вы можете выполнить из Run диалога. Особенно актуально это будет для системных администраторов:

access.cpl — специальные возможности
accwiz — мастер специальных возможностей
hdwwiz.cpl — мастер установки оборудования
appwiz.cpl — установка и удаление программ
control admintools — администрирование
acrobat — Adobe Acrobat
acrodist — Adobe Designer
acrodist — Adobe Distiller
imageready — Adobe ImageReady
photoshop — Adobe Photoshop
wuaucpl.cpl — автоматическое обновление
fsquirt — мастер передачи файлов через блютус
calc — калькулятор
certmgr.msc — сертификаты
charmap — таблица символов
chkdsk — проверка дисков
clipbrd — папка обмена
cmd — консоль
dcomcnfg — службы компонентов
compmgmt.msc — управление компьютером

Недавно возникла потребность в периодическом мониторинге серваков на предмет падения некоторых сервисов (читай портов) и уведомления админа (те меня) при возникновении ошибки.

Решение — под катом

В виду достаточно большого парка серверов/свитчей/модемов и иного активного оборудования в конторе, была установленная система мониторинга zabbix и успешно использовалась продолжительное время. Zabbix имеет замечательную возможность отправки уведомлений о возникших проблемах.
Для этого был написан скрипт отправки sms сообщений через шлюз email-to-sms оператора связи, ограничение по количеству смс с одного адреса в сутки было обойдено путем ротации исходящих адресов, работало более или мение сносно, но в последнее время смс сообщения через данный шлюз начали доходить с задержкой порядка 10-15 минут, что уже не очень нравилось.
Итак, было решено организовать отправку уведомлений через собственный GSM-терминал, порывшись в прайсах поставщиков и не обнаружив там подходящих по цене и характеристикам GSM модемов весьма огорчился.
И тут вспомнилось что дома валяется старый Siemens CX65 да еще и data-кабель к нему, после подключения телефона и курения доков по отправке sms сообщений пришел к не очень радостному выводу, оказывается siemens не поддерживает отправку sms в текстовом режиме, команда AT+CMGF=1 возвращает error.
Отправка сообщений в данных аппаратах возможна только в режиме PDU, ради спортивного интереса и для размятия мозгов было решено реализовать эту систему, был написан скрипт для перекодировки в PDU формат сообщений и отправки через телефон.

Представляю вам mctop — продвинутую консольную утилиту мониторинга состояния memcached-серверов.
Забрать можно по адресу — code.google.com/p/mctop

Прошу прощения за перерыв в написании последней части статьи, продолжаем!
Ссылки на остальные части: раз, два, три, пять
В этой части мы научимся авторизоваться на наших Linux/Unix серверах.

В этой статье было замечательно подмечено, как проверить связность с Сетью при помощи ping, если у вас поломался DNS и набор привычного
ping ya.ru
уже не помогает. Если же DNS все-таки работает, то, как выяснилось из комментариев, некоторые используют для пинга www.ru или google.com, но большинство всё-таки предпочитает ya.ru просто потому, что меньше букв писать. Оказывается, благодаря солнечным Узбекистану и Туркменистану букв можно писать ещё меньше.

Многие для проверки доступности интернетов используют простое и короткое «ping ya.ru», но что делать если не работает днс или недоступен сам ресурс ya.ru? Есть легко запоминающийся ip адрес одного из днс серверов.

ping 4.2.2.2

upd: перенесено в «системное администрирование»

Коллеги, идет прямая трансляция из первого и второго залов

Системный администратор должен всегда знать что у него работает, что у него не работает. Я например очень часто нахожусь не у компьютера, поэтому зайти и посмотреть, что “лежит” для меня иногда проблематично. В связи с этим хочу рассказать, как научить cacti слать вам оповещения.

Думаю многим известна система мониторинга cacti. Она собирает статистические данные за определённые временные интервалы и позволяет отобразить их в графическом виде. Но функционал изначально у cacti не богатый, поэтому мы будем его расширять благодаря всевозможным плагинам.

Не нашел на Хабре внятного этой RIPEвской кухни, потому пишу сам :)

Здесь я попробую (кратко) рассказать, как работает Интернет :)
И какие бонусы может извлечь из этого администратор сети предприятия, хостер или ISP.

Сегодня с утра появилась задача — из закрытой для общего доступа сетевой папки на файловом Windows-сервере выложить выборочно некоторое количество файлов в общую папку. Сразу в голове образовалась масса неприятных мыслей, относительно и проблем совместной работы, и потери дискового пространства, и так далее. Но через несколько секунд я предложил самому себе воспользоваться замечательной возможностью файловой системы NTFS — жесткими ссылками.

Суть идеи: есть пара папок с открытым по сети доступом. На первой действует запрет на чтение для всех и разрешение для специфичной группы. На второй папке открыт доступ для всех пользователей. Чтобы разрешить всем пользователям несколько выборочных документов из первой папки, я создал жесткие ссылки на требуемые документы. Таким образом, удалось избежать всех возможных негативных моментов.

Для простого создания ссылок я использую Link Shell Extension. Выделяем требуемые к публикации файлы в папке-источнике, правой кнопкой мыши выбираем Pick Link Source, переходим в папку-получатель и по правому клику выбираем Drop HardLink.

Надеюсь, что данное решение будет кому-то полезно.

Ранее на Хабре уже писали о теории символьных и жестких ссылок.