Autor: Sandro Kehrlein

Linux Swappiness

28.08.2020 / Sandro Kehrlein / Keine Kommentare

Ziel: Swapping bei ausreichend vorhandenem RAM reduzieren bzw. deaktivieren.

Aktuelle Swappiness auslesen:

cat /proc/sys/vm/swappiness

Swappiness temporär ändern:

sysctl vm.swappiness=10

Swappiness dauerhaft ändern: /etc/sysctl.conf

vm.swappiness=10

Quelle

Check_MK: Graphen werden nicht mehr aktualisiert

19.07.2020 / Sandro Kehrlein / Keine Kommentare

/omd/sites/monitoring/var/pnp4nagios/spool/ hatte ein Backlog mit mehreren hunderttausend Files.

Dateien löschen, wodurch jedoch die zur Verarbeitung anstehenden Messergebnisse wegfallen.

Zusätzlich ggf. die rdd-Files unter /opt/omd/sites/monitoring/var/pnp4nagios/perfdata/ löschen.
Dadurch gehen jedoch auch die historischen Graphen verloren.

SFTP-Server unter Linux konfigurieren

30.06.2020 / Sandro Kehrlein / Keine Kommentare

How To Configure SFTP for a Web Server Document Root

How do I force group and permissions for created files inside a specific directory?

find /var/www/html -type d -exec setfacl -m d:g::rwx {} +

Sorgt dafür, dass die Gruppe (bspw. www-data, also der Webserver Apache) zusätzlich zu den Lese- auch die Schreib- und Ausführungsrechte auf via SFTP angelegte Dateien erhält.

Weitere Infos:

https://de.wikipedia.org/wiki/Setuid

https://de.wikipedia.org/wiki/Setgid

Check_MK: Perl-Issue nach Upgrade auf Debian 10

25.04.2020 / Sandro Kehrlein / Keine Kommentare

In Folge eines Updates von Debian 9 (Stretch) auf 10 (Buster) kam es zu fehlerhaften Check_MK-Prüfungen in Zusammenhang mit Perl. Der Fehler zeigte sich bei RBL-Checks, wobei der Service-Check WARNING (null) ergab.

OMD[monitoring]:~$ /usr/lib/nagios/plugins/check_rbl -H 8.8.8.8 -s zen.spamhaus.org
Socket.c: loadable library and perl binaries are mismatched (got handshake key 0xdb80080, needed 0xce00080)

Die Ursache lag in den gesetzten Perl Environment Variablen:

OMD[monitoring]:~$ env | grep PERL
PERL5LIB=/omd/sites/monitoring/local/lib/perl5/lib/perl5:/omd/sites/monitoring/lib/perl5/lib/perl5:

Lösung:
In ~/.profile folgende Zeile auskommentieren und anschließend rebooten:

export PERL5LIB="$OMD_ROOT/local/lib/perl5/lib/perl5:$OMD_ROOT/lib/perl5/lib/perl5:$PERL5LIB"

Quelle

MariaDB Monitoring-Issue nach Upgrade auf Debian 10

25.04.2020 / Sandro Kehrlein / Keine Kommentare

In Folge eines Updates von Debian 9 (Stretch) auf 10 (Buster) kam es zu fehlerhaften Check_MK-Checks:

/omd/sites/monitoring/lib/nagios/plugins/check_mysql -H 192.168.23.42 -u user -p password
/omd/sites/monitoring/lib/nagios/plugins/check_mysql: error while loading shared libraries: libmariadbclient.so.18: cannot open shared object file: No such file or directory

Lösung:

aptitude install libmariadbclient-dev
ln -s /usr/lib/x86_64-linux-gnu/libmariadb.so.3 /usr/lib/x86_64-linux-gnu/libmariadbclient.so.18

Quelle

Lokale User für Samba

30.03.2020 / Sandro Kehrlein / Keine Kommentare

Anlage lokaler Samba-User unter Linux:

useradd -M -s /sbin/nologin USERNAME
passwd USERNAME
smbpasswd -a USERNAME

Samba-User auflisten:

pdbedit -L -v

Quelle

AVM FRITZ!Box von M-net befreien

23.03.2020 / Sandro Kehrlein / Keine Kommentare

M-net und andere Provider liefern die AVM FRITZ!Box (bspw. 7590) mit eigener Firmware und sogenanntem voreingestellten „Provider Additive“ aus. Das Flashen auf Standard-AVM-Firmware ist dadurch nicht ohne Weiteres möglich. Folgende Schritte haben bei mir funktioniert:

FRITZ!Box auf aktuelle Firmware-Version updaten. Diese findet sich auf dem AVM FTP-Server.
FRITZ!Box via LAN 1 am Rechner anschließen.
FRITZ!Box vom Strom trennen, kurz warten, wieder anschließen.
Unmittelbar(!) nach Herstellen der Netzwerkverbindung und nur extrem kurz bietet der ADAM2-Bootloader der FRITZ!Box einen FTP-Server an. Standardmäßig ist dies unter 192.169.178.1 der Fall.
Mittels FTP-Client per CLI auf die FRITZ!Box verbinden (ftp 192.168.178.1), sehr schnell Username (adam2) und Password (adam2) eingeben und noch schneller den folgenden Befehl absenden (idealerweise schon in der Zwischenablage vorbereitet):

quote UNSETENV provider

Diese Schritte waren Voraussetzung , um mittels der regulären AVM Recovery-Tools das Downgrade auf eine ältere Firmware-Version zu ermöglichen.
Ohne der genannten Schritte würde das Downgrade mit Hilfe der Recovery Tools wegen der vorkonfigurierten „Provider Additive“ mit folgender Fehlermeldung scheitern:

Das Gerät enthält angepasste Grundeinstellungen für Ihren Internet-Anbieter ($provider). Eine Wiederherstellung würde unter Umständen dazu führen, dass das Gerät am Netz von $provider nicht mehr betrieben werden kann. Bitte nehmen Sie statt dessen Kontakt zu Ihrem Internet-Anbieter auf. Die Wiederherstellung wird jetzt abgebrochen.

Nun kann es mit dem eigentlichen Downgrade weitergehen (siehe AVM Anleitung).
Die Recovery-Tools gibt es ebenso direkt bei AVM.
Nach erfolgreichem Downgrade ist die FRITZ!Box frei von jeglichen Providereinstellungen und es kann wieder ein Update auf die aktuellste Firmware durchgeführt werden.

Achtung: Werden zu einem späteren Zeitpunkt die Werkseinstellungen wiederhergestellt, wird auch das Provider Additive wiederhergestellt. Alle o.g. Schritte sind somit erneut durchzuführen.

Weitere Links und Quellen:

Debian I/O error fd0

22.03.2020 / Sandro Kehrlein / Keine Kommentare

Fehlermeldung:

print_req_error: I/O error, dev fd0, sector 0

Lösung:

rmmod floppy && echo "blacklist floppy" | tee /etc/modprobe.d/blacklist-floppy.conf && dpkg-reconfigure initramfs-tools

Quelle

RS-232 via SSH mit MikroTik

10.03.2020 / Sandro Kehrlein / Keine Kommentare

# settings for port "usb1"
/port set usb1 baud-rate=115200 data-bits=8 flow-control=none parity=none stop-bits=1

# disable system console for serial usb
# cave: "0" may be the integrated serial port
/system console disable 0

/user add name=rs232_ssh group=read password=my-secret-password

/special-login add port=usb1 user=rs232_ssh

Quelle

Eingesetzte Hardware:

MikroTik Router (z.B. mAP oder hEX S; beide können PoE-In und benötigen daher kein extra Netzteil)
USB auf RS-232
- Ugreen: erfolgreich getestet
- get console: leider nur ein Port nutzbar

MikroTik FastTrack and FastPath

15.02.2020 / Sandro Kehrlein / Keine Kommentare

FastTrack = FastPath + Connection Tracking

All related information and sources:

FastPath
FastPath allows to forward packets without additional processing in the Linux kernel. It improves forwarding speeds significantly. For FastPath to work, interface support and specific configuration conditions are required. Automatically use of IPv4 FastPath if criterias are matching, see here.
Packets can be forwarded by fast path handler (e.g. ipv4 fasttrack) only if at least source interface support FastPath. For complete FastPath forwarding destination interface support is also required (see here).

FastTrack
IPv4 FastTrack handler is automatically used for marked connections. Use firewall action „fasttrack-connection“ to mark connections for FastTrack. Currently only TCP and UDP connections can be actually FastTracked. IPv4 FastTrack handler supports NAT.
Note that not all packets in a connection can be FastTracked, so it is likely to see some packets going through slow path even though connection is marked for FastTrack. This is the reason why fasttrack-connection is usually followed by identical accept-rule. FastTracked packets bypass firewall, connection tracking, traffic shaping queues, IPSec*, and several other configurations. So it is up to the administrator to make sure FastTrack does not interfere with other configuration.

Again, please keep in mind: Firewall filter and mangle rules will not be applied for FastTracked traffic!

*FastTrack can break connections running via IPSec! See video Most underused and overused RouterOS tools and features for details. Solutions: Disabling FastTrack or using Raw Firewalling rules for „no track“.