Just another Techblog
Für manche (unsichere!) Fälle kann es nützlich sein, einen user mit sudo-Rechten ohne Passwortaufforderung auszustatten.
How (sometimes not) to do:
Für den Benutzer „foo“ eine Datei in folgendem Verzeichnis anlegen:
/etc/sudoers.d/foo
foo ALL=(ALL) NOPASSWD: ALLKurze Erklärung zum Aufbau der Datei:
<wer> <auf welchem Host>=(<als welcher Benutzer>) <darf was ausführen>Check_MK hat einen internen DNS-Cache, der die IP-Adressen aufgelöster Hostnames eine gewisse Zeit speichert. Auch wenn der betriebssystemseitige Cache geleert wurde und das Betriebssystem korrekt auf neue IPs auflöst, nutzt Check_MK ggf. weiterhin veraltete IPs.
Um auch innerhalb Check_MK die Verwendung aktualisierter IP-Adressen zu forcieren, sind folgende Befehle nötig:
su -l monitoring
cmk -v --update-dns-cache
cmk -OUm geänderte Dateien auf extern eingebundenem Speicher (bspw. SFTP) zu identifizieren, ist in regelmäßigen Intervallen ein „Rescan“ des entsprechenden Ordners erforderlich. Dieser kann z. B. per Cronjob mit folgendem Befehl erfolgen:
root@nextcloud:/var/www/nextcloud# sudo -u www-data php occ files:scan --path="username/files/remote_folder"Aktivieren einer temporären Wartungsseite für einen kompletten Vhost, so dass jeder beliebige Aufruf (auch auf Unterordner oder auf einzelne Website-Dateien) auf die Wartungsseite umgeleitet wird:
RewriteEngine on
RewriteRule ^(.*) https://wartung.domain.de/wartung.html [R=302]Einzufügen als erstes innerhalb von <VirtualHost :443>.
Mit folgendem Eintrag in der .htaccess können Webseiten-Inhalte vor der Auslieferung an den Webbrowser manipuliert werden:
AddOutputFilterByType SUBSTITUTE text/html
Substitute "s|http://example.net|https://example.net|ni"Im o.g. Beispiel werden alle unverschlüsselten Links zu example.net durch verschlüsselte Links ersetzt.
Ziel: Swapping bei ausreichend vorhandenem RAM reduzieren bzw. deaktivieren.
Aktuelle Swappiness auslesen:
cat /proc/sys/vm/swappinessSwappiness temporär ändern:
sysctl vm.swappiness=10Swappiness dauerhaft ändern: /etc/sysctl.conf
vm.swappiness=10/omd/sites/monitoring/var/pnp4nagios/spool/ hatte ein Backlog mit mehreren hunderttausend Files.
Dateien löschen, wodurch jedoch die zur Verarbeitung anstehenden Messergebnisse wegfallen.
Zusätzlich ggf. die rdd-Files unter /opt/omd/sites/monitoring/var/pnp4nagios/perfdata/ löschen.
Dadurch gehen jedoch auch die historischen Graphen verloren.
How To Configure SFTP for a Web Server Document Root
How do I force group and permissions for created files inside a specific directory?
find /var/www/html -type d -exec setfacl -m d:g::rwx {} +Sorgt dafür, dass die Gruppe (bspw. www-data, also der Webserver Apache) zusätzlich zu den Lese- auch die Schreib- und Ausführungsrechte auf via SFTP angelegte Dateien erhält.
Weitere Infos:
Wer z.B. einen Raspberry Pi Zero W headless einrichten möchte muss ins root-Verzeichnis der boot-Partition zwei Dateien legen. Einmal eine leere Datei „.ssh“ und eine „wpa_supplicant.conf“, die nur Linefeeds enthalten darf (ein CRLR). Also Linux-Zeilenumbrüche, nicht Windows.
Die Datei sieht so aus:
country=DE
ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev
update_config=1
network={
ssid="WLAN SSID"
scan_ssid=1
psk="WLAN PASSWORT"
key_mgmt=WPA-PSK
}Im Notepad++ stellt man die Zeilenumbrüche unten rechts um:
Quelle: https://www.dahlen.org/2017/10/raspberry-pi-zero-w-headless-setup/
Wer nun extrem „effizient“ sein möchte könnte auf die Idee kommen, direkt das Image zu verändern, das auf die SD-Karte geschrieben wird. Wer wie ich zu faul ist, die Anfänge der Partitionstabelle auszurechnen lässt einfach kpartx laufen, das loop-Devices erstellt, die auf die Partitionstabellen zeigen:
root@host:~# kpartx -av 2020-02-13-raspbian-buster-lite.imgDanach kann man die boot-Partition mounten:
root@host:~# mkdir loop0p1
root@host:~# mount /dev/mapper/loop0p1 loop0p1/Wer das auf einem Raspberry Pi macht, der schon WLAN hat macht einfach so weiter:
root@host:~# cd loop0p1/
root@host:~# touch ssh
root@host:~# cp /etc/wpa_supplicant/wpa_supplicant.conf .Alles wieder unmounten:
root@host:~# umount loop0p1
root@host:~# kpartx -d 2020-02-13-raspbian-buster-lite.img
loop deleted : /dev/loop0Hier bin ich auf kpartx gestoßen: https://www.raspberrypi.org/forums/viewtopic.php?t=28860#p254654
So könnte man auch direkt den Hostname ändern oder einen public-key hinterlegen, schon mal local einstellen, etc.. Also eigentlich alles, was man sonst auch immer direkt nach dem Flashen machen muss.
In Folge eines Updates von Debian 9 (Stretch) auf 10 (Buster) kam es zu fehlerhaften Check_MK-Prüfungen in Zusammenhang mit Perl. Der Fehler zeigte sich bei RBL-Checks, wobei der Service-Check WARNING (null) ergab.
OMD[monitoring]:~$ /usr/lib/nagios/plugins/check_rbl -H 8.8.8.8 -s zen.spamhaus.org
Socket.c: loadable library and perl binaries are mismatched (got handshake key 0xdb80080, needed 0xce00080)Die Ursache lag in den gesetzten Perl Environment Variablen:
OMD[monitoring]:~$ env | grep PERL
PERL5LIB=/omd/sites/monitoring/local/lib/perl5/lib/perl5:/omd/sites/monitoring/lib/perl5/lib/perl5:Lösung:
In ~/.profile folgende Zeile auskommentieren und anschließend rebooten:
export PERL5LIB="$OMD_ROOT/local/lib/perl5/lib/perl5:$OMD_ROOT/lib/perl5/lib/perl5:$PERL5LIB"