Re: Nagios installation

2005-01-05 Thread Hagen Kühnel - HagK 
Re-Moin,

Am Mit, 05 Jan 2005, schrieb Tobias Krais:

> > An den cfg-Dateien wurde noch nichts geändert?
> 
> Nein.

Dann wird's Zeit ;)
Fällt mir dabei ein, dass ich (stable) AFAIK eine Datei in
/var/log/nagios manuell angelegt hatte.

> > Handelt es sich um nagios-text, nagios-mysql, ...?
> 
> EselX01:~# dpkg -l | grep nagios
> ii  nagios-common  1.3-0+pre6 A host/service/network monitoring and
> ii  nagios-nrpe-pl 2.0-7  Nagios Remote Plugin Exectutor Plugin
> ii  nagios-nrpe-se 2.0-7  Nagios Remote Plugin Exectutor Server
> ii  nagios-plugins 1.3.1.0-12 Plugins for the nagios network 
> ii  nagios-statd-s 3.09-7 nagios server for monitoring remote ii
> nagios-text1.3-0+pre6 A host/service/network monitoring and

Hmm, bei mir ist nur:
[EMAIL PROTECTED]:~$ dpkg -l | grep nagios
ii  nagios-text1.2-0.backport A host/service/network monitoring and manage

Das wird wohl hoffentlich von nagios-common abgedeckt.

> Der Pfad /usr/lib/netsaint exisitiert bei mir nicht, wohl aber:
> EselX01:~# ls -al /usr/lib/nagios/
> insgesamt 24
> drwxr-xr-x   3 root root  4096 2005-01-03 12:11 .
> drwxr-xr-x  57 root root 16384 2005-01-03 12:11 ..
> drwxr-xr-x   3 root root  4096 2005-01-03 12:20 plugins

plugins wir hoffentlich auc nicht ganz leer sein.

> Hmm... lass mal schauen:
> EselX01:~# tail -f /var/log/nagios/nagios.log
> [1104783032] Error: Could not insert retention data for host 'gw' in
> table 'hostretention'

OK, sagt doch was.
grep retention /etc/nagios/nagios/*

Bei mir kommt dann z.B. u.a.
/etc/nagios/nagios.cfg:state_retention_file=/var/log/nagios/status.sav

Für Nagios schreibbar? Für apache lesbar?
[EMAIL PROTECTED]:~$ ls -l /var/log/nagios/status.sav 
-rw-rw-r--1 nagios   nagios   2450  5. Jan 07:59 
/var/log/nagios/status.sav

> Google gibt zu dem Fehler rein gar nichts aus. Jedes Mal wenn ich einen
> klick auf einen Link in der Nagios Navigation mache, kommen noch so ein
> paar Zeilen dazu.

Ich gehe immernoch davon aus, dass es sich um ein Rechte-Problem handelt.
Hier mal meine:

[EMAIL PROTECTED]:~$ ls -la /var/log/nagios/*
-rw-rw-r--1 nagios   nagios  0  1. Jan 12:59 
/var/log/nagios/comment.log
-rw-rw-r--1 nagios   nagios  0  1. Jan 12:59 
/var/log/nagios/downtime.log
-rw-rw-r--1 nagios   nagios   2935  5. Jan 07:59 
/var/log/nagios/nagios.log
-rw-rw-r--1 nagios   nagios   3305  5. Jan 08:43 
/var/log/nagios/status.log
-rw-rw-r--1 nagios   nagios   2450  5. Jan 07:59 
/var/log/nagios/status.sav

/var/log/nagios/archives:
insgesamt 52
drwxr-xr-x2 nagios   nagios   4096  5. Jan 00:00 .
drwxr-xr-x4 nagios   nagios   4096  5. Jan 08:43 ..
-rw-r--r--1 nagios   nagios   8854 31. Dez 23:04 
nagios-01-01-2005-00.log
-rw-rw-r--1 nagios   nagios   2782  1. Jan 23:59 
nagios-01-02-2005-00.log
-rw-rw-r--1 nagios   nagios   4334  2. Jan 23:59 
nagios-01-03-2005-00.log
-rw-rw-r--1 nagios   nagios   5169  3. Jan 23:59 
nagios-01-04-2005-00.log
-rw-rw-r--1 nagios   nagios   9936  4. Jan 23:59 
nagios-01-05-2005-00.log

/var/log/nagios/rw:
insgesamt 8
drwxr-xr-x2 nagios   nagios   4096  1. Jan 12:59 .
drwxr-xr-x4 nagios   nagios   4096  5. Jan 08:43 ..
prw-rw1 nagios   nagios  0  4. Jan 14:46 nagios.cmd


Ansonsten vielleicht erstmal din der config die Überprüfung von "gw"
auskommentieren (restart), dann sollte wenigstens die initiale
Fehlerseite weg sein, auch wenn dann gar nichts überwacht wird.

Hagen
-- 
16/ 83
In dem Augenblick, wo wir anfangen unsere Freiheitsrechte
einzuschränken, besorgen wird das Geschäft der Terroristen.
  Günter Grass


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: ipsec racoon tunnel

2004-06-05 Thread Hagen Kühnel - HagK 
Hallo Ralf,

Am Don, 03 Jun 2004, schrieb Ralf Liebig:

> ich habe mit einem 2.6er Kernel und ipsec-Tools einen Racoon-Server laufen.
> Bei der Verbindung mit einem anderen Rechner für einen Tunnel bringt er
> jedoch folgenden Fehler:
> Jun  3 19:26:09 test01 racoon: ERROR: phase1 negotiation failed due to time
> up. 31e7af22cc20d683:b98f601bdc7aee59

Sieht verdammt nach Zertifikatsfehler aus. zumindest klappt Phase 1
nicht und er kommt gar nicht in Phase 2. Demnach ist sowas wie
NAT-T Fehler eigentlich schon fast auszuschließen.

> Kennt jemand den Fehler? Ich habe mich nun einige Zeit mit IP-Sec
> beschäftigt und so langsam raucht mir der Kopf... vielleicht übersehe ich
> ja etwas einfaches... Mir scheint er kommt nie über Phase 1 hinaus.

Na wenigstens ging es nicht nur mir so. ;)
Ich denke, dass Racoon auch noch nicht völlig bugfrei ist. "Mein"
Standleitung-Gateway resetete nähmlich nicht nach einer Stunde die
established-Verbindung, was wegen dial-up des Initiierenden gateways
problematisch ist.


> Vielen Dank für jede Art von Hilfe oder Tipps wo ich wissenswertes finde.
s.u.

>  racoon.conf -
> #situation identity_only;

was besagt diese Anweisung eigentlich? Ich habe da nirgends eine
schlaue Doku gefunden.

> my_identifier address 195.243.27.122;
> peers_identifier address 194.25.154.194;

oho, doch keine Zertifikate?

> Jun  3 19:25:49 test01 racoon: DEBUG: 180 bytes from 10.0.1.1[500] to
> 194.25.154.194[500]

Hier sendet doch jemand NAT-T?! Die private IP stimmt doch nicht mit
my_identifier überein!

> Jun  3 19:25:49 test01 racoon: DEBUG: sockname 10.0.1.1[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: send packet from 10.0.1.1[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: send packet to 194.25.154.194[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: src4 10.0.1.1[500]
> Jun  3 19:25:49 test01 racoon: DEBUG: dst4 194.25.154.194[500]

Wo lauscht denn das Gateway? scheinbar doch an 10.0.1.1. Das kommt
dann mit der auth_by_address aber nicht hin.

> Jun  3 19:26:09 test01 racoon: ERROR: phase1 negotiation failed due to time
> up. 31e7af22cc20d683:b98f601bdc7aee59

Und irgendwann gibt das antwordende Gateway auf. Genau das steht
hier. Die Problematik mit disfunktionaler MTU1500 via
DSL-Verbindungen kommt eigentlich erst nach der erfolgreichen
Authentifizierung.

TCPdump verrät dann den passenden MTU-Wert.


Als Literatur hatte ich spenneberg und Lipp (beide A-Wesley). Hat
aber auch nicht wirklich geholfen, außer mich in die Theorie
einzuarbeiten. Die Praxis hapert immer an irgendwelchen speziellen
Details. Wichtig natürlich die Manpages und Google. Zertifikate
extrakte ich immer aus dem pkcs12, wichtig: der Key mus RSA-sig
sein, sonst klappt das nicht mit dem Key. Kann aber alles auf einem
seperaten CA-Rechner gemacht werden. Klar, die CA muss bei beiden
identisch sein.

Beste Grüße,
Hagen
-- 
25/ 81
Eine Sammlung von Kenntnissen macht keine Wissenschaft aus.
  Hegel


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: bind offener dnsserver?

2004-06-10 Thread Hagen Kühnel - HagK 
Am Don, 10 Jun 2004, schrieb Andreas Kroschel:

> * Jonas Meurer:
> 
> > mein problem ist nun, dass ich unmengen an dns-traffic habe, was ich
> > darauf zurückführe, dass bind jede anfrage freudig beantwortet, und
> > somit als offener dnsserver jedem zugänglich ist. beweis:
> 
> > das wäre interessant damit ich den server trotzdem als dns-server für
> > meinem heim-pc benutzen kann.
> 
> | acl "home" {192.168.0.0/24; 10.0.0.0/8; 127.0.0.1;};
> in die config aufnehmen, Subnetze natürlich nach Deinen Gegebenheiten.
> Dann beantwortet er nur Anfragen aus dem internen Netz.

Ich habe das eher so verstanden, dass es sich um eine Art
root-Server handelt, man selbst greift via dial-up darauf zu.

Wenn er tatsächlich zwei Netzwerkkarten hat, kann man (AFAIK mit
listen) auch die Interfaces definieren, an denen er lauscht. Das ist
übersichtlicher, als eine komplexe Konfiguration.

Ohne genauere Strukturkentnisse kann man aber wie so oft nur
Vermutungen anstellen, was der OP meint. Und vermuten würde ich,
dass er für sich einen SSH- oder VPN-Tunnel benötigt um an die
interne Schnittstelle heranzukommen, ansonsten beantwortet der DNS
nur Anfragen an die eigenen Domains.

Leider sind auch die "unmengen an dns-traffic" nicht genau voluminös
spezifiziert und wahrscheinlich auch nicht analysiert. Ich vermute,
der OP weiß nicht, wer nach was den Bind X befragt, da er noch kein
Logging eingeschaltet hat.

Hagen
-- 
79/ 81
Da nicht sicher ist, ob der Computer existiert, existiert möglicherweise 
auch das Problem nicht. B.A.f.H.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: php4-gd Fehler bei Installation

2004-01-30 Thread Hagen Kühnel - HagK 
Am Don, 29 Jan 2004, schrieb Michael Holtermann:

> Moin Hagen!
> 
> Am 29.01.2004 08:10:12 schrieb Hagen Kühnel - debianlist:
> 
> > Herzliches Beileid.
> 
> Danke... Aber phpnuke war nicht sooo überzeugend. Ich teste noch.

Bei Nuke sind wenigstens schöne Sicherheitslücken ;)
Postnuke? (kenne ich nicht)

Man kann ja Typo3 benutzen, es birgt aber auch Problem in sich.
Lass mal ein tail -f auf die vollständige mysql-log mitlaufen :)
Öfter mal ein reboot machen, bringt Vorteile (3 eingeschlafene NICs
auf drei Rechnern ...)

> > Warum nicht gleich in der sources.list:
> 
> Das steht da drin, darüber habe ich typo3 installiert bzw. heruntergeladen
> und dann mit dem beiliegenden Skript eingerichtet.

Damit wird doch aber alles fine installiert?

> Laufen tut es inzwischen auch, wenn auch ohne GD. Aber das müsste doch
> gehen?

Ja das geht. :)
Auch mein Typo3-dev-Laptop arbeitet damit, der nicht-Typo3 mit
PHP5 :)

zum Thema:
- Install-Tool
- Punkt 3 "Image Processing"
- ganz unten "Testmenu"
- dort Punkt 5 "GD libary functions"

Und?

Aus einer der localconfs (zwei dev-Projekte):

$TYPO3_CONF_VARS["GFX"]["gdlib_png"] = '1'; //  Modified or
$TYPO3_CONF_VARS["GFX"]["gdlib_2"] = '1';   //  Modified or
$TYPO3_CONF_VARS["GFX"]["im_combine_filename"] = 'composite';   //
$TYPO3_CONF_VARS["GFX"]["im_imvMaskState"] = '1';   //  Modified
$TYPO3_CONF_VARS["GFX"]["im_mask_temp_ext_gif"] = '1';  //  Modified
$TYPO3_CONF_VARS["GFX"]["im_negate_mask"] = '1';//  Modified
$TYPO3_CONF_VARS["GFX"]["im_no_effects"] = '1'; //  Modified or
$TYPO3_CONF_VARS["GFX"]["im_path"] = '/usr/bin/';   //  Modified
$TYPO3_CONF_VARS["GFX"]["im_version_5"] = '1';  //  Modified or
$TYPO3_CONF_VARS["GFX"]["im_v5effects"] = '1';  //  Modified or
$TYPO3_CONF_VARS["GFX"]["imagefile_ext"] = 'gif,jpg,jpeg,tif,bmp,pcx,tga,png,pdf';   
$TYPO3_CONF_VARS["GFX"]["thumbnails_png"] = '1';//  Modified
$TYPO3_CONF_VARS["GFX"]["TTFdpi"] = '96';   //  Modified or

Sind alle Schreibrechte korrekt (typo3temp/)? Kein safe-mode?
Also ich setze neue Seiten immer mit

tuxpavilion:~# mkdir /var/www/SITENAME/
tuxpavilion:~# typo3-site-installer -d /var/www/SITENAME/htdocs

auf. Dann noch Datenbank eingerichtet und fertig.
Hmm, 
tuxpavilion:~# less php.ini | grep gd
;extension=php_gd.dll
extension=gd.so

sollte aber das deb korrekt installieren.

Hagen


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)