linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

checkmk - Agent auf einem Debian Buster Server installieren

Verschoben checkmk

1 Beiträge 1 Kommentatoren 614 Aufrufe

F Offline
F Offline
FrankM
schrieb am zuletzt editiert von FrankM

#1
Heute mal eine kleine Anleitung, wie man das auf einem Debian Buster Server installiert.

In Eurer checkmk Instanz findet man folgendes Fenster unter WATO Configuration / Monitoring Agents

Uns interessiert nur das check-mk-agent_1.6.0p14-1_all.deb File. Dieses File laden wir mal auf unseren Rechner herunter.

Das .deb File muss jetzt auf den Server.
```
rsync -av /home/frank/check-mk-agent_1.6.0p14-1_all.deb root@<IPv4>:/tmp/
```
Danach installieren wir das File
```
dpkg -i /tmp/check-mk-agent_1.6.0p14-1_all.deb
```
Jetzt läuft auf dem Server der checkmk Agent. Dieser nutzt standardmäßig den Port 6556. In der Firewall freigeben.
```
        #=========================
        # CHECKMK Server erlauben (IN)
        #=========================
        $IP4TABLES -A INPUT -p tcp --dport 6556 -j ACCEPT
```
Gut, jetzt fehlt noch was Wichtiges. Die Kommunikation des Agent erfolgt im Klartext. Wenn man das nicht möchte, bietet checkmk eine eingebaute Verschlüsselung.

Dazu muss man in der checkmk Instanz die Verschlüsselung angelegt haben. Das findet man unter Host & Service Parameters > Access to agents > Check_MK Agent > Encryption rule

Damit der Agent und die checkmk Instanz jetzt kommunizieren können, muss die Verschlüsselung dem Agent auch beigebracht werden, dazu legen wir folgende Datei an.

nano /etc/check_mk/encryption.cfg
```
ENCRYPTED=yes
PASSPHRASE='PASSWORD'
```
Danach verstehen sich die beiden auch wieder

Quelle: https://docs.checkmk.com/latest/en/agent_linux.html#security
Im Fediverse -> @FrankM@nrw.social
1. NanoPi R5S
2. Quartz64 Model B, 4GB RAM
3. Quartz64 Model A, 4GB RAM
4. RockPro64 v2.1
1 Antwort Letzte Antwort
0
F FrankM verschob dieses Thema von Linux am

F

OpenWRT - Zonen
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben OpenWRT & Ubiquiti ER-X openwrt linux
2

0 Stimmen

2 Beiträge

462 Aufrufe

F

Es ist was heller geworden 🙂

7b86e97c-31a5-44b6-809f-25d9d1c2ee4a-image.png

Die besagte Forward Regel

Zonen.png

Diese Forward Regel zieht erst dann, wenn es mehrere Interfaces in einer Zone gibt. Aus der Doku
INPUT rules for a zone describe what happens to traffic trying to reach the router itself through an interface in that zone. OUTPUT rules for a zone describe what happens to traffic originating from the router itself going through an interface in that zone. FORWARD rules for a zone describe what happens to traffic passing between different interfaces belonging in the same zone.
Das heisst nun, das ein Forwarding zwischen zwei Zonen immer eine spezifische Regel unter Traffic Rules benötigt.

Forwarding between zones always requires a specific rule.

Somit ist ein Forwarding zwischen zwei Zonen in den Standard Einstellungen nicht erlaubt. Das kann ich hier auch so bestätigen. Das ist ja auch das was ich mit meiner "DMZ"-Zone erreichen möchte. Kein Zugriff auf LAN.

Unter Zone ⇒ Forwardings kann man jetzt sehen, das das Forwarding von LAN in Richtung WAN und DMZ erlaubt ist. WAN ist logisch, sonst komme ich ja nicht ins Internet. DMZ habe ich eingestellt, damit ich auch Teilnehmer im DMZ Netz erreichen kann, wenn ich da mal ran muss.

8a548c29-8bc5-4074-8099-66460bcea9a8-image.png

Stelle ich das jetzt so ein.

dca8b393-f613-4cab-a377-ffbc2bb8ddf5-image.png

Dann kann ich von der DMZ Zone aus das LAN erreichen. Aha, so langsam verstehe ich 😉

Quelle: https://forum.openwrt.org/t/firewall-zones-and-settings/84369
F

NanoPi R2S - OpenWRT VLAN
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NanoPi R2S nanopir2s openwrt linux
11

0 Stimmen

11 Beiträge

1k Aufrufe

F

@thrakath1980 Ok, du meinst die FriendlyArm Variante von OpenWRT. Ich denke, da sollte man besser alles neu machen. Leider ist das bei OpenWRT nicht so einfach zu updaten/upgraden wie z.B. bei einem Linux Kernel. Ich habe es mal runtergeladen, wenn ich mal Zeit habe, schau ich mal rein.
F

ROCKPro64 - Debian Bullseye Teil 1
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben ROCKPro64 debian linux rockpro64
17

0 Stimmen

17 Beiträge

2k Aufrufe

F

Durch diesen Beitrag ist mir mal wieder eingefallen, das wir das erneut testen könnten 😉

Also die aktuellen Daten von Debian gezogen. Das Image gebaut, könnt ihr alles hier im ersten Beitrag nachlesen. Da die eingebaute Netzwerkschnittstelle nicht erkannt wurde, habe ich mal wieder den USB-to-LAN Adapter eingesetzt.
Bus 005 Device 002: ID 0b95:1790 ASIX Electronics Corp. AX88179 Gigabit Ethernet
Die Installation wollte ich auf einem NVMe Riegel installieren.

Die Debian Installation durchgezogen und nach erfolgreicher Installation neugestartet. Und siehe da, ohne das man alles möglich ändern musste, bootete die NVMe SSD 🤓

Eingesetzter uboot -> 2020.01-ayufan-2013......

Die nicht erkannte LAN-Schnittstelle müsste an nicht freien Treibern liegen, hatte ich da irgendwo kurz gelesen. Beim Schreiben dieses Satzes kam die Nacht und ich konnte noch mal drüber schlafen. Heute Morgen, beim ersten Kaffee, dann noch mal logischer an die Sache ran gegangen.

Wir schauen uns mal die wichtigsten Dinge an.
root@debian:~# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 62:03:b0:d6:dc:b3 brd ff:ff:ff:ff:ff:ff 3: enx000acd26e2c8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 00:0a:cd:26:e2:c8 brd ff:ff:ff:ff:ff:ff inet 192.168.3.208/24 brd 192.168.3.255 scope global dynamic enx000acd26e2c8 valid_lft 42567sec preferred_lft 42567sec inet6 fd8a:6ff:2880:0:20a:cdff:fe26:e2c8/64 scope global dynamic mngtmpaddr valid_lft forever preferred_lft forever inet6 2a02:908:1260:13bc:20a:xxxx:xxxx:xxxx/64 scope global dynamic mngtmpaddr valid_lft 5426sec preferred_lft 1826sec inet6 fe80::20a:cdff:fe26:e2c8/64 scope link valid_lft forever preferred_lft forever
Ok, er zeigt mir die Schnittstelle eth0 ja an, dann kann es an fehlenden Treibern ja nicht liegen. Lässt dann auf eine fehlerhafte Konfiguration schließen. Nächster Halt wäre dann /etc/network/interfaces

Das trägt Debian ein
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug enx000acd26e2c8 iface enx000acd26e2c8 inet dhcp # This is an autoconfigured IPv6 interface iface enx000acd26e2c8 inet6 auto
Gut, bei der Installation hat Debian ja nur die zusätzliche Netzwerkschnittstelle erkannt, folgerichtig ist die auch als primäre Schnittstelle eingetragen. Dann ändern wir das mal...
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface #allow-hotplug enx000acd26e2c8 allow-hotplug eth0 #iface enx000acd26e2c8 inet dhcp iface eth0 inet dhcp # This is an autoconfigured IPv6 interface #iface enx000acd26e2c8 inet6 auto iface eth0 inet6 auto
Danach einmal alles neu starten bitte 😉
systemctl status networking
Da fehlte mir aber jetzt die IPv4 Adresse, so das ich einmal komplett neugestartet habe. Der Ordnung halber, so hätte man die IPv4 Adresse bekommen.
dhclient eth0
Nachdem Neustart kam dann das
root@debian:/etc/network# ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether 62:03:b0:d6:dc:b3 brd ff:ff:ff:ff:ff:ff inet 192.168.3.172/24 brd 192.168.3.255 scope global dynamic eth0 valid_lft 42452sec preferred_lft 42452sec inet6 fd8a:6ff:2880:0:6003:b0ff:fed6:dcb3/64 scope global dynamic mngtmpaddr valid_lft forever preferred_lft forever inet6 2a02:908:1260:13bc:6003:xxxx:xxxx:xxxx/64 scope global dynamic mngtmpaddr valid_lft 5667sec preferred_lft 2067sec inet6 fe80::6003:b0ff:fed6:dcb3/64 scope link valid_lft forever preferred_lft forever 3: enx000acd26e2c8: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether 00:0a:cd:26:e2:c8 brd ff:ff:ff:ff:ff:ff
Fertig, eth0 läuft. Nun kann man den zusätzlichen Adapter entfernen oder halt konfigurieren, wenn man ihn braucht.

Warum der Debian Installer die eth0 nicht erkennt verstehe ich nicht, aber vielleicht wird das irgendwann auch noch gefixt. Jetzt habe ich erst mal einen Workaround um eine Installation auf den ROCKPro64 zu bekommen.
F

LUKS verschlüsselte Platte mounten
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux linux
2

0 Stimmen

2 Beiträge

863 Aufrufe

F

So, jetzt das ganze noch einen Ticken komplizierter 🙂

Ich habe ja heute, für eine Neuinstallation von Ubuntu 20.04 Focal eine zweite NVMe SSD eingebaut. Meinen Bericht zu dem Thema findet ihr hier. Aber, darum soll es jetzt hier nicht gehen.

Wir haben jetzt zwei verschlüsselte Ubuntu NVMe SSD Riegel im System. Jetzt klappt die ganze Sache da oben nicht mehr. Es kommt immer einen Fehlermeldung.
unbekannter Dateisystemtyp „LVM2_member“.
Ok, kurz googlen und dann findet man heraus, das es nicht klappen kann, weil beide LVM Gruppen, den selben Namen benutzen.
root@frank-MS-7C37:/mnt/crypthome/root# vgdisplay --- Volume group --- VG Name vgubuntu2 System ID Format lvm2 Metadata Areas 1 Metadata Sequence No 4 VG Access read/write VG Status resizable MAX LV 0 Cur LV 2 Open LV 1 Max PV 0 Cur PV 1 Act PV 1 VG Size <464,53 GiB PE Size 4,00 MiB Total PE 118919 Alloc PE / Size 118919 / <464,53 GiB Free PE / Size 0 / 0 VG UUID lpZxyv-cNOS-ld2L-XgvG-QILa-caHS-AaIC3A --- Volume group --- VG Name vgubuntu System ID Format lvm2 Metadata Areas 1 Metadata Sequence No 3 VG Access read/write VG Status resizable MAX LV 0 Cur LV 2 Open LV 2 Max PV 0 Cur PV 1 Act PV 1 VG Size <475,71 GiB PE Size 4,00 MiB Total PE 121781 Alloc PE / Size 121781 / <475,71 GiB Free PE / Size 0 / 0 VG UUID jRYTXL-zjpY-lYr6-KODT-u0LJ-9fYf-YVDna7
Hier oben sieht man das schon mit geändertem Namen. Der VG Name muss unterschiedlich sein. Auch dafür gibt es ein Tool.
root@frank-MS-7C37:/mnt/crypthome/root# vgrename --help vgrename - Rename a volume group Rename a VG. vgrename VG VG_new [ COMMON_OPTIONS ] Rename a VG by specifying the VG UUID. vgrename String VG_new [ COMMON_OPTIONS ] Common options for command: [ -A|--autobackup y|n ] [ -f|--force ] [ --reportformat basic|json ] Common options for lvm: [ -d|--debug ] [ -h|--help ] [ -q|--quiet ] [ -v|--verbose ] [ -y|--yes ] [ -t|--test ] [ --commandprofile String ] [ --config String ] [ --driverloaded y|n ] [ --nolocking ] [ --lockopt String ] [ --longhelp ] [ --profile String ] [ --version ] Use --longhelp to show all options and advanced commands.
Das muss dann so aussehen!
vgrename lpZxyv-cNOS-ld2L-XgvG-QILa-caHS-AaIC3A vgubuntu2 ACHTUNG Es kann zu Datenverlust kommen, also wie immer, Hirn einschalten!
Ich weiß, das die erste eingebaute Platte mit der Nummer /dev/nvme0n1 geführt wird. Die zweite, heute verbaute, hört dann auf den Namen /dev/nvme1n1. Die darf ich nicht anpacken, weil sonst das System nicht mehr startet.

/etc/fstab
# /etc/fstab: static file system information. # # Use 'blkid' to print the universally unique identifier for a # device; this may be used with UUID= as a more robust way to name devices # that works even if disks are added and removed. See fstab(5). # # <file system> <mount point> <type> <options> <dump> <pass> /dev/mapper/vgubuntu-root / ext4 errors=remount-ro 0 1 # /boot was on /dev/nvme1n1p2 during installation UUID=178c7e51-a1d7-4ead-bbdf-a956eb7b754f /boot ext4 defaults 0 2 # /boot/efi was on /dev/nvme0n1p1 during installation UUID=7416-4553 /boot/efi vfat umask=0077 0 1 /dev/mapper/vgubuntu-swap_1 none swap sw 0 0
Jo, wenn jetzt die Partition /dev/mapper/vgubuntu2-root / anstatt /dev/mapper/vgubuntu-root / heißt läuft nichts mehr. Nur um das zu verdeutlichen, auch das könnte man problemlos reparieren. Aber, ich möchte nur warnen!!

Nachdem die Änderung durchgeführt wurde, habe ich den Rechner neugestartet. Puuh, Glück gehabt, richtige NVMe SSD erwischt 🙂
Festplatte /dev/mapper/vgubuntu2-root: 463,58 GiB, 497754832896 Bytes, 972177408 Sektoren Einheiten: Sektoren von 1 * 512 = 512 Bytes Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Nun können wir die Platte ganz normal, wie oben beschrieben, mounten. Nun kann ich noch ein paar Dinge kopieren 😉
F

Nextcloud Talk
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Nextcloud nextcloud coturn linux talk
5

0 Stimmen

5 Beiträge

809 Aufrufe

F

All I needed to do was setting the permissions to 744 for the archive directory and the symlinks resolved correctly after a reboot of coturn

My turnserver installation on Debian runs as the user turnserver and not as root, nor is the user turnserver in any group owning the letsencrypt directory.
If your turnserver does run as root, it should be fine just adding execute permissions.

I hope this helps some of you.
Quelle: https://help.nextcloud.com/t/lets-encrypt-symlink-breaks-coturn-configuration/70166

Was zum Testen die Tage....
F

IPv6 und Subnetze
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux linux ipv6
1

0 Stimmen

1 Beiträge

213 Aufrufe

Niemand hat geantwortet
F

Upgrade auf NodeBB 1.11.0
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben NodeBB nodebb linux
1

0 Stimmen

1 Beiträge

376 Aufrufe

Niemand hat geantwortet
F

Restic - Ein Backupkonzept
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Restic linux restic
1

0 Stimmen

1 Beiträge

1k Aufrufe

Niemand hat geantwortet