Arne P. Böttger

Als Netzwerktechniker ist man im Rechenzentrum manchmal ein wenig aufgeschmissen. Man hat alle Geräte dabei, die eingebaut werden sollen, die Schränke sind vorbereitet und der Strom ist gelegt. Aber dann fehlen einem Kleinteile im Wert von wenigen Cent, die einen Strich durch die Rechnung und die Zeitplanung machen.

Die Kollegen von FlexOptix haben kürzlich auf der CeBit den Gearomat vorgestellt. Ein ähnliches Produkt haben wir, ebenfalls unter größter Geheimhaltung, für unser Rechenzentrum entwickelt. Den Automatic Cable Dispenser können Sie demnächst in unseren Rechenzentren finden und benutzen. Nach der Testphase unserer Prototypen werden wir sie auch anderen Interessenten anbieten.

Am Automatic Cable Dispenser können Sie eingeben, welche Länge das gewünschte Netzwerkkabel haben soll, von welchem Typ und mit welchen Steckern es ausgestattet sein soll. Je nach Kabeltyp haben Sie ausserdem die Wahl zwischen verschiedenen Farben. Nach Eingabe dieser Parameter wird das Kabel in gewünschter Länge ausgegeben. Ein zweiter Ausgabeschacht liefert den benötigten Stecker und eventuelles Zubehör aus.

Mit Hilfe der am Automaten befestigten Crimpzange können Sie dann den oder die Stecker montieren. Hierbei wird auf dem Mehrfarbdisplay eine bebilderte Anleitung angezeigt. Ausserdem bietet der Automatic Cable Dispenser Testanschlüsse für alle angebotenen Stecker- und Kabeltypen. Das Ergebnis dieser Kabelmessung wird gespeichert und auf Wunsch auf Thermopapier ausgedruckt.

Die Zahlung erfolgt Bargeldlos, entweder per Kredit- oder Geldkarte, oder mit der Rechenzentrums-Zugangskarte über die nächste Rechnung.

Als Systemadministrator beobachtet man bestimmte Fallen immer wieder, in die unerfahrene Entwickler von Webanwendungen tappen. Ich habe hier die Top Ten der mißachteten Punkte zusammengestellt:

10. Ruft regelmässige Aufgaben über richtige Cronjobs auf, nicht mit Curl/wget/lynx per HTTP, setzt eine E-Mail-Adresse als Empfänger der obigen Cronjobs, die ganz sicher immer funktioniert, und produziert in euren Cronjobs nur dann eine Ausgabe, wenn Fehler auftreten. Keine Debuginfos, zwischen denen echte Fehler einfach untergehen, weil die Mail eh jeden Tag kommt — kurz, schreibt ordentliche Cronjobs
9. Entwickelt von vornherein in UTF-8, früher oder später kommen Finnen, Franzosen, Dänen, Asiaten, mit lustigen Sonderzeichen
8. Achtet auf sinnvolle Rechtevergabe, prüft, unter welchem User die Webanwendung per Webserver aufgerufen wird, und mit welchen Privilegien ihr per SSH oder FTP auf die Daten zugreift. Setzt sinnvolle Gruppenrechte oder veranlasst, dass alles unter der selben UID läuft — z.B. per suPHP
7. Kalkuliert die Datensicherung ein, vor allem daß während eines Datenbank-Snapshots z.B. per mysqldump oft ein globales Write-Lock verhängt wird
6. Legt gerade bei ausfallsicheren Plattformen auch die Cronjobs entsprechend an — entweder mit globalem Locking oder so, daß auch mehrere gleichzeitig arbeiten können
5. Baut von vornherein vernünftige Fehlerseiten und Fehlerbehandlung, die so wenig Abhängigkeiten wie möglich haben. Nichts ist peinlicher als die Meldung Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
4. Bereitet eine Wartungsseite vor, die alle Anfragen sauber beantwortet, wenn die Anwendung mal aktualisiert wird oder aufgrund von technischen Problemen deaktiviert werden muss. Teilt eurem Hoster mit, wie diese Seite aktiviert werden kann, falls mal etwas schlimmes schiefgeht
3. Stellt sicher, dass zumindest eure Kollegen und der Hoster die Fehlerseite von der Wartungsseite unterscheiden können. Sonst wird im Ernstfall der Sysadmin die Fehler-Wartungsseite zu sehen bekommen und von Wartungsarbeiten ausgehen, wenn vielleicht gerade die Datenbank Probleme macht
2. Legt nur solche Infos im Cache ab, deren Erzeugung wirklich Rechenzeit spart — Datenbankabfragen sind schneller als ein Festplattenbasierter Cache, und eine Datenbank ist Backup-tauglicher
1. Räumt von vornherein eure Daten auf — wenn z.B. die an User verschickten Mails erstmal dreistellige Gigabyte in der Datenbank belegen, ist es zu spät

Ich hoffe, damit dem ein oder anderen angehenden Programmierer hilfreiche Tipps gegeben zu haben, und vielleicht auch die Nerven manches Sysadmins zu schonen…

Schon seit längerer Zeit hatte ich eine Idee im Hinterkopf, einen speziellen Nagios-Check zu schreiben, der das Ergebnis eines anderen Checks invertiert, d.h. meldet der Check “OK”, ist das Ergebnis “Critical” und umgekehrt. “Unknown” und “Warning” bleiben erhalten.

Dieser Check war zum Beispiel dafür gedacht, dass ein Router sich, wenn eine Standleitung ausfällt, über eine alternative Verbindung einwählt. Diese soll aber, wenn sie nutzungsabhängige Kosten verursacht, nicht ständig aufgebaut sein. Es ist also ein Ping-Check nötig, der dann alarmiert, wenn die Verbindung aufgebaut ist. Ein anderes Beispiel ist, dass man auf einem SSH-fähigen Cisco-Router sicherstellen möchte, dass telnet deaktiviert ist.

Jetzt habe ich festgestellt, dass ich nicht der einzige mit dieser Idee war, und sie offenbar schon vor einiger Zeit in dem “negate“-Check umgesetzt wurde. Dieser macht genau das oben beschriebene, und kann zusätzlich noch im Ergebnis die Zeichenketten “OK” und “WARNING” entsprechend ersetzen.

Hier ein Konfigurationsbeispiel. Man nimmt die ursprüngliche Konfiguration, um Telnet zu checken:

define command{
	command_name	check_telnet
	command_line	/usr/lib/nagios/plugins/check_tcp -H '$HOSTADDRESS$' -p 23
}

Vor die command_line stellt man dann das negate-Plugin:

define command {
        command_name    check_telnet_disabled
        command_line    /usr/lib/nagios/plugins/negate /usr/lib/nagios/plugins/check_tcp -H '$HOSTADDRESS$' -p 23
}

Und fertig ist ein Check-Command, das Alarm gibt, sobald Telnet aktiviert ist.

Wie schützt man einfach ein Verzeichnis, so daß nur mit einem Password darauf zugegriffen werden kann? Ganz einfach, erstmal legt man eine Datei namens .htaccess an, mit folgendem Inhalt:

AuthUserFile /home/user/pwd_file
AuthName "Secret Area"
AuthType Basic
require valid-user

Hierbei muss der Dateiname des AuthUserFile angepasst werden. In dieser Datei stehen die Benutzerdaten, am einfachsten pflegt man sie auf der Kommandozeile mit dem Befehl htpasswd. Der erste Befehl legt die Datei gleich an (-c):

htpasswd -cm /home/user/pwd_file username1
htpasswd -m /home/user/pwd_file username2

Um weniger Accounts in meinem Instant Messenger einrichten zu müssen habe ich auf meinem Server zusätzlich zum ejabberd noch den pyICQt installiert. Die Anleitung war klar und verständlich, und der Dienst schnell eingerichtet. Doch dann die grosse Frage: Wie benutze ich ihn?

Ganz einfach:

1. im Menü auf File -> <Jabber-Account> -> Discovery-Browser
2. Doppelklick auf ICQ Transport
3. im dann erscheinenden Dialog die ICQ-Zugangsdaten eingeben
4. die auftauchenden Authorisierungsanfragen beantworten, damit alle Kontakte übernommen werden können