Archive for the ‘networking’ Category

Tipps von Sysadmin zu Webentwickler

Dienstag, März 15th, 2011

Als Systemadministrator beobachtet man bestimmte Fallen immer wieder, in die unerfahrene Entwickler von Webanwendungen tappen. Ich habe hier die Top Ten der mißachteten Punkte zusammengestellt:

  1. Ruft regelmässige Aufgaben über richtige Cronjobs auf, nicht mit Curl/wget/lynx per HTTP, setzt eine E-Mail-Adresse als Empfänger der obigen Cronjobs, die ganz sicher immer funktioniert, und produziert in euren Cronjobs nur dann eine Ausgabe, wenn Fehler auftreten. Keine Debuginfos, zwischen denen echte Fehler einfach untergehen, weil die Mail eh jeden Tag kommt — kurz, schreibt ordentliche Cronjobs
  2. Entwickelt von vornherein in UTF-8, früher oder später kommen Finnen, Franzosen, Dänen, Asiaten, mit lustigen Sonderzeichen
  3. Achtet auf sinnvolle Rechtevergabe, prüft, unter welchem User die Webanwendung per Webserver aufgerufen wird, und mit welchen Privilegien ihr per SSH oder FTP auf die Daten zugreift. Setzt sinnvolle Gruppenrechte oder veranlasst, dass alles unter der selben UID läuft — z.B. per suPHP
  4. Kalkuliert die Datensicherung ein, vor allem daß während eines Datenbank-Snapshots z.B. per mysqldump oft ein globales Write-Lock verhängt wird
  5. Legt gerade bei ausfallsicheren Plattformen auch die Cronjobs entsprechend an — entweder mit globalem Locking oder so, daß auch mehrere gleichzeitig arbeiten können
  6. Baut von vornherein vernünftige Fehlerseiten und Fehlerbehandlung, die so wenig Abhängigkeiten wie möglich haben. Nichts ist peinlicher als die Meldung Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
  7. Bereitet eine Wartungsseite vor, die alle Anfragen sauber beantwortet, wenn die Anwendung mal aktualisiert wird oder aufgrund von technischen Problemen deaktiviert werden muss. Teilt eurem Hoster mit, wie diese Seite aktiviert werden kann, falls mal etwas schlimmes schiefgeht
  8. Stellt sicher, dass zumindest eure Kollegen und der Hoster die Fehlerseite von der Wartungsseite unterscheiden können. Sonst wird im Ernstfall der Sysadmin die Fehler-Wartungsseite zu sehen bekommen und von Wartungsarbeiten ausgehen, wenn vielleicht gerade die Datenbank Probleme macht
  9. Legt nur solche Infos im Cache ab, deren Erzeugung wirklich Rechenzeit spart — Datenbankabfragen sind schneller als ein Festplattenbasierter Cache, und eine Datenbank ist Backup-tauglicher
  10. Räumt von vornherein eure Daten auf — wenn z.B. die an User verschickten Mails erstmal dreistellige Gigabyte in der Datenbank belegen, ist es zu spät

Ich hoffe, damit dem ein oder anderen angehenden Programmierer hilfreiche Tipps gegeben zu haben, und vielleicht auch die Nerven manches Sysadmins zu schonen…

Flattr this!

Nagios: Check-Ergebnis invertieren mit negate

Dienstag, Februar 8th, 2011

Schon seit längerer Zeit hatte ich eine Idee im Hinterkopf, einen speziellen Nagios-Check zu schreiben, der das Ergebnis eines anderen Checks invertiert, d.h. meldet der Check “OK”, ist das Ergebnis “Critical” und umgekehrt. “Unknown” und “Warning” bleiben erhalten.

Dieser Check war zum Beispiel dafür gedacht, dass ein Router sich, wenn eine Standleitung ausfällt, über eine alternative Verbindung einwählt. Diese soll aber, wenn sie nutzungsabhängige Kosten verursacht, nicht ständig aufgebaut sein. Es ist also ein Ping-Check nötig, der dann alarmiert, wenn die Verbindung aufgebaut ist. Ein anderes Beispiel ist, dass man auf einem SSH-fähigen Cisco-Router sicherstellen möchte, dass telnet deaktiviert ist.

Jetzt habe ich festgestellt, dass ich nicht der einzige mit dieser Idee war, und sie offenbar schon vor einiger Zeit in dem “negate“-Check umgesetzt wurde. Dieser macht genau das oben beschriebene, und kann zusätzlich noch im Ergebnis die Zeichenketten “OK” und “WARNING” entsprechend ersetzen.

Hier ein Konfigurationsbeispiel. Man nimmt die ursprüngliche Konfiguration, um Telnet zu checken:

define command{
	command_name	check_telnet
	command_line	/usr/lib/nagios/plugins/check_tcp -H '$HOSTADDRESS$' -p 23
}

Vor die command_line stellt man dann das negate-Plugin:

define command {
        command_name    check_telnet_disabled
        command_line    /usr/lib/nagios/plugins/negate /usr/lib/nagios/plugins/check_tcp -H '$HOSTADDRESS$' -p 23
}

Und fertig ist ein Check-Command, das Alarm gibt, sobald Telnet aktiviert ist.

Flattr this!

Apache-Passwortschutz

Donnerstag, September 2nd, 2010

Wie schützt man einfach ein Verzeichnis, so daß nur mit einem Password darauf zugegriffen werden kann? Ganz einfach, erstmal legt man eine Datei namens .htaccess an, mit folgendem Inhalt:

AuthUserFile /home/user/pwd_file
AuthName "Secret Area"
AuthType Basic
require valid-user

Hierbei muss der Dateiname des AuthUserFile angepasst werden. In dieser Datei stehen die Benutzerdaten, am einfachsten pflegt man sie auf der Kommandozeile mit dem Befehl htpasswd. Der erste Befehl legt die Datei gleich an (-c):

htpasswd -cm /home/user/pwd_file username1
htpasswd -m /home/user/pwd_file username2

Flattr this!

Spam-Vorwürfe prüfen

Donnerstag, August 26th, 2010

Es kann jederzeit passieren: Man hat den Verdacht, dass ein Mailserver zum Spam-Versand missbraucht wird. Aber wie prüft man das nach? Hier zwei Tipps — Nur noch die IP-Adresse des Servers eintragen, und los gehts!

TrustedSource grapht Mailaufkommen: http://www.trustedsource.org/query.php?q=127.0.0.1

Google hilft bei der Suche in Newsgroups: http://groups.google.com/groups?scoring=d&q=127.0.0.1+group:*abuse*

Weitere Tipps nehme ich gerne in den Kommentaren entgegen!

Flattr this!

ICQ-Transport via Jabber in Adium nutzen

Dienstag, August 17th, 2010

Um weniger Accounts in meinem Instant Messenger einrichten zu müssen habe ich auf meinem Server zusätzlich zum ejabberd noch den pyICQt installiert. Die Anleitung war klar und verständlich, und der Dienst schnell eingerichtet. Doch dann die grosse Frage: Wie benutze ich ihn?

Ganz einfach:

  1. im Menü auf File -> <Jabber-Account> -> Discovery-Browser
  2. Doppelklick auf ICQ Transport
  3. im dann erscheinenden Dialog die ICQ-Zugangsdaten eingeben
  4. die auftauchenden Authorisierungsanfragen beantworten, damit alle Kontakte übernommen werden können

Flattr this!

Notizen zu ADSL-Standards

Donnerstag, August 12th, 2010

Hier einige Standards die es für ADSL gibt – Ergänzungen nehme ich gerne in den Kommentaren entgegen!

Name Beschreibung/Standard
Annex A ADSL with POTS
Annex B ADSL with ISDN
G.Lite G.992.2
G.hs G.994.1 – the modem handshaking and training specification
D.DMT/Full-Rate G.992.1
T1.413 ancestor of G.992.1
T1.413 Issue ancestor of G.992.2

Flattr this!

Safari Extensions

Samstag, August 7th, 2010

Lange mussten wir darauf warten, aber seit Safari 5 gibt es die Möglichkeit, seinen Browser offiziell mit Extensions um Funktionen zu erweitern. Ich habe es natürlich auch ausprobiert und die folgenden Extensions installiert. In ein paar Wochen kann ich dann berichten, welche noch installiert sind, und welche wieder rausgeflogen sind.

Flattr this!

Latenzzeiten im IP-Backbone

Donnerstag, August 5th, 2010

Obwohl IP-Daten theoretisch mit Lichtgeschwindigkeit reisen, haben sowohl das Medium (i.d.R. Glasfaser) als auch die beteiligte Elektronik eine verzögernde Wirkung auf die Pakete. Hier ein paar Zahlen als Richtlinie. Diese Zahlen betreffen ausschliesslich den Backbone, und nur eine Paketlaufrichtung. Je nach Zugangsart (SDSL, ADSL…) sind weitere Verzögerungen zu berücksichtigen.

von nach Verzögerung
Westeuropa USA Westküste 90 ms
USA Westküste USA Ostküste 30 ms
Innerhalb Westeuropas 40 ms
Westeuropa Afrika 150 ms
Westeuropa Nordasien 100 ms

Flattr this!

Öffentliche DNS-Resolver

Donnerstag, Juli 29th, 2010

Manchmal möchte man wissen, wie eine Domain von externen Nameservern aufgelöst wird. Da es immer weniger öffentlich erreichbare Resolver gibt, hier eine kleine Liste öffentlicher Resolver:

  • 198.6.1.1: cache00.ns.uu.net
  • 4.2.2.1: vnsc-pri.sys.gtei.net
  • 4.2.2.2: vnsc-bak.sys.gtei.net
  • 8.8.8.8: google-public-dns-a.google.com
  • 8.8.4.4: google-public-dns-b.google.com

Flattr this!

MTU bei verschiedenen Tunnelverfahren

Donnerstag, Juli 22nd, 2010

Bei vielen Protokoll-Tunneln sinkt die MTU unter den Default-Wert für Ethernet von 1500 Byte. Hier habe ich eine kleine Aufstellung, welche MTUs unter welchen Umständen erreicht werden.

Encapsulation
System
Output interface
MTU length
Tunnel interface
MTU length
Tunnel interface
MSS value
ESP-3DES/DES
ESP-SHA1/MD5
1500 1446 1406
1492 1438 1398
1454 1398 1358
ESP-AES
ESP-SHA1/MD5
1500 1438 1398
1492 1422 1382
1454 1390 1350

Flattr this!