Archive for the ‘networking’ Category

Netzwerk-Kabel-Automat

Freitag, April 1st, 2011

Als Netzwerktechniker ist man im Rechenzentrum manchmal ein wenig aufgeschmissen. Man hat alle Geräte dabei, die eingebaut werden sollen, die Schränke sind vorbereitet und der Strom ist gelegt. Aber dann fehlen einem Kleinteile im Wert von wenigen Cent, die einen Strich durch die Rechnung und die Zeitplanung machen.

Wir buchen, Sie fluchenDie Kollegen von FlexOptix haben kürzlich auf der CeBit den Gearomat vorgestellt. Ein ähnliches Produkt haben wir, ebenfalls unter größter Geheimhaltung, für unser Rechenzentrum entwickelt. Den Automatic Cable Dispenser können Sie demnächst in unseren Rechenzentren finden und benutzen. Nach der Testphase unserer Prototypen werden wir sie auch anderen Interessenten anbieten.

Am Automatic Cable Dispenser können Sie eingeben, welche Länge das gewünschte Netzwerkkabel haben soll, von welchem Typ und mit welchen Steckern es ausgestattet sein soll. Je nach Kabeltyp haben Sie ausserdem die Wahl zwischen verschiedenen Farben. Nach Eingabe dieser Parameter wird das Kabel in gewünschter Länge ausgegeben. Ein zweiter Ausgabeschacht liefert den benötigten Stecker und eventuelles Zubehör aus.

Mit Hilfe der am Automaten befestigten Crimpzange können Sie dann den oder die Stecker montieren. Hierbei wird auf dem Mehrfarbdisplay eine bebilderte Anleitung angezeigt. Ausserdem bietet der Automatic Cable Dispenser Testanschlüsse für alle angebotenen Stecker- und Kabeltypen. Das Ergebnis dieser Kabelmessung wird gespeichert und auf Wunsch auf Thermopapier ausgedruckt.

Die Zahlung erfolgt Bargeldlos, entweder per Kredit- oder Geldkarte, oder mit der Rechenzentrums-Zugangskarte über die nächste Rechnung.

Tipps von Sysadmin zu Webentwickler

Dienstag, März 15th, 2011

Als Systemadministrator beobachtet man bestimmte Fallen immer wieder, in die unerfahrene Entwickler von Webanwendungen tappen. Ich habe hier die Top Ten der mißachteten Punkte zusammengestellt:

  1. Ruft regelmässige Aufgaben über richtige Cronjobs auf, nicht mit Curl/wget/lynx per HTTP, setzt eine E-Mail-Adresse als Empfänger der obigen Cronjobs, die ganz sicher immer funktioniert, und produziert in euren Cronjobs nur dann eine Ausgabe, wenn Fehler auftreten. Keine Debuginfos, zwischen denen echte Fehler einfach untergehen, weil die Mail eh jeden Tag kommt — kurz, schreibt ordentliche Cronjobs
  2. Entwickelt von vornherein in UTF-8, früher oder später kommen Finnen, Franzosen, Dänen, Asiaten, mit lustigen Sonderzeichen
  3. Achtet auf sinnvolle Rechtevergabe, prüft, unter welchem User die Webanwendung per Webserver aufgerufen wird, und mit welchen Privilegien ihr per SSH oder FTP auf die Daten zugreift. Setzt sinnvolle Gruppenrechte oder veranlasst, dass alles unter der selben UID läuft — z.B. per suPHP
  4. Kalkuliert die Datensicherung ein, vor allem daß während eines Datenbank-Snapshots z.B. per mysqldump oft ein globales Write-Lock verhängt wird
  5. Legt gerade bei ausfallsicheren Plattformen auch die Cronjobs entsprechend an — entweder mit globalem Locking oder so, daß auch mehrere gleichzeitig arbeiten können
  6. Baut von vornherein vernünftige Fehlerseiten und Fehlerbehandlung, die so wenig Abhängigkeiten wie möglich haben. Nichts ist peinlicher als die Meldung Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
  7. Bereitet eine Wartungsseite vor, die alle Anfragen sauber beantwortet, wenn die Anwendung mal aktualisiert wird oder aufgrund von technischen Problemen deaktiviert werden muss. Teilt eurem Hoster mit, wie diese Seite aktiviert werden kann, falls mal etwas schlimmes schiefgeht
  8. Stellt sicher, dass zumindest eure Kollegen und der Hoster die Fehlerseite von der Wartungsseite unterscheiden können. Sonst wird im Ernstfall der Sysadmin die Fehler-Wartungsseite zu sehen bekommen und von Wartungsarbeiten ausgehen, wenn vielleicht gerade die Datenbank Probleme macht
  9. Legt nur solche Infos im Cache ab, deren Erzeugung wirklich Rechenzeit spart — Datenbankabfragen sind schneller als ein Festplattenbasierter Cache, und eine Datenbank ist Backup-tauglicher
  10. Räumt von vornherein eure Daten auf — wenn z.B. die an User verschickten Mails erstmal dreistellige Gigabyte in der Datenbank belegen, ist es zu spät

Ich hoffe, damit dem ein oder anderen angehenden Programmierer hilfreiche Tipps gegeben zu haben, und vielleicht auch die Nerven manches Sysadmins zu schonen…

Nagios: Check-Ergebnis invertieren mit negate

Dienstag, Februar 8th, 2011

Schon seit längerer Zeit hatte ich eine Idee im Hinterkopf, einen speziellen Nagios-Check zu schreiben, der das Ergebnis eines anderen Checks invertiert, d.h. meldet der Check “OK”, ist das Ergebnis “Critical” und umgekehrt. “Unknown” und “Warning” bleiben erhalten.

Dieser Check war zum Beispiel dafür gedacht, dass ein Router sich, wenn eine Standleitung ausfällt, über eine alternative Verbindung einwählt. Diese soll aber, wenn sie nutzungsabhängige Kosten verursacht, nicht ständig aufgebaut sein. Es ist also ein Ping-Check nötig, der dann alarmiert, wenn die Verbindung aufgebaut ist. Ein anderes Beispiel ist, dass man auf einem SSH-fähigen Cisco-Router sicherstellen möchte, dass telnet deaktiviert ist.

Jetzt habe ich festgestellt, dass ich nicht der einzige mit dieser Idee war, und sie offenbar schon vor einiger Zeit in dem “negate“-Check umgesetzt wurde. Dieser macht genau das oben beschriebene, und kann zusätzlich noch im Ergebnis die Zeichenketten “OK” und “WARNING” entsprechend ersetzen.

Hier ein Konfigurationsbeispiel. Man nimmt die ursprüngliche Konfiguration, um Telnet zu checken:

define command{
	command_name	check_telnet
	command_line	/usr/lib/nagios/plugins/check_tcp -H '$HOSTADDRESS$' -p 23
}

Vor die command_line stellt man dann das negate-Plugin:

define command {
        command_name    check_telnet_disabled
        command_line    /usr/lib/nagios/plugins/negate /usr/lib/nagios/plugins/check_tcp -H '$HOSTADDRESS$' -p 23
}

Und fertig ist ein Check-Command, das Alarm gibt, sobald Telnet aktiviert ist.

Apache-Passwortschutz

Donnerstag, September 2nd, 2010

Wie schützt man einfach ein Verzeichnis, so daß nur mit einem Password darauf zugegriffen werden kann? Ganz einfach, erstmal legt man eine Datei namens .htaccess an, mit folgendem Inhalt:

AuthUserFile /home/user/pwd_file
AuthName "Secret Area"
AuthType Basic
require valid-user

Hierbei muss der Dateiname des AuthUserFile angepasst werden. In dieser Datei stehen die Benutzerdaten, am einfachsten pflegt man sie auf der Kommandozeile mit dem Befehl htpasswd. Der erste Befehl legt die Datei gleich an (-c):

htpasswd -cm /home/user/pwd_file username1
htpasswd -m /home/user/pwd_file username2

Spam-Vorwürfe prüfen

Donnerstag, August 26th, 2010

Es kann jederzeit passieren: Man hat den Verdacht, dass ein Mailserver zum Spam-Versand missbraucht wird. Aber wie prüft man das nach? Hier zwei Tipps — Nur noch die IP-Adresse des Servers eintragen, und los gehts!

TrustedSource grapht Mailaufkommen: http://www.trustedsource.org/query.php?q=127.0.0.1

Google hilft bei der Suche in Newsgroups: http://groups.google.com/groups?scoring=d&q=127.0.0.1+group:*abuse*

Weitere Tipps nehme ich gerne in den Kommentaren entgegen!

ICQ-Transport via Jabber in Adium nutzen

Dienstag, August 17th, 2010

Um weniger Accounts in meinem Instant Messenger einrichten zu müssen habe ich auf meinem Server zusätzlich zum ejabberd noch den pyICQt installiert. Die Anleitung war klar und verständlich, und der Dienst schnell eingerichtet. Doch dann die grosse Frage: Wie benutze ich ihn?

Ganz einfach:

  1. im Menü auf File -> <Jabber-Account> -> Discovery-Browser
  2. Doppelklick auf ICQ Transport
  3. im dann erscheinenden Dialog die ICQ-Zugangsdaten eingeben
  4. die auftauchenden Authorisierungsanfragen beantworten, damit alle Kontakte übernommen werden können

Notizen zu ADSL-Standards

Donnerstag, August 12th, 2010

Hier einige Standards die es für ADSL gibt – Ergänzungen nehme ich gerne in den Kommentaren entgegen!

Name Beschreibung/Standard
Annex A ADSL with POTS
Annex B ADSL with ISDN
G.Lite G.992.2
G.hs G.994.1 – the modem handshaking and training specification
D.DMT/Full-Rate G.992.1
T1.413 ancestor of G.992.1
T1.413 Issue ancestor of G.992.2

Safari Extensions

Samstag, August 7th, 2010

Lange mussten wir darauf warten, aber seit Safari 5 gibt es die Möglichkeit, seinen Browser offiziell mit Extensions um Funktionen zu erweitern. Ich habe es natürlich auch ausprobiert und die folgenden Extensions installiert. In ein paar Wochen kann ich dann berichten, welche noch installiert sind, und welche wieder rausgeflogen sind.

Latenzzeiten im IP-Backbone

Donnerstag, August 5th, 2010

Obwohl IP-Daten theoretisch mit Lichtgeschwindigkeit reisen, haben sowohl das Medium (i.d.R. Glasfaser) als auch die beteiligte Elektronik eine verzögernde Wirkung auf die Pakete. Hier ein paar Zahlen als Richtlinie. Diese Zahlen betreffen ausschliesslich den Backbone, und nur eine Paketlaufrichtung. Je nach Zugangsart (SDSL, ADSL…) sind weitere Verzögerungen zu berücksichtigen.

von nach Verzögerung
Westeuropa USA Westküste 90 ms
USA Westküste USA Ostküste 30 ms
Innerhalb Westeuropas 40 ms
Westeuropa Afrika 150 ms
Westeuropa Nordasien 100 ms

Öffentliche DNS-Resolver

Donnerstag, Juli 29th, 2010

Manchmal möchte man wissen, wie eine Domain von externen Nameservern aufgelöst wird. Da es immer weniger öffentlich erreichbare Resolver gibt, hier eine kleine Liste öffentlicher Resolver:

  • 198.6.1.1: cache00.ns.uu.net
  • 4.2.2.1: vnsc-pri.sys.gtei.net
  • 4.2.2.2: vnsc-bak.sys.gtei.net
  • 8.8.8.8: google-public-dns-a.google.com
  • 8.8.4.4: google-public-dns-b.google.com