Zabbix Server hängt bei einem Neustart

Photo by Kent Pilcher on Unsplash

Nach dem heutigen Kernelupdate musste ich feststellen, dass unseren Zabbixserver bei einem Reboot immer noch eine vom Maintainer falsch ausgerollte Einstellung plagt. Ein Reboot ist nicht möglich, da in der zuständigen Servicedatei für den SystemD ein TimeoutSec=infinity gesetzt ist. Erst der Zeitwert des forcierten Neustarts würde dem ein Ende setzen

In der Datei /lib/systemd/system/zabbix-server.service sollte ein für den Server passender Wert eingesetzt werden.

[Unit]
Description=Zabbix Server
After=syslog.target
After=network.target

[Service]
Environment="CONFFILE=/etc/zabbix/zabbix_server.conf"
EnvironmentFile=-/etc/default/zabbix-server
Type=forking
Restart=on-failure
PIDFile=/run/zabbix/zabbix_server.pid
KillMode=control-group
ExecStart=/usr/sbin/zabbix_server -c $CONFFILE
ExecStop=/bin/kill -SIGTERM $MAINPID
RestartSec=10s
TimeoutSec=240

[Install]
WantedBy=multi-user.target

Meilensteine der Woche KW 30 bis 33 2016

Meilensteine sind immer so eine Sache des eigenen Bedürfnisses etwas in die Richtung gebracht zu haben, in welche man gehen möchte. Des öfteren sage ich aber auch Nein wenn es darum geht einen Meilenstein in Angriff zu nehmen. Das kostet mehr Arbeit als etwas schlampig vor die Füsse zu werfen und die Sintflut nach einem walten zu lassen

Weiterlesen

Wer keine sichere Anleitung schreiben kann, soll es lassen

Ich bin immer wieder fasziniert, wenn Jemand eine Anleitung schreibt und gleich mal die Sicherheit eines Betriebssystems ohne ein weiter Wort zu verlieren aushebelt.

Ich meine, es gibt Momente an welchen man es ohne Wissen macht, weil man es nicht besser weiß, oder schlicht und einfach absolut keine Ahnung hat von dem was man schreibt. Ich denke an letzteres in solchen Momenten. Man sollte sich immer im klaren darüber sein, dass ein Beginner kommt und die Anleitung befolgt und sich damit ein feines Sicherheitsloch in sein System/Netzwerk reißt, sprich man hat eine Art von Fürsorgefunktion in diesem Moment.

Mein Stein des Anstoßes ist diesmal eine Anleitung auf HowToForge.com für Nagios unter Ubuntu .
Mir wird quälender Weise auf den ersten zwei Seiten erklärt wie man Ubuntu installiert, also richtet sich die Anleitung scheinbar an Einsteiger.
Dann kommt der nette Part auf Seite 3: Now We Will Disable AppArmor
Warum, wieso, weshalb?!?!?!
Sagt der Schöpfer des Artikels nicht.
Ich meine AppArmor hat seine Bewandtnis, es implementiert MAC (Mandatory Access Control).
Die andere Variante nennt sich SELinux (wird auch gerne bei Anleitungen ausgeschaltet)

Einfach gesagt kann man damit die Zugriffsrechte von Prozessen steuern.
Will mir nun Jemand sagen, dass Nagios kein Prozess ist?
Also wäre es nicht eher faszinierend, wenn ich eine Distribution einsetze die eine solche Kontrollinstanz nutzt, zu erklären wie man diesen Schutz genau für diesen Dienst konfiguriert anstelle den Dummerweise abzuschalten?
Aber vielleicht hatte er nur drei Seiten zur Verfügung und eine Installation von Ubuntu ist wirklich so Heavy, dass man sie mit Screenshots darstellen muss, ist ja in keiner weiteren Anleitung auf HowToForge zu lesen.

Lustigerweise wird auf der ubuntueigenen Wikiseite für diese Server-Version kein Hinweis dafür gegeben AppArmor abzuschalten: Ubuntu Documentation > Ubuntu 10.04 > Ubuntu Server Guide > Monitoring > Nagios
Und hätte der HowToForge-Schöpfer mal geschaut: Ubuntu Documentation > Ubuntu 10.04 > Ubuntu Server Guide > Security > AppArmor
Und nun der Klopper auf Kernel.org : Mod apparmor examples nagios
Das kein Wort zu Postfix weiter gesagt wird außer Make sure you select Smarthost option when installing Postfix lasse ich mal aussen vor….

Somit kann ich nur Bitten, wenn man eine Anleitung liest und von einem gefordert wird Sicherheitsmechanismen auszuschalten… Lasst es.
Schaut lieber wie man diese Dienst konfiguriert, damit Eurer Dienst sicher und rund läuft, denn eine 0Day ist nie weit und kann jeden gefährden. Vor allem bei einem Dienst der über Netzwerk kommuniziert.

Gedanken über weise Worte aus meinem Feedreader

Immer wieder freue ich mich mit meiner Meinung nicht Alleine zu sein.
Da gibt es verschiedene Gruppen auf dem verschiedensten Derviaten von Linux oder Unix.
Die einen brauchen eine BlingBling-Gui und klicken sich mit Compiz Happy, oder brauchen die neuste Desktoperrungenschaft, welche Platz schaffen soll und natürlich Buttons und Effekte hat. Die Anderen wünschen sich Ihr altes DE zurück weil die neue Version doch wirklich zu Web2.0 orientiert oder $EINSETZEN ist.
Und dann haben wir eine Fraktion, die sich Portabilität wünscht, vielleicht ein DE benutzt, oder vielleicht gerade ein WM, oder vielleicht überhaupt keinen WM.
Bei mir hat der WM einen Nutzen, Opera am laufen zu haben und eine Bürosoftware zu nutzen. Den Rest macht bei mir Screen seit langem bestens, ja ich habe tmux noch keine Chance gegeben, kommt vielleicht noch. Ich lasse mich auch nicht bequarken, dass manche wmii/dwm/Konsorten besser finden, ich lasse Ihn auch obwohl tumovo Ihn schon aufgegeben hat.
*Ohh es schneit*
Jeder lebt nach seinem Gusto und findet es toll.
Ich binde meine Laufwerke per pmount ein, nutze gerne worker und auf einem netbook habe ich viel Platz, da ich keinen Platz verschwende für ein Menü, oder sonstiges.
Warum ich das schreibe?
Man lese mal den Text von Christian Schneider Wie kannst du auf deiner GUI überhaupt arbeiten??. Die Frage kenne ich nur zu gut und ich frage mich immer wieder, ob jene oder ich Probleme habe.
Ich glaube ich habe genau Probleme dadurch, wie mir der Text von akephalos the sorry state of the «UNIX»-desktop weiterdenken lässt. Es treffen Welten aufeinander, welche nicht verschiedener sein können. Das ganze zeigt sich dann weiter auf den nächsten zwei Artikeln auf Veni, Vidi, VISA Meine Wishlist bei Programmen und Stinkende Linuxscheisse (Man hätte den Titel auch positiver Umschreiben können, imho, aber ich weiss was er meint). Ja, bei vielen ist die Kacke am Dampfen und wie es so schön gesagt wird auf Fixmbr

Fixmbr.de: Desktop on the Linux (and BSD, of course)
Selbst bei exzellenter Recherche hätte er sich beinharten «Fanboys» gegenüber gesehen, die Nestbeschmutzer in Grund und Boden flamen. Fundamentale Kritik ist in Open Source Reihen in der Regel nur gegenüber anderen «kommerziellen» Systemen drin …

Wo bringt uns das Ganze hin. Ich meine dem à„rger Luft zu machen. Ich bin noch ganz Zufrieden mit FreeBSD und Debian, aber bei anderen Systemen bekomme ich einen kleinen Anfall. Ich finde es schön, wenn man versucht Anwendern ein System einfach zu machen, dass heisst aber nicht, dass vielleicht alle Systeme diesem Gusto folgen sollten und dann manch ein Programmierer Dinge macht ,die man einfach nicht tun sollte.
Wenn ich von manchem den Klopper höre, dass mein Debian veraltet ist, weil ein toller Programmierer doch die allerneuste lib braucht und nur noch damit funktioniert, weil der Button dann so schön blinkt, oder ein anderer GUI-Gimmick vorhanden ist, oder …
Faszinierend, dann muss ich mir anhören ich soll auf ein unstable wechseln, oder doch bitte Ubuntu nehmen. Wie meinen ?!?!?!?
Ich habe mich lange gegen so etwas gewehrt und Backporting betrieben wo es mir mit meinen begrenzten Möglichkeiten möglich war. Als Summe der Aktion wurde ich freundlich hingewiesen doch bitte die Sourcen bereit zu stellen von dem Orginal, welches kein Problem war. Was danach folgte waren beautified Hasstiraden in meinem Mailordner was für ein $MANSUCHESICHWASAUS ich sei, weil gerade ich gegen die GPL verstosse.
Vielleicht teilweise von den Leuten welche die Files nutzten. Auch wurde ich angeblafft, obwohl ich ausdrücklich einem Repo wiedersprach, warum ich kein Repo mache. Die Antwort war einfach, man komme auf meine Seite um sich sicher zu sein, dass man Fremdsoftware nicht von Debian und dem Developer installiert. Kein Support und wenn ich es nicht schaffe keine Updates. Das Ganze müdete in eine DownVote-Aktion auf einer bekannten Softwareseite.
Komisch hätte man auf der openSource-Softwareseite mal geschaut, dann hätte man dort das File subscriben können und auch die Updates mitbekommen.
Heutzutage startet eine Manie in dem OpenSource-Bereich die weit davon entfernt ist von dem was ich von damals her kannte. Featureitis hardcoded als Norm.
Die Faszination geht so weit, dass sich Android nicht einmal stark um seine Sicherheit sorgen muss ( Metasploit Blog: Mobile Device Security and Android File Disclosure um nur eines zu nennen), da sich die meisten nicht wirklich dafür Interessieren, Faktum ist, es ist ja wichtiger den neuesten Launcher, Angry-Birds oder sonst einen Gimmick-Krümel zu haben.
Nochmals Dank an die XDA-Developers für mein Froyo auf den G1 und mir zu zeigen, dass ich mehr an Android ändern kann als ich dachte.
Zu was bringt mich das Alles?
Mich bringt es zu dem Punkt zu sehen, dass die Kluft immer größer wird zwischen jenen die Unix/Linux nutzen und jenen die es benutzen. Auf welche das System ausgerichtet wird, liegt nur an denjenigen, welche es programmieren und vielleicht eines Tages tut sich doch ein kleiner Gedanke auf, dass Linux/Unix doch für den Desktop schon länger bereit ist, denn ich nutze es an jedem Tag und dies seit 10 Jahre absolut. Die Schwiegermutter seit 3 Jahren und sie vermisst nichts und es gibt sogar Menschen mittlerweile, welche kein Windows oder MacOSX auf den Desktop benutzt haben. Nur wenn man einer großen Gemeinschaft mit geringem Interesse an dem System dauerhaft nachläuft und es Ihnen Recht zu machen versucht, obwohl dies nie wirklich absolut geht, dann macht man einen Fehler.
Einen Fehler den auch ich begangen habe in der Vergangenheit.
Somit, Unix und Linux soll Ecken und Kanten haben, Funktionstüchtig und vor allem wenigstens so weit kompatibel sein, dass man sich gegenseitig in den großen Dingen, wie einem DE , einem Dateimanager, einem Browser helfen und teilen kann. Meiner Meinung liegt hierin einer der Gedanken von OpenSource und nicht in dem bigger, wider, boulder, awesome,awesome to the max …
Manchmal können die kleinen Dinge wie ein mutt ohne Cal-Support besser sein, als eine komplette „Evolution“

Ubuntu LTS und stable…

Universe ein Repository bei Ubuntu mit viel Software, welche norm ein Mensch braucht.
Wenn ich ein LTS Release vor mir habe, gehe ich davon aus, dass nach Monaten des Release sich manche Menschen darum kümmern, dass Ihre Software läuft. Es ist ja ein lang unterstütztes Debianderivat. Ich wiederhole Derivat.
Mein Auftrag war es mir UCK, dem Ubuntu Customizing Kit eine DVD zu erstellen, welche alle belange für Ihn beinhaltet und somit für Ihn als Installations-CD/DVD fungiert. Ich akzeptiere es, dass Er kein Debian möchte, das war mein erster Vorschlag.
Somit setze ich mich hin, installiere mir auf einen freien Rechner fix UCK und mache mir an die Arbeit. Nette 7 Stunden feinstes Hacking, inkl Desktop-Einstellungen, Programme und und und. Eigentlich schon das ganze System geforkt.
Nachdem ich Fertig war, das Ding passte zum Glück noch auf eine DVD (~3GB), feuere ich den Buildprozess an und wollte gerade mit dem Hund rausgehen.
BAM:

Saving apt cache
 Cleaning up apt
 Removing customize dir...
 Cleaning up temporary directories...
 Restoring /root directory...
 rm: cannot remove directory `/root/.gvfs': Device or resource busy
 Cannot remove /root directory, error=1

Ich dachte ich sehe nicht richtig, also nochmal den Prozess per Script starten wollen, UCK wollte nicht mehr.
Vor allem löschte es mir auf einmal meine remaster-root ohne Nachfrage. Ich bin Nachfragen nicht gewohnt, warum auch, wenn aber etwas gelöscht wird, wie z.B. ein Arbeitsordner per Hand, gelitten, wenn dies ein Programm macht, Lamer.
Ich mache mich auf die Suche und finde den netten Bug #572108 vom 2010-04-30. Wir haben den 2010-06-19.
Nein, wir schubsen keinen Bugfix nach, warum denn, wartet bis Version 2.2.0 released wird. Installiert wird 2.1.2. Moment, wieso nicht eine 2.1.3 oder ähnliches reinfixen?
Ganz offen Ubuntu, mehr sage ich nicht. Zum Glück habe ich die package-selections die sources.list und die à„nderungen, Egal.
Ich schreibe ein Script und es muss nun halt losgefeuert werden nach der Installation. Fertig aus.
Und Ubuntu hat bei mir langsam einen schlechteren Ruf als Vista und 7. Wo Windows noch ein Longhorn hatte, ist Ubuntu für Short-Horns. Denn dies ist nicht der einzige Bug, welche so richtig gemütlich in der Form dort durch die Gegend segelt. Vielleicht nicht Schuld der Distribution, aber wenn die Entwickler den Bug kennen und nicht einmal Ihre fehlerhafte Software aus dem Repository nehmen, dann steht es schon einmal schlecht für die Distribution. Und ich kenne noch andere Bugs in Ubuntu/Main welche seit langem mitgeschleppt werden. Aber die Gui, ja die ist Toll für Anfänger und jene sollen sich ja von Windows kommend heimisch fühlen.
IT’s not a bug, it’s a Windows-Feature in our Distribution…
Danke UCK-Entwicklerteam, wer machte Euch zu Motu?
Ps: Der nächste der Schreit Debian sei veraltet wenn stable released, begreift es nicht und wird auch nie ein Unix wie AIX, *BSD anrühren… Geht Facebooken
Sauer ist nur noch ein kleine Beschreibung desssen was ich bin, 1stens meine eigene Dummheit so etwas zu trauen, zweitens die Zeit vergeblich verblasen, 3tens das Geld welches mir flöten ging

Der Unixer, Ottonormaluser und Ubuntu

Ja, so ist das. Es gibt mittlerweile viele Menschen die Linux nutzen möchten und ich kann leider in dem Punkt nur Ubuntu empfehlen. Gerne installiere ich auch mit Jemanden Debian, aber die Krux als freier Supporter bei Debian vorhanden zu sein ist definitiv größer als bei Ubuntu, Egal zu welcher Uhrzeit und vor allem welche/s Herausforderung/Problem. Es ist nicht wie bei meiner Partnerin in der Arbeit, dass Jemand permanent auf Linux schimpft, weil er ein „WindowsPower-User“ ist und in Wirklichkeit keine Ahnung von Windows in dem Sinne hat, wie es sich ein Admin wünscht, schon im Ganzen nicht von Scriptsprachen, oder der Softwarehierachie versch. Betriebssysteme. Aber Er scheint sich wacker mit seinen Sprüchen zu halten;)

Es sind die Menschen nebenan, die gerne mal eine Mail schreiben, im Internet surfen und MSN/Skype/ICQ nutzen und damit hat es sich fast. Somit, Ihr versteht was ich meine, es ist Ottonormal. Unser Ubuntu-Ottonormaluser, ich nenne Ihn nun kurz uou, wollte gerne Doom3 spielen, welches nicht unter Linux eine Herausforderung darstellt, oder darstellen sollte. Es wurde nicht der Loki-Installer genommen, sondern das ganze wurde mit CrossoverGames installiert ( Ich hatte noch ein par Lizenzen) und somit fing der ganze à„rger an. Als erstes monierte CrossoverGames, dass der Nvidia-Treiber, welcher von Ubuntu propagandiert wird zu alt sei WTH. Dies erstmal ignoriert das Spiel installiert und Super ist sich. Nach einer glxinfo-Abfrage in der Shell ergab sich, dass der Treiber installiert sei, aber nur der Besitzer root und die Gruppe video darf /dev/nvidia0 und /dev/nvidiactl lesen und schreiben. Ich könnte mich nun hinsetzen und eine Regel für udev schreiben, aber dies kann nicht der Weg sein und habe den Benutzer in die Gruppe video hinzugefügt. Nach einem Reboot lief auch Doom3 samt Bumpmaps wie erwartet und es war eine Freude wirklich mal schnelle Frames zu sehen, welches auch uou im Gegensatz zu seinem Vista auffiel. Da ich wusste, dass es Updates für Ubuntu gibt, man hat ja Linuxsecurity als Feed wollte ich uou zeigen wie er auf der Shell seine Updates macht. Ein sudo -s in die Bash geschickt, ouo-Passwort eingegeben, als Antwort bekam ich, dass /bin/bash nicht von dem Benutzer als root ausgeführt werden darf. Heruntergefahren in dem DuDarfstAllesModus hochgefahren und sich mal als root mit visudo die Datei /etc/sudoers angeschaut. Ich konnte keinen Fehler entdecken. Somit in /etc/group per vi und was sehe ich da, ouo ist nur in seiner Gruppe und video, aber nicht in der Gruppe adm, dialout, cdrom, plugdev, lpadmin, admin, vboxusers und sambashare. Somit den Benutzer ouo hinzugefügt das System neu gestartet und siehe da, alles wieder im rechten Lot.

Für mich stellt sich nun die Frage, wenn Ubuntu schon so einfach sein soll, wie soll ein OttonormalUser diese Systeminterna kennen und damit klar kommen und vor allem, warum setzten die Ubuntumaintainer nicht bei der Installation des NVidia-Treiber die /dev-Regeln so, dass dev/nvidia0 und /dev/nvidiactl auf 666 gesetzt, oder der Ottonormaluser in die Gruppe video kommt? Unter Debian akzeptiere ich das Verhalten, denn ich muss den Treiber wirklich per Hand einspielen. Somit, Ubuntu wischt einem nicht wirklich den Hintern, es wird immer wieder Jemand gebraucht, welcher sich wirklich mit den Internas auskennt, ich kenne nur Debian und kann nicht immer auf Ubuntu schliessen, denn die Automagie ist etwas komisch gehandhabt und meiner Meinung nach, ist es Zeit für ein neues Ubuntu, sprich von Grundauf mit Debian wiederum als Basis. Vielleicht kann Ubuntu dann den Desktop komplett erobern ( damit meine ich Weltweit gute 20%), nur sollte es dann soweit kastriert sein, dass es sich wirklich um ein reines Desktopsystem handelt, ohne große „Ich-kann-auch-Server“-Plenkeleien.

Evolution means PITA

Ich habe Jemanden Ubuntu installiert, Er wollte es so und ist wirklich Happy damit. Aber wie viele andere kann er Evolution nicht leiden und hat sich für Claws-Mail entschieden. Und hier kommen wir zu einem Bug, welcher mir schon von Debian sehr bekannt her ist: Die deinstallation von Evolution haut einem richtig schön das System weg. Ich habe also Ubuntu in einer VM aufgesetzt, mir das ganze nochmal angeschaut und versucht ohne das System in einem Wahnsinn enden zu lassen Evolution zu deinstallieren. Lasst es, es geht nicht. Somit habe ich mich einmal im Netz umgeschaut und nach einer Lösung gesucht. Vielen Benutzern scheint das massiv schlecht aufzuschlagen und ein netter Kommentar fiel in einem Ubuntuforum:

Yup, it seems to be the Internet Explorer of the Ubuntu world.

So ist das. Auch der Bug, welcher nun mehrmals gemeldet wurde in eine Frage geändert und am Schluss mit der lapidaren Antwort, dass man sich doch an die Developer wenden solle beantwortet. Ja, genau, das hatte er doch mit dem Bugreport gemacht. Unglaubliche Ignoranz und so etwas nennt man Freiheit? Man kann Evolution nicht wirklich als absolute Abhängigkeit definieren. Ich denke in dem Punkt sollte man langsam einen anderen Weg gehen und dem Anwender den MUA wählen lassen. Und wenn für das gnome-panel das als Abhängkeit gewählt wurde für den Kalender, dann ist das schlichtweg Falsch.