Re: Systemueberwachung

On Fri, May 17, 2002 at 01:07:41PM +0200, Peter Ross wrote:
> Hi,
>
> für die gerade betreffende Maschine gilt, daß DNS nicht erforderlich
> ist. Es läuft lediglich ein Webserver, der sich selbst genügt (localhost,
> auch für die Datenbank) und ..
>
> sshd, der schon für die Belieferung der Daten zuständig ist. Dazu gibt es
> einen arg beschränkten Zugang, der als Shell das Importscript hat, was
> also automatisch ausgeführt wird.
>
> Außerdem nutze ich sshd, um eine neue Applikationsversion draufzuspielen
> (das läßt sich nicht vermeiden). Ansonsten hat chflags dafür gesorgt, daß
> keiner das System anfäßt. Firewall ist auch noch da.
>
> Also: sshd läuft ohnehin schon.

Kann ich verstehen.
Geht auch nur darum, das man ohne Passwort möglichst wenig machen
können sollte.

> Die "Logmaschine" befindet sich im internen Firmennetz und ist hoffentlich
> sicher genug, als daß da kein großer Unfug getrieben wird.
>
> Aber: Manchmal ist es schon notwendig, auch das System des Servers zu
> upgraden. (z.B. die mögliche DoS-Attacke nach 4.5-Release, hervorgerufen
> durch einen Fehler in einem TCP/IP-Cache). Das Update läuft ja unter
> FreeBSD ganz schön..
>
> Für diesen besonderen Fall muß ich schon mal kurzzeitig das System öffnen.

Klar.

> Das geht nicht, ohne den Securelevel runterzusetzen. Das geht nur durch
> Rebooten und dann ist ein Single-User-Boot nicht akzeptabel (wenn die
> Kiste weit weg steht).

Dafür gibt es seriele Konsolen.
Für eine wichtige Remotemaschine gehöhrt ein Konsolenzugriff einfach
dazu.
Mit DDB kannst du sogar fast alle Fälle erledigen in denen sonst ein
Power-Cycle nötig wäre - leider macht das gerade auf Alphas Ärger...

> Also brauche ich eine "kleine Schweinerei", um mal ein Booten ohne
> Securelevel hinzubekommen..
>
> Die möchte ich gern gemeldet bekommen.
>
> sendmail.. die Maschine, die gerade neben mir steht (nicht die bewußte)
> hängt derzeit z.B. beim Starten, wenn sendmail gestartet wird (es gibt
> noch keine Verbindung zur Außenwelt und damit kein DNS verfügbar). Das
> geht hier mit Ctrl-C weiter, bei dem Server JWD ist das schon schwieriger,
> wenn das mal vorkommt.

Named und Netzwerk wird lange vor dem Sendmail gestartet.
Wenn du hier ein Problem hast machst du eindeutig was falsch.

> Und die Qualität der weltweiten Verbindungen (wie oft gab es im letzten
> Jahr Paket-Ping-Pong in Frankfurt oder irgendwo jenseits des großen
> Teiches) läßt mir DNS nicht als wirklich ständig verfügbar erscheinen.
>
> Ja, und außerdem - je weniger Services, umso weniger Updates nötig
> (BTW: z.B. zuletzt oft erwähntes und auch von mir genutztes rsync hatte
> auch gerade ein Loch).

DNS-Client != DNS-Service.
Komplett auf DNS zu verzichten halte ich für keine wirklich gute Idee.
Was den rsync angeht, so packt man den eh am besten hinter ssh oder
einen SSL-Wrapper der erst bei Keyidentifizierung durchreicht.
Das schöne an SSL ist, das der Client sich als erstes Melden muss
und man wunderbar FreeBSDs Acceptfilter nutzen kann.
Du willst ja schliesslich keinen Öffentlichen rsync anbieten.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message