книги хакеры / журнал хакер / 118_Optimized

ХАКЕР.PRO

Чтобы пример сделать интереснее, настроим мониторинг удаленного сервера, работающего под управлением Windows.

МониторингWindows-систем

В подкаталоге objects есть готовые шаблоны объектных файлов для большинства случаев. В качестве шаблона настройки возьмем windows.cfg. Подключаем его, сняв комментарий в nagios.cfg:

cfg_file=/usr/local/nagios/etc/objects/ windows.cfg

Теперь открываем windows.cfg и правим:

$sudonano/usr/local/nagios/etc/objects/windows.cfg

#Описание узла (IP адрес, имя) define host{

; Наследование дефолтных значений из шаблона use windows-server

host_name server01 alias Windows Server address 192.168.1.20

}

#Описание контролируемых сервисов

define service{

use generic-service host_name server01

service_description NSClient++ Version

# Команда для проверки

check_command check_nt!CLIENTVERSION

}

#Контроль загрузки процессора define service{

use generic-service host_name server01 service_description CPU Load

check_command check_nt!CPULOAD!-l 5,80,90

}

#Расход оперативной памяти

define service{

use generic-service host_name server01

service_description Memory Usage check_command check_nt!MEMUSE!-w 80 -c 90

}

# Чтобы добавить контроль конкретного сервиса (например Explorer), используем конструкцию: define service{

use generic-service host_name server01 service_description Explorer

check_command check_nt!PROCSTATE!-d SHOWALL -l Explorer.exe

}

Описание параметров можно найти в указанном файле и конфиге клиента (о нем чуть ниже). Теперь на сервер под управлением Windows необходимо установить программу-клиент

NSClient++. На странице для закачки sf.net/projects/nscplus

можно слить zip-архив или установочный файл. Обрати внимание, что для 32- и 64 битных систем берутся разные файлы. Установка msi-файла стандартна — в случае zip-архива его нужно распаковать, а затем, перейдя в этот каталог, ввести в

окне терминала две команды:

>>

ХАКЕР

Веб-интерфейс Nagios

>nsclient++ /install

>nsclient++ SysTray

После этого в консоли «Службы» появится новый сервис. Вызываем окно свойств, переходим на вкладку «Вход в систему» и взводим флажок «Разрешить взаимодействие с рабочим столом». Запустить ее можно, введя в

терминале:

> nsclient++ /start

Ахтунг! Перед запуском измени параметры в конфигурационном файле NSC.ini, который находится в подкаталоге, где установлен NSClient++. Несмотря на то, что параметров внутри много, зачастую достаточно просто снять комментарии.

ФайлNSC.ini

[modules]

#Снимаем ремарки с нужных модулей

#(есть и другие, но они пока находятся в стадии тестирования)

FileLogger.dll

CheckSystem.dll

CheckDisk.dll

NSClientListener.dll

NRPEListener.dll

SysTray.dll

CheckEventLog.dll

CheckHelpers.dll

CheckWMI.dll

[Settings]

#Пароль для доступа

password=secret-password

#Узел или узлы, которым разрешено подключение allowed_hosts=192.168.1.100

[NSClient]

#Порт, на котором будет работать NSClientListener.dll port=12489

Если был установлен пароль доступа к клиенту NSClient++, то следует изменить команду для подключения. Команды описываются в файле commands. cfg. По умолчанию он уже подключен в nagios.cfg, но не поленись проверить, так ли это.

сfg_file=/usr/local/nagios/etc/objects/commands.cfg

Для считывания данных и передачи их серверу используется плагин check_nt, входящий в стандартную поставку Nagios. Открываем

commands.cfgи приводим запись check_ntк следующему виду, указав

после параметра '-sм'пароль для доступа.

$sudonano/usr/local/nagios/etc/objects/commands.cfg

define command{ command_name check_nt

command_line $USER1$/check_nt -H $HOSTADDRESS$ -p 12489 \ -s secret_password -v $ARG1$ $ARG2$

}

Потрать время на изучение этого файла! Это снимет ряд вопросов о том, как работает Nagios. После всех изменений проверяем конфиги и перезапус-

каем Nagios:

$ sudo /usr/local/nagios/bin/nagios -v /usr/local/ nagios/etc/nagios.cfg

$ sudo /etc/init.d/nagios reload

Теперь программа проведет сбор информации, после чего данные будут доступны через веб-интерфейс.

Отправкаоповещений

Как уже было сказано, Nagios может не только собирать статистику, но и оповещать при возникновении проблем. Две команды notify-host-by-email

и notify-service-by-email, описанные в commands.cfg, позволяют отсылать предупреждения на e-mail. Но чтобы они работали, в Ubuntu необходимо установить пакет mailx и изменить путь в описании с /bin/mail на / usr/bin/mail (или сделать соответствующий симлинк). Куда отправлять сообщение, описывается в файле contacts.cfg.

$sudonano/usr/local/nagios/etc/objects/contacts.cfg

define contact{ contact_name nagiosadmin alias Nagios Admin

# Период оповещения service_notification_period 24x7 host_notification_period 24x7

#Параметры состояния объектов u = unknown (неизвест-

ное), w = warning (предупреждение), c = critical (крити-

ческое), r = recoveries (восстановлено), f = старт/стоп, n = none (отключение уведомлений)

service_notification_options w,u,c,r host_notification_options d,u,r

#Тип оповещения из commands.cfg

service_notification_commands notify-by- email,notify-by-epager

host_notification_commands host-notify-by- email,host-notify-by-epager

# Адреса

email nagios@domain.com pager nagios@domain.com address1 11111111@icq.com

}

Можно определить пользователей, которым будут отправляться оповещения о работе конкретных типов серверов или сервисов. Для этого используются контактные группы (contactgroups.cfg). Не забудь проверить, чтобы файл был подключен в nagios.cfg.

Знакомствосостоялось

Возможностей Nagios столько, что на описание всех не хватит и книги. Наверное, Nagios не очень удобен для мониторинга единичного компьютера или сервиса, но его потенциал полностью раскрывается в средних и больших сетях со сложной структурой. Это как раз тот случай, когда следует познакомиться с ним поближе. z

Сергей «grinder» Яремчук

/ grinder@ua.fm, tux.in.ua /

койконфиговилиспомощьюскриптов)толькопоначалу. Задачухостерамного:необходимовыделятьиквотировать

местонаFTP-иWeb-серверах,управлятьсубдоменамииDNS-запися- ми,следитьзаиспользованиемтрафикаиустановленнымилимитами, создаватьучетныезаписипочтовогосервера,администрироватьбазы данных.Такженужнонезабытьпрорезервноекопирование,борьбу соспамомивирусами.Конечно,шаблоныискриптымогутупростить работу,нокаждоеизменениеконфигурации,например,добавление ещеодногопочтовогоадресадлясубдомена,потребуетвмешательства специалистовиденежек.Выхододин—использоватьпрограммы, упрощающиеуправлениевиртуальнымхостингом!Утакихрешений понятныйграфическийинтерфейс,иориентированыонинаобычного юзверя.Администраторилименеджерсоздаютновыхреселлерови пользователей,параллельноактивируянужныеимресурсы:объемместаподсайтиFTP,количествоподдоменов,почтовыхадресовиСУБД. Остальнымипараметрами(логины,паролиит.д)управляютужесами пользователи.Импредлагаетсяупрощеннаяпанель.

Позапросу«hosting»насайтеfreshmeat.netнампредложат170ссылок.

нуюпанельуправленияхостингомнайтиможно.Средикоммерческих

—этоCPanel,DirectAdmin,Plesk.Присутствуютисвободныепродукты

—доступныенахаляву.Кромелицензии,нужновнимательноознакомитьсясподдерживаемымисервисами,которымиможноуправлять припомощиэтойпанели.Ксожалению,универсальногорешенияна всеслучаижизнинесуществует.Опытпоказывает:чембольшепроект поддерживаетсервисов,тембольшевероятность,чтосустановкой придетсяповозиться.Ещеодинмомент,накоторыйследуетобратить внимание—доступностьлокализованногоинтерфейса.Намомент написанияэтихстрокпроблемслокализациейнебыловSysCP,DTC, VHCS,ispCP.ЕстьсредствадлялокализациивISPConfig,новпоследней стабильнойверсии2.2.25русификациипридетсяуделитьнесколько большевремени,чемуконкурентов.ТретьяветкаISPConfig,находящаясявстадииактивнойразработки,свеликимимогучимпоканедружит. Хотясистемапредлагаетудобныйинтерфейсдлялокализацииипри знаниибазовогоанглийского,потративвсегопаручасов,легкосделать этосамостоятельно.Помоемумнению,самымпростымвустановкеи настройкеявляетсяispCP—поэтомудальшеречьпойдетименноонем.

>>

ХАКЕР

При установке отдельных пакетов необходимо ответить на ряд вопросов

Панель управления хостингом ispCP

ПроектispCP(ispControlPanel,www.isp-control.net)возниквмарте 2007годакакфоркVHCS(VirtualHostingControlPanel,vhcs.net).Пос-

леднийпредставляетсобойдовольномощноеиудобноевработерешение,но,ксожалению,давнонеобновлялся.Онсодержитмножество ошибок,втомчислесвязанныхсбезопасностью,ииспользоватьегоне стоит.Темболее,емуестьзаменаввидеispCP.Кстати,настройкиVHCS можноперенестивispCP,правда,вручную.

ЗадачаispCPаналогичнародительской—предоставитьадминист- раторамудобныйинтерфейсдляуправлениявиртуальнымиузлами. Используяэтухостинг-панель,можноуправлятьнастройкамиApache2

сPHP5,Bind9,MySQL,Courier,Procmail,Postfix,Postgrey,ProFTPd, AWStats,iptables,Sasl,rkhunterинекоторымидругими.

Поддерживаетсятривидаучетныхзаписей(традиционныхдля подобныхинструментов):администраторы,реселлерыипользователи.Интерфейсадминистраторовпозволяетсоздаватьновыеучетные записи,указыватьквоты,доступныересурсыит.д.Реселлерможет создаватьпользователейипередавать(еслиточнее,—продавать)им часть«своих»ресурсов.

ИсходныйкоддоступенподлицензиейGNUGPLv2.Длялокализации используетсяGNUgettext.Интерфейсвнастоящеевремяпереведенна 28языков,втомчислеирусский.Текущеесостояниепереводаможно узнатьпоадресуwww.isp-control.net/ispcp/wiki/translations.Докумен-

тациейпроектещетольконачинаетобрастать,нодостаточнопотратитьнаизучениеispCPчас,инеобходимостьвнейужеотпадает.

Установка ispCP

Минимальныетребованиязначатсятакие:компьютерспроцессором классаPentiumIII500МГц,ОЗУ256Мб,100Мбсвободногоместана дискедляустановки.Впроцессеинсталляциипонадобитсяподключениекинтернету.Последняяверсия(намоментнаписаниястатьи

—1.0.0RC6)безпроблемставитсянаCentOS,RedHat,Fedora,Debian, Ubuntu,SUSE,openSUSE,Slackware,Gentoo,FreeBSDиOpenBSD.

Дляэтихсистемвподкаталоге./docs/$YourSystem/$Systempackages,вархивесисходнымитекстами,ужеестьготовыеустановочныескрипты.Вполневероятно,ispCPможнозаставитьработатьив другихдистрибутивах,—займетэтолишьчутьбольшевремени.

СампроцессупрощендажепосравнениюсVHCS.Обновляемсистему:

$ apt-get update && apt-get upgrade

Установкулучшепроизводитьначистуюсистему.Присутствие«лишних»сервисов(например,Sendmail,Eximит.д.)вызоветконфликти приведеткостановкепроцесса.Устанавливаемпакетыдлякомпиляции,MySQLизадаемпарольадминистратора:

$ sudo apt-get install mysql-client mysql-server buildessential

$ mysqladmin -u root password password

Конфигурационный файл ispcp.conf

Скачиваемархивссайтапроектаираспаковываемего:

$ tar xjvf ispcp-omega-1.0.0 rc6.tar.bz2 $ cd ./ispcp-omega-1.0.0

ДляUbuntu8.04LTSиспользуемтакуюкоманду:

$ sudo apt-get install $(cat ./docs/Ubuntu/ubuntu- packages-hardy)

Впроцессеустановкипакетовбудутзапрашиватьсяпараметрыотдельныхсервисов:

•  приустановкеCourierнавопрос«Createdirectoriesforweb-based administration?»отвечаем«No»;

•  приустановкеPostfixвыбираем«интернет-сайт»; •  приустановкеProFTPdвыбираем«Standalone»; •  приустановкеrootkithunterвездевыбираем«Yes».

Можно заглянуть в файл configs/ubuntu/ispcp.conf и

подправить ряд переменных. Но в большинстве случаев поинтересоваться имеет смысл уже после установки и настройки. Компилируем:

$ sudo make install

Копируемвсефайлыизвременногокаталогавкорень:

$ sudo cp -Rv /tmp/ispcp/* /

Далеенампонадобитсярутовскийтерминал(черезsudoвыполнить нижеследующиекомандынельзя):

$ sudo -s

#cd /var/www/ispcp/engine/setup

И—ставим:

#perl ispcp-setup

Установочныйскриптначнетпоследовательнозадаватьвопросы(в квадратныхскобкахбудутпредлагатьсязначенияпоумолчанию). Сначаласоздаетсяаккаунтдляftp-пользователя.Нажимаем<Enter>; парольгенерируетсяавтоматически:

Послеустановкиперейдивменю«Общаяинформация» «Статуссервера»иубедись,чтовсесервисызапущеныи работаютнормально.Такжестоитудостовериться,что онинастроенынаавтозапуск.Прощевсегоперезагрузить серверивернутьсявэтоокнопосмотретьстатистику.Если работает,значит,можнонебеспокоиться(иначе—правим стартовыескрипты).Перейдявподпункт«Логадмина», можнопросмотретьвсесобытия,связанныесработой ispCP(регистрация,созданиепользователей,ошибки входаит.д.).Изменитьпортлюбогосервисананестандартныйможнов«Настройки»«Портысервера».Аинформацияопараметрахсистемы,менюдляобновленияispCPи мускуланаходятсявменю«Системныеинструменты». Еслиошибитьсяпривводепароля,впервыйразбудетвведе- назадержкав15секунд,затем—в30,апослетретьейнеудач- нойпопыткиIPблокируетсянаполчаса.Этоповедениетакже можноизменитьвменю«Настройки».Вподпункте«Общие настройки»вполе«Passwordsettings»выставляетсяминимальнаядлинапароляи(де)активируетсярежимстрогого пароля.Режимыблокировкивходапринеудачныхпопытках выставляютсявполе«Определениеатаки-перебора». Кроместандартныхвозможностей,заложенныхвинтерфейсе,впункте«Персональноеменю»можносоздатьсвою кнопку,назначивейопределенноедействиеиуровень,на которомонабудетдоступна(администратор,реселлерили пользователь).

Поумолчаниювсемпользователямбудетдоступентолько одинIP-адресидомен,указываемыйприустановке.Если серверимеетнесколькосетевыхинтерфейсовилиобслуживаетнесколькодоменов,информацияонихуказывается вразделе«УправлениеIP-адресами»,априсозданииновой учетнойзаписиреселлераилипользователяотмечаются доступныеемудомены.Еслитрафикнебезлимитный, стоитзайтивраздел«Настройкатрафикасервера»иустановитьпредупрежденияилимиты.Вобщем,управление серверомвispCPдовольнопростое,—всеработаетпосле установкиврежимепоумолчанию.Вконфигурационные

ПроектSystem ControlPanel (SysCP)

Этоодноизсамыхпопулярныхрешений,которое используетсямногимихостерами.Началоразработок датированоноябрем2003года—первыйрелизпод лицензиейGNUGPLбылпредставленобщественности виюне2004.НаписаннаPHP,дляхраненияинформациииспользуетсяMySQL.Какипрочиерешения,умеет создаватьзонывBIND,поддомены,учетныезаписи, управлятьпочтовымиадресамиипересылкойписем—

имногоедругое.Поддерживаются:BINDилиPowerDNS, Apache1/2,PHP4/5,Postfix,Courier,Dovecot,ProFTPd, Pureftp,Webalizer,аутентификацияCyrus-sasl.Опци-

ональномогутбытьустановлены:Maildrop,ClamAVи Spamassassin,PHPmyAdminиSquirrelMail.Доступны тривидаучетныхзаписей:администраторы,реселлеры

ипользователи.Интерфейслокализован.Установка последнихверсийоченьпроста.Домашняястраница проекта—www.syscp.org.