zittersplitter.de

 (Bild: Peter Kaminski – CC Licence)

Um mal eben ein paar IPs zu blocken ist der Freund iptables sicherlich die beste Lösung.

Vorsicht: Das ist keine komplette Anleitung zu iptables, sondern ein sehr simples “HowTo block an IP”

Der besseren Übersicht halber nutze ich das Configfile in /etc/sysconfig/iptables

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

############ HOSTS ################

#gateway
#-I INPUT -s 192.168.10.20 -j DROP

#store
-I INPUT -s 192.168.10.27 -j DROP

########## HOSTS ################

COMMIT

Ich sperre im obigen Step zuerst mein Gatesystem und den Store.

Es ist ebenfalls möglich ein komplettes Netz zu sperren, dann wird aus dem 192.168.10.XX eben das 192.168.10.0/24 (oder wo auch immer man sich eben bewegt)

Der Output sieht wie folgt aus:

[root@backup ~]# iptables –list-rules
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 192.168.10.27/32 -j DROP
-A INPUT -s 192.168.10.20/32 -j DROP
[root@backup ~]#

Der ganze Spaß geht natürlich auch direkt in der Bash:

iptables -A INPUT -s IP-ADDRESS -j

iptables -A INPUT -s192.168.10.27 -j DROP

Es gibt eine über 100 Jahre alte Glühbirne.

Eine Glühbirne, die über 100 Jahre leuchtet, mehr als drei Webcams überlebt hat und immer noch ihren Dienst tut. Glaubst du nicht? <GUCKST DU HIER>

Wie das kommt?

Eine Arte Doku hat mich schon vor einiger Zeit auf den Pfad gebracht, zwar sicherlich nicht erst seit gestern aktuell, aber ich möcht mal kurz drauf hinweisen ;)

Kaufen für die Müllhalde from Hans Fleischer on Vimeo.

Und was kann man tun, wenn mal wirklich was defekt ist?

Ein RepairCafé hilft dir deine defekten Geräte, Fahrräder, Wasserkocher, Wollpullis & Co zu reparieren.

iotop

Simpel und einfach – bekanntes Layout – reicht für den ersten Überblick in lesbaren Zahlen.

Der einfache Aufruf erzeugt in etwa sowas:

Jetzt werden wirds ein wenig konkreter.

• Die Option -o zeigt nur Prozesse, die wirklich I/O machen.
• Die Option -a zeigt den zusammengefassten I/O

Und das wars auch schon – handliches Tool, das tut was es soll und auf keinem System fehlen sollte ;)

Heute wurde der Feiertag genutzt um den ESX mal von 5.1 auf 5.5 zu updaten. Dabei ist mir aufgefallen, dass der ja nun Devices über 2TB an den VirtualHost hängen kann. Sauber! Endlich =)

Is das nicht geil? =)

…wurd dringend Zeit da mal das Maximum zu erhöhen!

Mehr Configuration Maximums vom vSphere 5.5 (aka. ESXi) gibts <HIER>  

Beim setzen einiger geplanter Updates ist mit aufgefallen, dass die Uhr in meinem Spacewalk ein klein wenig in der Zukunft lebt… Somit gabs den Rundumschlag auf allen Systemen des ESX und weil ich sicherlich wieder mal über das Problem stolpern werde, hier einen kurzen Artikel dazu.

Es gibt mehrere Ecken an denen man drehen kann um eine richtige Systemzeit zu bekommen ;)

Zeitzone

[root@spacewalk ~]# cat /etc/sysconfig/clock
ZONE=”Europe/Berlin”
[root@spacewalk ~]#

Die Localtime

root@spacewalk ~]# ln -s /usr/share/zoneinfo/Europe/Berlin /etc/localtime

Einen NTP

[root@spacewalk ~]# cat /etc/ntp/step-tickers
# List of servers used for initial synchronization.

0.de.pool.ntp.org
1.de.pool.ntp.org
[root@spacewalk ~]#

Dann noch eben die grobe richtige Zeit setzen und gut is =)

Beim setzen von 21:40 am 19.06.2014 ist die normale Logik, die sich einem aufdrängt völlig zu missachten =) Andernfalls meldet sich dein Spacewalk Server und sehr davon überzeugt, dass das Zertifikat abgelaufen sei und zwar schon seit über 100 Jahren ;)

[root@spacewalk ~]# date 061920142140
Sun Jun 19 20:14:00 UTC 2140
[root@spacewalk ~]# date 061921402014
Thu Jun 19 21:40:00 UTC 2014

Um Spacewalk mit Channels zu füllen kann man auf “common channels” zurückgreifen. Dafür besorgt man sich das Tool spacewalk-common-channels aus dem Paket spacewalk-utils

yum install spacewalk‑utils

Die verfügbaren Channels kann man mittels der “list” Funktion ausgeben lassen.

Hier ein kleiner Ausschnitt

[root@spacewalk ~]# spacewalk-common-channels -l
Available channels:
centos5: i386, x86_64
…
centos6: i386, x86_64
…
epel5: i386, x86_64, ppc
epel6: i386, x86_64, ppc64

Wenn man alle seine Channels gefunden hat, können diese auch erstellt werden:

[root@spacewalk ~]# spacewalk-common-channels -u <user> -p <pass> -a x86_64 ‘centos6*’
[root@spacewalk ~]# spacewalk-common-channels -u <user> -p <pass> -a x86_64 ‘spacewalk20-client-centos6’
[root@spacewalk ~]# spacewalk-common-channels -u <user> -p <pass> -a x86_64 ‘epel6’

Am bequemsten lassen sich die Channels über die Weboberfläche syncen und verwalten:

Channels -> Manage Software Channels -> Centos 6 -> Repositories -> Sync —-> SYNC NOW

(!!!hier versteckt sich auch der Scheduler!!!)

Da der erste Sync immer besonderes spannend ist, können Neugierige mit einem tail -f dem Log beim größer werden zugucken ;)

==> /var/log/rhn/reposync/centos6-x86_64.log <==
710/6367 : ipvsadm-1.26-2.el6-0.x86_64
711/6367 : poppler-qt4-0.12.4-3.el6_0.1-0.x86_64
712/6367 : ant-apache-oro-1.7.1-13.el6-0.x86_64
713/6367 : guile-devel-1.8.7-5.el6-5.i686
714/6367 : rpm-python-4.8.0-37.el6-0.x86_64
715/6367 : redhat-rpm-config-9.0.3-42.el6.centos-0.noarch
716/6367 : subversion-perl-1.6.11-9.el6_4-0.x86_64
717/6367 : PackageKit-gstreamer-plugin-0.5.8-21.el6-0.x86_64
718/6367 : libXevie-devel-1.0.3-4.el6-0.i686
719/6367 : kernel-debug-devel-2.6.32-431.el6-0.x86_64

Für meine Spacewalk Installation habe ich mit eine kleine VM gebaut, welche locker ausreichen sollte.

Das System ist eine ESXi VM mit Centos 6.5,  4gb RAM, 250gb Disk und den Kollegen selinux, iptables und ip6tables disabled. Wer ein gesteigertes Sicherheitsbedürfnis hat, der kann sich gerne mit selinux & lokalem firewalling rumärgern, ich für meinen Teil vertraue meinem Netzwerk ;)

Nach dem obligatorischen yum update und dem Snapshot danach gehts auch schon los.

Repos einrichten

Spacewalk liegt in einem eigenen Repo, benötigt aber noch ein wenig Abhängigkeiten, welche durch das passende EPEL Repo und jpackage.org abgedeckt werden. Hier liegen die aktuellen Repofiles:

https://ftp.fau.de/epel/6/i386/epel-release-6-8.noarch.rpm
http://yum.spacewalkproject.org/2.0/RHEL/6/x86_64/spacewalk-repo-2.0-3.el6.noarch.rpm
wget http://www.jpackage.org/jpackage50.repo
cp jpackage50.repo /etc/yum.repos.d/

Nach einem kurzen yum clean all und anschließendem yum update kommen wir zum eigentlichen Higlight…

Install

Ich habe mich dafür entschieden die stressfreie Variante mit dem vorgebauten Postgres Unterbau zu wählen.

Hierfür kommt der Install in drei Schritten.

Einmal dem Install des Unterbaus, samt vorgebautem Postgres, dann der eigentliche Install und danach das Setup mit initialer Befüllung der DB & Co.

Zuerst bringen wir mit den zwei Zeilen die Pakete aufs System:

yum install spacewalk-setup-postgresql
yum install spacewalk-postgresql

Da nun die Pakete alle auf dem System gelandet sind, können wir Spacewalk initial konfigurieren.

Hierfür gibt es ein nettes Setuptool, welches auch gleich ein SSL Zertifikat baut und die Weboberfläche anwirft.

[root@spacewalk ~]# spacewalk-setup –disconnected

….
….
….
….
Visit https://spacewalk to create the Spacewalk administrator account.

 

Ich kann es mir nicht verkneifen in solchen Momenten nochmal einen Snapshot von der VM zu ziehen, da ich dann einen recht coolen Ausgangspunkt habe, falls ich mir in den kommenden Tagen doch mal was beim spielen und testen zerschieße.

Zur weiteren Config und der Arbeit mit Spacewalk kommt in der nächsten Zeit sicherlich noch was nach =)