Das längste Thema

  • Wer nicht? ;)

    ist jetzt die Frage wie Du es verstanden hast, mehr als einen vServer sollt ma schon haben, wenn ma ein Monitoring veranstalten will;

    is sonst wie eine Straßenbahnlinie mit nur einer einzigen Haltestelle :D

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • wie Du hast nur einen einzigen vServer zum Zwecke des Monitorings?;)

    Ich leiste mir tatsächlich den Luxus dass einer der vServer nur Monitoring und Logsammelstelle ist. Über zu wenig Arbeit beschwert sich der Host nicht.

    Gleichzeitig ist das der Testhost für Containerupdates von allen Dingen die in der anderen Umgebung laufen + OS Updates. In der eigentlichen Umgebung läuft dann das Monitoring mit mindestens 2 Containern auf unterschiedlichen Hosts und HA-Failover (iPv4/v6), Zudem wird der andere Host kontrolliert. Der Traffic dazu läuft aber alles über das Cloud VLAN.


    Extern hab ich dann noch tatsächlich einen Managed Monitoring Service der einfach nur prüft ob die APIs + Hosts + Webinterface des HA Monitoring erreichbar ist und wenn nicht, fängt der kleine Junge an zu schreien:

    Externer Inhalt soundcloud.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.


    Und noch paar kleinere Hosts mit 2C 4Gb Ram wo dann standalone noch ein Docker Icinga2 in K3S läuft.

  • Isaac: Und?

    Bzgl. Unattended Upgrades konnte ich nichts finden, es scheint nicht installiert zu sein.


    Hatte ich zunächst glatt überlesen… =O

    Aber nachdem nun ein Wochenende seit dem obigen Beitrag vergangen ist, wurde die Liste durch Wirken des ver­ant­wort­li­chen/ver­ant­wort­ungs­be­wussten Administrators inzwischen um eine Größenordnung reduziert, oder? :S

    Der verantwortungsbewusste Admin hat versucht sein bestes zu tun. Er wusste nur noch nicht genau, wie man dort das richtig angeht. Ein debsecan | grep "remotely exploitable, high urgency" | head hat zumindest keine Ausgabe ergeben. Die Ausgabe zeigt nur low urgency oder gar keine Anzeige bei den CVEs.


    Btw. heute nach 5 Wochen habe ich das erste mal updates bekommen und diese installiert.

  • Ich leiste mir tatsächlich den Luxus dass einer der vServer nur Monitoring und Logsammelstelle ist.

    so soll es auch sein, und da brauchst auch nur das monitoren worauf Du auch einen Einfluß hast;

    sprich Deine anderen vServer ...


    das mit "Als Schlussfolgerung würde ich dann aber nichts mehr im Monitoring haben" ist natürlich quatsch;


    einen Webserver z.B. würdest korrekterweise ohne DNS prüfen;

    zumal die Schlußfolgerung wenn es nicht funktioniert meist auch falsch ist;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Das erinnert mich gerade an den Spruch: "Freude ist nur ein Mangel an Information" ->

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

  • ist jetzt die Frage wie Du es verstanden hast, mehr als einen vServer sollt ma schon haben, wenn ma ein Monitoring veranstalten will;

    is sonst wie eine Straßenbahnlinie mit nur einer einzigen Haltestelle :D

    Zwei Gedanken dazu:

    • Monitoring eines einzelnen Servers kann auch sinnvoll sein.
    • Ich meinte meine Antwort so: Verwende ebenfalls einen einzelnen vServer nur für das Monitoring (ebenso wie michaeleifel).
  • Benutzt jemand OpenSSL? Da gibbet wohl einen neuen CVE zum Thema BufferOverflow

    https://www.openssl.org/news/secadv/20210824.txt

    Ja, heute um 04:30h hat das Monitoring zuerst wegen CVE-2021-35368 (modsecurity-crs) angeschlagen, ein paar Stunden später, gerade als der zugehörige Backport an­ge­stoßen wurde, kamen dann CVE-2021-3711/CVE-2021-3712 (openssl) dazu. Glücklicherweise ging das ob des guten Timings in einem Aufwasch und in ca. 20 Mi­nu­ten war alles ausgerollt (und beinahe hätte auch der Neustart aller Dienste glatt funktioniert… Instanzen einer gewissen Datenbank sind momentan aus irgendeinem Grun­de et­was "restartresistent"). Mit der Zeit bekommt man dadurch aber ein wenig Übung. :S

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • wüßte jetzt nicht dass Apache, NGINX, ... f. des SSL-Zeug eine Eigenentwicklung haben,

    und nicht auf OpenSSL-Bibliotheken zurückgreifen;

    Es gibt durchaus alternative SSL-Implementationen (LibreSSL, wolfSSL, …) und dementsprechend auch immer wieder Ansätze, diese mit Apache2/Nginx zu kombinieren.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

  • Es gibt durchaus alternative SSL-Implementationen (LibreSSL, wolfSSL, …) und dementsprechend auch immer wieder Ansätze, diese mit Apache2/Nginx zu kombinieren.

    und werden diese in einer Linux Distri auch tatsächlich integriert od. ist hier doch bei allen der Platzhirsch OpenSSL da nicht wegzubringen?

    (wenn mich nicht alles täuscht war ja nach dem Heartbleed-Debakel des LibreSSL als Fork von OpenSSL hervorgegangen ...)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • und werden diese in einer Linux Distri auch tatsächlich integriert od. ist hier doch bei allen der Platzhirsch OpenSSL da nicht wegzubringen?

    Beide Alternativen werden von allen größeren Linux-Distributionen nicht direkt unterstützt. LibreSSL ist "bei OpenBSD angesiedelt" und wolfSSL ist primär ein kom­mer­ziel­les Pro­dukt. In beiden Fällen sollte schon ein konkreter "business case" vorliegen, um die Integration in eine eigene Linux-Umgebung vorzunehmen/zu beauftragen (Stich­wort Zer­tifizierungen, kommerzieller Support, …). Bislang hat sich meines Wissens niemand gefunden, der eine frei verfügbare Integration aufgrund ab­wei­chen­der APIs/er­for­derlicher Tests in eine Linux-Distribution stemmen wollte/konnte (vgl. den Versuch von Alpine Linux). Und die Distributionen selbst können – zumal OpenSSL ja seit vielen Jahren macht, was es soll – kein Interesse haben, mehrere Alternativen parallel zu warten. Schon die API-Änderungen bei OpenSSL in der jüngsten Vergangenheit haben Distributionen mangels verfügbarer "Arbeitskräfte" teilweise vor große Herausforderungen gestellt, was man auch an fehlenden offiziellen v1.1.1*-Backports für im­mer noch unterstützte Releases (Bsp.: Debian Stretch) sehen kann.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing