multicepT. Service auf den Punkt gebracht. » Monitoring

Tripwire und KVM ergänzen sich

Oliver Herms — Thu, 21 Jan 2010 21:49:04 +0000

Heute haben wir bei einer ersten virtuellen Maschine Tripwire so eingerichtet, dass es nicht innerhalb der virtuellen Maschine läuft, sondern auf dem Hostrechner.

Wozu das ganze? Tripwire kann doch auch im Gast laufen und die Integrität aller Dateien prüfen?

Stimmt, aber dann ist es von einem Angreifer innerhalb der virtuelle Maschine leicht manipulierbar!
Da unsere Tripwire Binarys und Configs nicht in der virtuelle Maschine liegen, sind sie für einen Angreifer nicht greifbar. Er weiß nicht mal, dass eine Tripwire Installation existiert (es sei denn, er liest diesen Blogpost)!

Wie funktioniert das ganze?
Ein Script fertigt von dem Gastsystem per LVM einen Snapshot an, welcher dann mit kpartx als einzelne Partitionen gemountet wird. Auf dem gemounteten Read-Only Volume wird dann der Integritätscheck ausgeführt.

So (!) macht ein HIDS sinn.
Wir werden das Script weiter entwickeln und erproben und es später zum Download bereit stellen.

Munin Node Win32 und die Speicherüberwachung

Oliver Herms — Tue, 12 Jan 2010 23:00:49 +0000

In den Standardeinstellungen liefert der Munin-Node unter Win32 leider keine vollständigen Informationen an den Munin Master.

Folgende Zusatzinfos beim Eintrag der Windowsmaschine am Master schaffen Abhilfe:

memory.swap.label swap
memory.swap.draw STACK
memory.swap.info Swap memory used

Genervt von Nagiosmeldungen über belegten SWAP-Speicher?

Oliver Herms — Tue, 12 Jan 2010 17:11:58 +0000

Warum zum Teufel Swappen Server, wenn noch RAM frei ist?

Bis vor einiger Zeit, haben auch wir uns diese Frage gestellt und haben auch eine Antwort gefunden:
Linux lagert Standardmäßig alles aus, was eher selten gebraucht wird, vollkommen unabhängig davon, wie viel RAM noch frei ist. Der Sinn dahinter ist der, dass so direkt genug RAM frei ist, wenn er denn mal dringend benötigt wird. Diese beschleunigt zwar Desktopsysteme, sorgt insbesondere bei Datenbankservern aber für Frust.

Linux wäre nicht Linux, wenn man dieses Verhalten nicht steuern könnte.
Über die Systemvariabl vm.swappiness lässt sich das Swapverhalten der Speicherverwaltung regeln.
Standardinstallationen (RHEL, Debian, Ubuntu) haben für die Swappiness einen Wert von 60 vorgesehen, was für Desktopsysteme okay ist.

Kommen wir zur Bedeutung des Wertes.
Die Variable kann Werte zwischen 0 und 100 aufnehmen:

Null bedeutet: Swappe niemals, wenn es sich vermeiden lässt
Einhundert bedeutet: Swappe alles, was aktuell nicht benötigt wird

Für Server Empfiehlt sich also immer ein Wert von Null.
Mit der folgenden Anweisung können Sie der Variablen den Wert Null zuweisen:

echo 0 > /proc/sys/vm/swappiness

Achtung: Diese Lösung ist nicht persistent, sodass nach einem Reboot der Standardwert von 60 wieder gesetzt ist.
Um die Einstellung gleich beim booten setzen zu lassen, empfiehlt es sich, das ganze in der Datei /etc/sysctl.conf einzutragen:

vm.swappiness = 0