Goaccess, un générateur de statistiques web rapide et sexy

goaccess_fr

Qu’est-ce que c’est ?

Goaccess est un générateur de statistiques web, fonctionnant sur le même principe que webalizer et awstats, c’est à dire en lisant et analysant les lignes du log d’accès d’un serveur web.

Continuer la lecture de « Goaccess, un générateur de statistiques web rapide et sexy »

Containers lxc : systemd-journald occupe 100% du processeur

https://openclipart.org/detail/177488/happy-cat-on-warm-oven
https://openclipart.org/detail/177488/happy-cat-on-warm-oven

Symptômes: vous lancez un container lxc, celui-ci reste inaccessible, le processeur monte à 100% d’utilisation à cause d’un processus (du container) nommé systemd-journald.

Cause: le container a été lancé avec l’option lxc.kmsg  positionnée à 1 dans son fichier de configuration, ce qui a entrainé la création d’un lien symbolique entre /dev/console et /dev/kmsg. journald va boucler dessus et partir en live.

Solution: il faut désactiver lxc.kmsg et supprimer le lien symbolique /var/lib/lxc/NOM_DU_CONTAINER/rootfs.dev/kmsg.

Vérifier la validité de ses certificats SSL avec nagios

nagios_screen

Rien de plus honteux pour un sysadmin de laisser passer la date de validité des certificats SSL et de se retrouver avec des services mail en carafe, des vpn inutilisables et des messages « ce site n’est pas sécurisé » sur l’intranet client.

C’est particulièrement vrai si on utilise les services de letsencrypt.org, qui propose des certificats avec une très courte durée de validité, même si des rappels par email sont régulièrement reçus.

L’automatisation de cette vérification par Nagios est assez simple:
1. Installer le plugin adéquat.
2. Définir une nouvelle commande.
3. Définir un nouveau service.

En ce qui concerne mon installation:

  • Mes plugins personnalisés sont stockés dans /etc/nagios/Opendoor/Plugins
  • Mes définitions de commandes sont dans /etc/nagios/Opendoor/commandes.cfg
  • Mes définitions de services dans /etc/nagios/Opendoor/services.cfg
  • Bien évidemment, le répertoire /etc/nagios/Opendoor fait l’objet d’une directive cfg_dir dans le fichier de configuration principal /etc/nagios/nagios.cfg

Installer le plugin:

git clone https://github.com/matteocorti/check_ssl_cert.git
cp check_ssl_cert/check_ssl_cert /etc/nagios/Opendoor/Plugins/check_ssl_cert

Définir une nouvelle commande:

define command{
        command_name    check_cert_validity
        command_line    PATH_TO/check_ssl_cert --noauth -H $ARG1$ --warning 30 --critical 10
        }

Définir un nouveau service:

define service
        host_name               gelatine
        service_description     check certificate validity
        use                     lazy-service
        check_command           check_cert_validity!pad.opendoor.fr!
        }

Remarque:

  • lazy-service est une définition de service personnalisée, avec une
    fréquence de vérification moins importante. Vous pouvez-utiliser generic-service à la place.
  • host_name désigne la machine hébergeant le ou les sites
  • La commande prend en paramètre le nom du site dont on souhaite vérifier le certificat.

# vim: set filetype=dokuwiki:

Changer le port d’écoute de SSH sans se prendre les pieds dans le tapis SELinux

Changer le port d’écoute de vos serveurs SSH, c’est de la sécurité par l’obscurité, mais au moins, vos logs d’accès ne seront pas pollués par toutes les tentatives de connexion effectués par tout le bot du grant Ternet.
ssh
En pratique c’est simple, il suffit:

  1. d’avoir une directive Port 4242 dans le fichier /etc/ssh/sshd_config
  2. d’ouvrir votre pare-feu ( firewall-cmd –permanent –add-port 4242/tcp ; firewall-cmd –reload )
  3. de relancer votre service (systemctl restart sshd)
  4. de vous assurez que vous pouvez bien vous connecter sur le nouveau port (ssh serveur -p 4242)

Si vous êtes courageux et que vous n’avez pas désactivé SElinux, ça coincera à l’étape 3 (le service ne redémarrera pas, SELinux ne lui permettant pas d’ouvrir ce port).

Il faudra associer votre port au type selinux ssh_port_t à l’aide de la commande suivante:

semanage port -a -t ssh_port_t -p tcp 2222