06/01/2012
Controllare lo stato di iptables mediante Nagios
Recentemente su uno dei miei server ho lanciato il comando:
nightfly@nightbox:~$ sudo iptables -L
e con mio enorme disappunto mi sono accorto che le regole di firewalling che il server avrebbe dovuto caricare all'avvio erano praticamente assenti (eccezion fatta per fail2ban), indi per cui ho deciso di monitorare lo stato di iptables mediante Nagios.
Lo script che ho utilizzato per i check potete scaricarlo da qui. Inoltre, poichè tale script è piuttosto bacato, ho deciso di apportare qualche piccola correzione. Di seguito la versione originale dello script:
PARAM1=$1
TABLE=$2
MINRULES=$3
PARAM4=$4
LOG=/var/log/iptables/iptables.log
CHKIPTBLS=`/sbin/iptables -n -t filter -L |wc -l`
#
# Parameter Validation
##
if [ "$PARAM1" != "-T" -o "$TABLE" == "" -o "$MINRULES" != "-r" -o "$PARAM4" == "" ]; then
echo "Usage: $0 -T <table> -r <min rules>"
echo ""
exit 3
# Nagios exit code 3 = status UNKNOWN = orange
if [ "$PARAM1" == "-h" ]; then
echo ""
echo " -h = Display's this Help"
echo " -T = Table to check"
echo " Available Tables:"
echo " nat"
echo " mangle"
echo " filter"
echo " -r = Minimun quantity of rules"
echo ""
# Nagios exit code 3 = status UNKNOWN = orange
exit 3
fi
fi
##
# DO NOT MODIFY ANYTHING BELOW THIS
##
$CHKIPTBLS >/dev/null 2>/dev/null
if [ "$CHKIPTBLS" == 0 ]; then
TOTRULES=$CHKIPTBLS
else
TOTRULES=$[$CHKIPTBLS-8]
fi
if [ "$TOTRULES" -gt "$PARAM4" ]; then
echo "OK - Iptables are OK the table $TABLE has $TOTRULES rules configured"
# Nagios exit code 0 = status OK = green
exit 0
else
echo " CRITICAL - Iptables are CRITICAL the table $TABLE has $TOTRULES rules configured"
for i in `w -h | cut -f1 -d" " | sort | uniq`
do
echo "`date '+%d/%m/%Y - %H:%M:%S'` - CRITICAL - $i is logged in and there are only $TOTRULES loaded" >> $LOG
done
# Nagios exit code 2 = status CRITICAL = red
exit 2
fi
Punto primo: la seconda condizione dell'if non ha praticamente senso, in quanto la prima è sempre verificata.
E' bastato invertire le due condizioni e trattarle separatamente:
#
# Parameter Validation
##
if [ "$PARAM1" == "-h" ]; then
echo ""
echo " -h = Display's this Help"
echo " -T = Table to check"
echo " Available Tables:"
echo " nat"
echo " mangle"
echo " filter"
echo " -r = Minimun quantity of rules"
echo ""
# Nagios exit code 3 = status UNKNOWN = orange
exit 3
fi
if [ "$PARAM1" != "-T" -o "$TABLE" == "" -o "$MINRULES" != "-r" -o "$PARAM4" == "" ]; then
echo "Usage: $0 -T <table> -r <min rules>"
echo ""
exit 3
# Nagios exit code 3 = status UNKNOWN = orange
fi
Punto secondo: la variabile CHKIPTBLS utilizza sempre e comunque la tabella filter, dunque il parametro -T non ha senso di esistere. Possiamo però ovviare a tale mancanza, permettendo all'utente di scegliere su quale tabella (tra filter, mangle e nat) effettuare i controlli, modificando la variabile citata in precedenza nel seguente modo:
CHKIPTBLS=`sudo /sbin/iptables -n -t "$TABLE" -L |wc -l`
Punto terzo: la condizione
if [ "$TOTRULES" -gt "$PARAM4" ]; then
controlla che il numero di regole caricate sia strettamente maggiore di quello definito mediante il parametro -r. Questo però cozza con quanto dichiarato dall'autore dello script, ovvero:
OK - The number of Iprules equal o more than the minimun that we setup on the -r variable
Per ovviare a tale errore, occorre sostituire la condizione riportata in precedenza con questa:
if [ "$TOTRULES" -ge "$PARAM4" ]; then
Punto quarto: nagios non ha i permessi per lanciare iptables, ergo dobbiamo effettuare delle modifiche al file /etc/sudoers, inserendo la entry:
nagios ALL = NOPASSWD: /sbin/iptables
alla fine del file.
In definitiva, lo script per controllare lo stato di iptables dovrà essere il seguente:
PARAM1=$1
TABLE=$2
MINRULES=$3
PARAM4=$4
LOG=/var/log/check_iptables.log
CHKIPTBLS=`sudo /sbin/iptables -n -t "$TABLE" -L |wc -l`
#
# Parameter Validation
##
if [ "$PARAM1" == "-h" ]; then
echo ""
echo " -h = Display's this Help"
echo " -T = Table to check"
echo " Available Tables:"
echo " nat"
echo " mangle"
echo " filter"
echo " -r = Minimun quantity of rules"
echo ""
# Nagios exit code 3 = status UNKNOWN = orange
exit 3
fi
if [ "$PARAM1" != "-T" -o "$TABLE" == "" -o "$MINRULES" != "-r" -o "$PARAM4" == "" ]; then
echo "Usage: $0 -T <table> -r <min rules>"
echo ""
exit 3
# Nagios exit code 3 = status UNKNOWN = orange
fi
##
# DO NOT MODIFY ANYTHING BELOW THIS
##
$CHKIPTBLS >/dev/null 2>/dev/null
if [ "$CHKIPTBLS" == 0 ]; then
TOTRULES=$CHKIPTBLS
else
TOTRULES=$[$CHKIPTBLS-8]
fi
if [ "$TOTRULES" -ge "$PARAM4" ]; then
echo "OK - Iptables is OK The Table $TABLE has $TOTRULES rules configured"
# Nagios exit code 0 = status OK = green
exit 0
else
echo " CRITICAL - Iptables is CRITICAL The Table $TABLE has $TOTRULES rules configured"
for i in `w -h | cut -f1 -d" " | sort | uniq`
do
echo "`date '+%d/%m/%Y - %H:%M:%S'` - CRITICAL - $i is logged in and there are only $TOTRULES loaded" >> $LOG
done
# Nagios exit code 2 = status CRITICAL = red
exit 2
fi
Se il file /var/log/check_iptables.log non esiste, dovrete crearlo mediante il comando:
nightfly@nightbox:~$ sudo touch /var/log/check_iptables.log
A questo punto possiamo rinominare lo script:
nightfly@nightbox:~$ mv check_iptables_status.sh check_iptables_status
rendondolo successivamente eseguibile:
nightfly@nightbox:~$ chmod +x check_iptables_status
Spostiamolo nella directory /usr/lib/nagios/plugins:
nightfly@nightbox:~$ sudo mv check_iptables_status /usr/lib/nagios/plugins
Creiamo il file iptables.cfg nella directory /etc/nagios-plugins/config:
nightfly@nightbox:/etc/nagios-plugins/config$ sudo nano iptables.cfg
il cui contenuto dovrà essere il seguente:
# 'check_iptables_status' command definition
define command{
command_name check_iptables_status
command_line /usr/lib/nagios/plugins/check_iptables_status -T '$ARG1$' -r '$ARG2$'
}
infine aggiungiamo la seguente direttiva al file dell'host su cui vogliamo monitorare lo stato di iptables (tale file è presente nella directory /etc/nagios3/conf.d):
define service{
use generic-service ; Name of service template to use
host_name localhost
service_description iptables
check_command check_iptables_status!filter!84
}
Dove 84 è il numero minimo di regole di firewalling attive.
Infine, riavviamo nagios:
nightfly@nightbox:~$ sudo service nagios3 restart
ed abbiamo finito.
Alla prossima.
14:51 Scritto da: nazarenolatella in Networking | Link permanente | Commenti (0) | Segnala | Tag: firewall, iptables, nagios, monitoring, rules, script, bash, log | OKNOtizie | 
Facebook
04/01/2012
Piccola riunione di nerd presso il mini NOC di Lamezia Terme (CZ)
Questa foto risale a circa due anni fa, ma è piuttosto esplicativa:
Per la serie: prendi due nerd qualsiasi, mettili davanti ad una scrivania... ed ecco il risultato.
Alla prossima.
10:00 Scritto da: nazarenolatella in Vita da Sistemista | Link permanente | Commenti (0) | Segnala | Tag: nerd, pc, brain storming, monitoring | OKNOtizie | Facebook
21/03/2011
Monitorare rsyslogd mediante Nagios
Ho già trattato diversi argomenti in cui veniva discussa la corretta configurazione di un logserver basato su sitemi *nix. Ora vedremo come monitorare mediante nagios3 il demone che si occupa della raccolta dei log.
Nella fattispecie, il demone in questione è rsyslogd, evoluzione del più datato syslogd. Esso consente di salvare le informazioni inviate dai vari dispositivi di rete su di un apposito file creato all'occorrenza, in modo da tenere traccia degli eventi più rilevanti.
Ora, tale demone (per default) rimane in ascolto sulla porta 514 ed utilizza per il protocollo UDP per il trasporto. Ciò significa che non è previsto alcun meccanismo di SYN SYN/ACK ACK come invece avviene per il protocollo TCP (molto più affidabile ma allo stesso tempo molto più oneroso in termini di banda).
Detto ciò, vediamo come monitorare lo stato di tale servizio sfruttando nagios3. Per prima cosa scarichiamo questo PERL script.
Successivamente salviamo il file appena scaricato nella directory /usr/lib/nagios/plugins e rinominiamolo in check_syslog:
nightfly@nightbox:/usr/lib/nagios/plugins$ sudo mv check_syslog_02.pl check_syslog
A questo punto rendiamo lo script eseguibile digitando:
nightfly@nightbox:/usr/lib/nagios/plugins$ sudo chmod +x check_syslog
Definiamo il comando attraverso il quale verificheremo il corretto funzionamento di rsyslogd. Per fare ciò occorre creare il file syslogd.cfg il cui contenuto dovrà essere:
# 'check_syslog' command definition
define command{
command_name check_syslog
command_line /usr/lib/nagios/plugins/check_syslog -l '$HOSTADDRESS$' -f '$ARG1$'
}
Posizioniamoci ora nella directory /etc/nagios3/conf.d ed editiamo il file di configurazione relativo al logserver aggiungendo il seguente servizio:
define service{
use generic-service ; Name of service template to use
host_name localhost
service_description Rsyslog
check_command check_syslog!/var/log/syslog
}
A questo punto occorre operare sui permessi di lettura/scrittura associati al file syslog. Per prima cosa posizioniamoci nella directory /var/log e lanciamo un ls -ila | grep syslog:
2097425 -rw-r----- 1 syslog adm 171910 2011-03-21 11:54 syslog
Come possiamo notare il gruppo che ha la possibilita di accedere al file in lettura è adm. Aggiungiamo l'utente nagios al gruppo adm editando il file group presente nella dir /etc:
adm:x:4:nagios
Riavviamo nagios3:
nightfly@nightbox:/etc$ sudo service nagios3 restart
ed abbiamo finito.
A presto.
16:39 Scritto da: nazarenolatella in Networking | Link permanente | Commenti (0) | Segnala | Tag: nagios3, linux, rsyslog, rsyslogd, monitoring, logserver | OKNOtizie | Facebook