• 08621 - 9 88 30 88

Monatsarchiv Mai 2020

Voncubewerk

gitlab cache leeren

Fäufiger Fall, man ändert external_url und die Links in der Gitlab GUI bleiben auf dem alten Hostnamen. Was tun?

Über gitlab-GUI Settings, eigenen AccessToken erstellen, und … aufrufen

curl --header "PRIVATE-TOKEN: <your_access_token>" "https://gitlab.example.com/api/v4/application/settings"

Hinten raus kommt eine lange Zeichenkette und irgendwo im Text

„“local_markdown_version“:0,““

Zahl merken, um eins hochzählen und abändern mit …

curl --request PUT --header "PRIVATE-TOKEN: hier-der-TOKEN" https://git.mydomain.intern/api/v4/application/settings?local_markdown_version=1

Voncubewerk

zabbix 5 upgrade – sql fehler

ALTER TABLE item_preproc CONVERT TO CHARACTER SET utf8 COLLATE utf8_bin;

usw. fuer alle gemeldeten Tables.

Voncubewerk

Terminalserver meldet ungültiges Zertifikat bei RDP-Verbindung

Der Windows-Terminaldienst scheint sich selbstständig ein eigenes Zertifiakt zu generieren und präsentiert dies den jeweiligen RDP-Benutzern.

Unschön!

Wie richtig machen? Hat man eine Windows-CA im Haus oder kauft ein öffentliches Zertifikat, dieses in den lokalen Zertifikatsspeicher von Windows importieren.

Alternativ über den lokalen Certspeicher (mmc -> Zertifikate -> Dieser Computer rechtsklick auf Eigene Zertifikate -> Zertifikate -> alle Aufgaben – Erweiterte Vorgänge -> Benutzerdefinierte Anforderung erstellen

4 mal weiter klicken und schon hat man ein gültiges Zertifikat im Ordner:

Jetzt dem TS zuweisen mit: (immer Powershell als Admin)

Get-ChildItem-Pathcert:/LocalMachine/My

CERT-Fingerprint merken und mit … aktivieren:

$TSpath = (Get-WmiObject -Class „Win32_TSGeneralSetting“ -Namespace root\cimv2\terminalservices -Filter „TerminalName=’RDP-tcp'“).__path
Set-WmiInstance -Path $TSpath -Argument @{SSLCertificateSHA1Hash=“A37E315C6576A2431B7D45868736989DD7ACF1D0″}

$TSpath= (Get-WmiObject-Class"Win32_TSGeneralSetting"-Namespaceroot\cimv2\terminalservices-Filter"TerminalName='RDP-tcp'").__pathSet-WmiInstance-Path$TSpath-Argument@{SSLCertificateSHA1Hash="5C526C2AB97D100249B411EA11566D55846B5ED3"}

Greifen jetzt jedoch Systeme aus der Ferne drauf zu, kann es sein, dass der Client meldet „Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden.

Grund ist, dass standardmäßig eine Microsoft CA, die Sperrliste nur im LDAP veröffentlicht, wo in der Regel externe Systeme keinen Zugriff haben. Was tun?

Neues Zertifikat ausstellen und vorher in der Windows CA aktivieren, dass es auch per HTTP veröffentlicht werden soll:

Eigenschaften wählen

Und jetzt ganz wichtig, zwei Haken setzen bei In Sperrliste einbeziehen und In CDP-ERweiterung einbeziehen. Speichern – Dienst neustarten und das Zertifikat neu ausstellen.

Quelle u.A. https://www.frankysweb.de/tipp-zertifikat-fr-rdp-austauschen/

Voncubewerk

No U2F device available, please insert one now

Lösung: Die lokale UDEV-Regel kennt diesen Typ Stick noch nicht.

Mit lsusb prüfen, welche id’s der Stick hat:

Bus 003 Device 031: ID 2ccf:0854

In /lib/udev/rules.d/70-u2f.rules (Ubuntu 18)

Zeile suchen und ergänzen:

Vorher:

KERNEL==“hidraw*“, SUBSYSTEM==“hidraw“, ATTRS{idVendor}==“096e|2ccf“, ATTRS{idProduct}==“0880″, TAG+=“uaccess“

Nachher:

KERNEL==“hidraw*“, SUBSYSTEM==“hidraw“, ATTRS{idVendor}==“096e|2ccf“, ATTRS{idProduct}==“0880|0854″, TAG+=“uaccess“

Regel scharf schalten mit oder alternativ neu starten:

udevadm control –reload-rules && udevadm trigger

Voncubewerk

Kopano Webapp 3.5.14 mit UCS und Umlauteproblem

Nach dem Kopano WebApp Update in UCS, sind die Umlaute kaputt. Falsch – sie werden nur falsch dargestellt in der WebApp. Lösung?

In (…)

/usr/share/kopano-webapp/config.php

  // Defines the default interface language. This can be overridden by the user.
    if (isset($_ENV['LANG']) && $_ENV['LANG']!="C"){
            define('LANG', $_ENV["LANG"]); // This means the server environment language determines the web client language.
    }else{
            define('LANG', 'de_DE'); // default fallback language

Und hier war die letzte Zeile zu korrigieren.

Voncubewerk

Einfacher r10k webhook, best practice

Schaut man sich so die Webhooks auf puppetforge usw. an stellt man spätestens bei der Installation fest, das sind Monster. Unzählige Abhängigkeiten um dann so was banales zu machen wie bei einem HTTP-Request, hinten raus irgendwas zu triggern.

Da auf unserem Puppet-Server sowieso der Apache läuft, gehts mit folgenden zwei Ansätzen deutlich einfacher:

Entweder ganz ohne Apache o.Ä. ruft man einfach minütlich

r10k deploy environment -p

auf. Oder wenn man dem Puppet den Gang zum git sparen möchte, bietet man dem git(lab) über folgenden Dreizeiler einen Webhook via Webserver+PHP und frägt diese Statusdatei mit cron minütlich ab, um nur bei Veränderung loszulaufen:

* * * * test -e /var/www/r10k/run_now && r10k deploy environment -p && rm /var/www/r10k/run_now &> /dev/null

Sowie der „webhook“:

<?php
$result = shell_exec('touch /var/www/r10k/run_now');
?>

Voncubewerk

Zabbix 5 – hash – /etc/passwd has been changed

Nach einem Upgrade auf Zabbix 5, blieb uns kurz die Luft stehen. Zabbix meldete bei BSD-Systemen:

Geändert hat sich am Kennwort aber nichts. Lediglich intern wird ein neuer Hash-Algorithmus verwendet scheinbar.

Kontrolle ist jedoch besser:

-rw-r–r– 1 root wheel 3.4K Apr 6 11:19 /etc/passwd

Über einen Monat alt und somit ok.

Voncubewerk

Zabbix 5 Neue Funktionen und Verbesserungen

Heute wurde durch den Zabbix CEO in mehreren Sprachen und nahezu zeitgleich das neue Release Zabbix Monitoring Server 5.0 vorgestellt. UFF – viel Neues dabei. Dies ist wieder ein LTS-Release mit Langzeitunterstützung. Was ist hängen geblieben in der einstündigen Präsentation an neuen Features:

  • Webhooks für Alarmierung und Benachrichtigung
  • Interne Knowledge-Base für Metriken und Trigger
  • Native Anbindung an Ticketsysteme und 3rd-Party Tools wie z. B. Otrs, Atlassian Jira und Zammad
  • Mattermost-Anbindung für Signalisierung – Jabber ging/geht ja jetzt schon 🙂
  • Native und häufiger gepflegte Plugins direkt von Zabbix für z. B. nginx, redis, mysql, windows, ha-proxy, ELK, elastic search
  • Neuer zabbix_agent2 Agent für Windows und laut Aussage von Alexei Vladishev (CEO) der persönlich meine Frage vor 200 Teilnehmern beantwortet hat 😉 – auch nativ mit TLS-Support. Bis dato gabs nur von Dritten vorkompilierte windows-Binaries
  • zabbix_agent2 kann jetzt lokal Daten zwischenspeichern – sehr sinnvoll wenn man zuverlässig von Systemen Daten einsammeln will und über schwache Leitungen herantritt an die Systeme
  • zabbix_agent bzw. _agent2 kann jetzt lokal in der client-Konfiguration Anfragen/checks black- bzw. whitelisten – so kann der Client sagen, Server darf z. B. nur die Mysql-Metriken abfragen
  • TLS-Ciphers können jetzt fixiert werden – also auf eine bestimmten Version eingestellt / erzwungen
  • Mysql-Datenbankanbindung jetzt TLS-verschlüsselt nativ möglich über den Zabbix-Installer
  • Einmal bestätigte Probleme können wieder un-acknowledged werden – z.B. wenn ein Team an einem Ticket arbeitet und sich die Situation ändert
  • Secret macros – Macros können jetzt als secret markiert werden – so können z.B. Zugangsdaten einmal hinterlegt werden – sind dann aber nachträglich nicht mehr in der GUI sichtbar
  • preprocessing Replace ohne Regex möglich, bis jetzt konnte man nur mit umständlichen Regex-Regeln, erhaltene Werte von Agents ändern, jetzt gibt es eine Replace-Regel im Item, die z. B. sagt, ersetzen mir einfach A durch B
  • Einfache Checks/Tests von Items au der Zabbix-Gui heraus (geht nur mit passive Checks, die man eigentlich nicht will…)
  • uvw.

Falls Sie noch ein Zabbix 4 System betreiben, freuen wir uns über Ihre Anfrage. Gerne unterstützen wir Sie bei der Migration.

Unser Video dazu bei Youtube: