Sebastian – Seite 3

Installieren von zabbix 3.0 unter Ubuntu 16.04 mit PostgreSQL

26. Juli 2016 by Sebastian 2 Comments

Vor ein paar Tagen habe ich Zabbix 3.0 unter Ubuntu 16.04 installiert. Da ich mich mal ein bisschen mit PostgreSQL auseinander setzen möchte, habe ich mich dazu entschieden diese als Datenbank einzusetzen.

Installation

Als erstes lädt man das entsprechende Release Paket von Zabbix herrunter:

wget http://repo.zabbix.com/zabbix/3.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_3.0-1+xenial_all.deb

welches man anschließend installiert

dpkg -i zabbix-release_3.0-1+xenial_all.deb

Damit wurde nun das entsprechende Repo hinzugefügt und man kann zabbix installieren

apt update
apt install zabbix-server-pgsql zabbix-frontend-php zabbix-agent libapache2-mod-php7.0 php-bcmath php-mbstring php7.0-xml snmp-mibs-downloader

Datenbank anlegen

Als erstes ändert man mal das admin Passwort. Dazu verbindet man sich als erstes mit der Datenbank:

sudo -u postgres psql

Das Passwort ändert man wie folgt

\password

Zweimal neues Passwort eingeben und fertig. Nun legt man eine neue Datenbank und einen neuen User an und geben diesem alle Rechte auf dieser:

sudo -u postgres psql
CREATE DATABASE zabbix WITH ENCODING='UTF-8';
CREATE USER zabbix WITH PASSWORD '$password';
GRANT ALL ON DATABASE zabbix TO zabbix;

Nun füllen wir noch die Datenbank mit Inhalt. Dazu gibt es die Datei create.sql.gz, unter /usr/share/doc/zabbix-server-pgsql/.

zcat /usr/share/doc/zabbix-server-pgsql/create.sql.gz | sudo -u postgres psql zabbix -h 127.0.0.1 -d zabbix

PostgreSQL Konfigurationen ändern

Wenn man nur lokal auf die Datenbank zugreift, kann man das hier überspringen. Ich wollte aber gern per pgadmin3 auf diese zugreifen.
Per default lauscht die Datenbank nur auf localhost, also 127.0.0.1. Um das zu ändern, ändert man folgendes in der Datei /etc/postgresql/9.5/main/postgresql.conf

# listen_addresses = '127.0.0.1'

nach

listen_addresses = '*'

Nun muss noch die Konfiguration bearbeitet werden, welche die Authentifizierung regelt /etc/postgresql/9.5/main/pghba.conf. Darin added man folgende Zeile:

# TYPE  DATABASE        USER            ADDRESS                 METHOD
host       all                       all                  all                             md5

Das geht natürlich noch schöner und vor allem restriktiver, was für meine Testinstallation jetzt nicht von nöten war.
Anschließend noch den Dienst neu starten und danach sollte man mit pgadmin3 auf die Datenbank zugreifen können

systemctl restart postgresql

Zabbix Server in Betrieb nehmen

Damit der Dienst läuft mussten noch die Zugangsdaten zur Datenbank in die /etc/zabbix/zabbix_server.conf eingetragen werden:

DBHost=127.0.0.1
DBName=zabbix
DBUser=zabbix
DBPassword=$password

Anschließend kann man den Dienst aktivieren und starten:

systemctl enable zabbix-server
systemctl enable zabbix-agent
systemctl start zabbix-server
systemctl start zabbix-agent

Frontend konfigurieren

Hier muss in der Datei /etc/apache2/conf-enabled/zabbix.conf folgende Zeile angepasst werden

nach

Anschließend muss der apache2 einmal neu gestartet werden

systemctl restart apache2

Das war es dann auch. Nun kann das Frontend über den Browser http://$ip/zabbix aufgerufen werden und die Installation abgeschlossen werden.
Was mich bei dieser Installation gewundert hat, war, das ich mich nicht daran erinnere bei älteren Zabbix Installationen so einen „Konfigurationsaufwand“ gehabt zu haben. Zum einen die Pakete, die man noch manuell installieren muss, welche, meine ich, früher bereits in den Dependencies enthalten waren und zum anderen die IfModule Zeile in der apache2 Konfiguration, welche noch php5 beinhaltet. Ich mein es ist ja nun bekannt das php7 in Xenial Einzug gehalten hat. Aber alles in allem verkraftbar.

Update

Hier gibts das ganze noch als Script: Gist Danke an Alexey für den Hinweis in den Kommentaren.

Windows: Copy-Paste funktioniert nicht mehr über RDP

19. Juli 2016 by Sebastian 1 Comment

Für gewisse Dinge muss ich auf Arbeit leider noch Windows benutzen, wie z.B. Excel Listen mit Makro’s. (wo ist der Kotz-Smile wenn man ihn braucht…) Zu diesem Zweck hab ich ne virtuelle Maschine laufen, welche auch unser Azubi mit nutzt. Als er heute eine Liste bearbeiten musste, hing sich irgendwann bei ihm mal Remmina auf und als er sich wieder verband, konnte er kein Copy-Paste mehr von seinem PC zur VM nutzen. Bei mir ging es ebenfalls nicht mehr, verband ich mich jedoch auf eine andere Windows VM funktionierte es. Es lag also nur an der VM. Auf dieser schaute ich mir dann mal Prozess Liste an und da viel mir der Dienst rdpclip.exe auf, welchen ich dann einfach mal beherzt killte und über Ausführen neu startete und siehe da, es läuft wieder.

Und das ganze nochmal in Kurz:

Den Prozess rdpclip.exe über den Taskmanager killen
Start – Ausführen öffnen (oder Win+R)
rdpclip.exe eingeben und Enter drücken
Nun sollte Copy-Paste über RDP wieder funktionieren

TrueCrypt: TrueCrypt already running

17. Juli 2016 by Sebastian 2 Comments

Ja, ich benutze noch TrueCrypt. Ich weiß das es nicht mehr weiterentwicklet wird, aber ich war bisher immer zu faul mal auf eine Alternative, wie z.B. VeryCrypt, umzustellen. Sollte ich demnächst mal angehen.

Jedenfalls bekam ich heute die Nachricht als ich meinen Container öffnen wollte das TrueCrypt bereits läuft:

TrueCrypt already running!

Ich schaute erstmal nach ob bereits der Dienst läuft oder ob eventuell vom Container eine .lock Datei oder so existierte, was nicht der Fall war. Allerdings fiel mir im home Verzeichnis eine .TrueCrypt-lock-$myusername auf. Nachdem ich diese gelöscht hatte, lies sich TrueCrypt wieder problemlos starten.

keybase Invites zu vergeben #2

28. Juni 2016 by Sebastian Leave a Comment

In einem vorhergehenden Artikel hatte ich bereits geschrieben, das ich ein paar wenige Keybase Einladungen zu vergeben habe. Ich habe nun noch ein paar zusätzliche bekommen und habe somit 17 weitere zu vergeben.

Wer Interesse hat, einfach hier kurz in die Kommentare posten oder mit mir Kontakt aufnehmen.

Synology Android Apps und Reverse Proxy

28. Juni 2016 by Sebastian 5 Comments

Da ich meinem Vater schon vor einer Weile eines meiner alten Raspberry Pi’s als Gateway für mein VPN zu Hause installiert habe, damit er z.B. meine NAS zu Hause einbinden kann und ich seine, kam mir neulich der Gedanke das ich ihm doch auch seine NAS Dienste über meinen Reverse Proxy zur Verfügung stellen könnte. Der Vorteil wäre das er keine Ports mehr in seinem Router zu Hause öffnen müsste und er meine Domain nutzen könnte, statt dieser verkrüppelten myfritz Domain, die er vorher nutzte.

Der Synology NAS eine weitere IP aufs Interface drücken

Bei meiner alten Synology NAS (DS209j) ging das, indem ich einfach die entsprechenden ip addr add und ip route add Zeilen in die /etc/rc.local schreibe. Synology entschied aber scheinbar irgendwann zwischen DSM 4.2 und 6 diese zu deaktivieren. Im Synology Forum fand ich dann den Hinweis das man nun Scripte unter /usr/local/etc/rc.d/ ablegen kann, welche dann beim booten ausgeführt werden. Schöne Theorie, in der Praxis tat es das jedoch bei mir nicht.
Als ich mir dann mal den Aufgabenmanager des DSM anschaute, sah ich das man hier ja benutzerdefinierte Scripte ausführen kann und das nicht nur zeitgesteuert, sondern auch bei Events wie Boot oder Shutdown. Also habe ich hier eine entsprechende Aufgabe angelegt und mein Script in mein Home verlegt. Nach einem Neustart hatte das Interface jedoch immernoch keine zusätzliche IP bekommen, das Script wurde aber laut Eventlog ausgeführt und zwar ohne Fehler. Mir kam dann der Gedanke, das vielleicht das Script schon ausgeführt wird, bevor das Interface eigentlich Up gesetzt wird. Also schrieb ich einfach mal ein sleep 10 an den Anfang und siehe da, nun funktioniert es.

Reverse Proxy einrichten

Sollte ja erstmal kein Akt sein. Nginx lief schon als Reverse Proxy auf einem meiner Server und ich fügte lediglich eine neue Server Sektion hinzu:

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name nas.de;

    ssl_certificate /etc/letsencrypt/live/nas.de/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/nas.de/privkey.pem;

    location / {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass https://1.1.10.20:5001;
    }
}

An dieser Stelle habe ich das erste mal mit letsencrypt Zertifikaten gearbeitet. War sehr angenehm und einfach. Anschließend war die NAS schonmal erreichbar, man konnte sich einloggen und alles lief soweit – bis auf die Photostation.
Diese verwendet ja einen anderen Port, in meinem Fall 5002. Rief ich diese im lokalen Netz aus dem DSM heraus auf, hängt er lediglich /photo an die Domain an, machte ich es jedoch über den Reverse Proxy hängte er noch den Port mit an. In der Photostation ist es möglich den Routerport zu ändern, welchen ich dann in 443 abänderte. Anschließend versuchte ich es erneut, mit dem Ergebnis das er nun keinen Port mehr anhängt, die Adresse jedoch noch immer nicht erreichbar war. Ich fügte dann folgendes, zusätzlich, in die Server Sektion der Nginx Konfiguration ein, damit /photo intern auf Port 5002 weitergeleitet wird:

    location /photo {
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_pass https://1.1.10.20:5002/photo;
    }

Das funktionierte dann auch und nun funktionierten alle Dienste soweit.

Synology DS Apps

Da mein Vater die Apps von Synology ziemlich gut findet und diese auch ausführlich nutzt, müssen diese natürlich auch funktionieren. Ich ging also jede App durch und das Ergebnis war

DS note – funzt

DS audio – funzt nicht

DS video – funzt nicht

DS file – funzt nicht

DS photo – funzt nicht

Die Daten wurden von mir dabei in jeder App gleich eingegeben. Dann ging die Sucherei los, ich guckte auf der Synology Seite nach, ob diese Apps eventuell noch zusätzliche Ports benötigen oder man noch Rechte setzen musste und so weiter. Nachdem ich dabei zu keiner Lösung kam, schaute ich mir dann mal den Traffic mit tcpdump an und stellte fest das alle Apps, bis auf die DS Note, per Default, den Port 5001 nutzen, wenn man keinen anderen in die Domain anhängt. Also per iptables einen Redirect von port 5001 nach 443 auf dem Reverse Proxy eingrichtet und dann lief alles:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 5001 -j REDIRECT --to-port 443 -m comment --comment "syno port fix"

Mir stellt sich da wieder die Frage was das soll. Entweder nutzt man den Standart HTTPS Port, wenn der Haken bei HTTPS gemacht wird oder man setzt einen Hinweis, das bei HTTPS der Port 5001 benutzt wird. Und das macht man dann bitte auch in jeder App einheitlich und nicht mal da so und da anders.

Alles in allem ist mein Vater nun glücklich und es funktioniert alles.

Redmine: PDF generieren failed bei Tickets mit U+FFFD Zeichen

6. Juni 2016 by Sebastian Leave a Comment

Ein Kollege hat sich in unserem Redmine eine benutzerdefinierte Abfrage für Abrechnungen gebastelt. Als er aus der Anzeige heraus dann ein PDF genieren wollte, bekam er nur die Error Page von Redmine zu sehen. Als Fehler bekam ich im Log folgendes:

ArgumentError (invalid byte sequence in UTF-8):
  lib/plugins/rfpdf/lib/tcpdf.rb:3037:in `gsub'
  lib/plugins/rfpdf/lib/tcpdf.rb:3037:in `escape'
  lib/plugins/rfpdf/lib/tcpdf.rb:3028:in `escapetext'
  lib/plugins/rfpdf/lib/tcpdf.rb:1748:in `Cell'
  lib/plugins/rfpdf/lib/tcpdf.rb:1968:in `Write'
  lib/plugins/rfpdf/lib/tcpdf.rb:3530:in `block in writeHTML'
  lib/plugins/rfpdf/lib/tcpdf.rb:3501:in `each'
  lib/plugins/rfpdf/lib/tcpdf.rb:3501:in `writeHTML'
  lib/plugins/rfpdf/lib/tcpdf.rb:3612:in `writeHTMLCell'
  lib/redmine/export/pdf.rb:141:in `RDMwriteHTMLCell'
  lib/redmine/export/pdf.rb:483:in `block in issues_to_pdf'
  app/helpers/issues_helper.rb:29:in `block in issue_list'
  app/helpers/issues_helper.rb:25:in `each'
  app/helpers/issues_helper.rb:25:in `issue_list'
  lib/redmine/export/pdf.rb:444:in `issues_to_pdf'
  app/controllers/issues_controller.rb:93:in `block (2 levels) in index'
  app/controllers/issues_controller.rb:86:in `index'

Es stimmte also etwas mit der Codierung nicht. Nun sah ich das in manchen Beschreibungen U+FFFD Charaktere (Unicode Replacement Charaktere) enthalten waren. Als ich dann mal nach dem Problem suchte in Bezug auf das PDF Plugin von redmine, fand ich dann auch einen entsprechenden Forumpost. Also hab ich kurzer Hand, wie beschrieben mal die Datei gepatcht:

patch /usr/share/redmine/lib/plugins/rfpdf/lib/tcpdf.rb < /tmp/tcpdf.diff

Anschließend funktionierte das PDF erstellen wieder ohne Probleme. In neuere Redmine Versionen ist dies natürlich schon behoben, die PPA Version hat aber nie ein Update erfahren, weswegen ich diese auch demnächst ersetzen werde.

XFCE Terminal Tastenkürzel ändern

23. Mai 2016 by Sebastian 2 Comments

Nur ein kleiner Beitrag als Gedankenstütze für später, da ich nun schon zum dritten mal beim Einrichten von XFCE danach gesucht habe. Ich möchte gern im Terminal mit ALT-Pfeil rechts oder links zwischen den Reitern hin und her springen. Default ist jedoch ALT+Bild auf oder ab.
Um es zu ändern geht man als erstes in die Systemeinstellungen unter Erscheinungsbild und wählte hier im Reiter Einstellungen den Punkt Menükürzel veränderbar machen. Nun kann das XFCE Terminal öffnen und klickt auf Reiter. Hier hovert man über Vorheriger oder Nächster Reiter und drückt die Backspace Taste, wodurch das Tastenkürzel, welches dahinter steht, verschwinden sollte. Nun drückt man noch anschließend die gewünschte Kombination und schon ist es geschafft.
Das geht natürlich auch mit den anderen Tastenkürzeln.

Ubuntu Xenial preseed: „The installer has detected that the following disks have mounted partitions“

12. April 2016 by Sebastian Leave a Comment

Ich bastel auf Arbeit gerade neue Installstick’s für unsere Software, da ja Xenial vor der Tür steht. Mit Hilfe einer Preseed Konfiguration kann ich schon vorher festlegen was während der Installation wie konfiguiert werden soll, ohne händisch alles auszuwählen. Heute lief ich bei der Partitionierung permanent in einen Fehler. Jedes mal beim booten des Sticks mountete er /dev/sda1 nach /media und meldete dann beim partitionieren:

The installer has detected that the following disks have mounted partitions

Ok, gemountete Partition. Sag ich ihm halt mit folgendem in der preseed.cfg, dass alle aktiven Parititonen vorher ausgehängt werden sollen:

d-i partman/unmount_active boolean true

Das brachte allerdings nichts, da die Option scheinbar einfach ignoriert wird. Nach kurzem suchen, fand ich dann auch direkt den passenden Bugreport. Das Problem existiert bereits seit 14.04 und scheint ein Problem von debian-installer-utils und/oder partman-base zu sein. Es scheinen meines erachtens beide Recht zu haben, denn zum einen scheint ja der debian-installer, ohne (für mich) ersichtlichen Grund, Partitionen nach /media zu mounten und zum anderen scheint die umount_active question auf false gesetzt, wodurch partman das dann auch nicht abfängt.

Für mich brachte dann, wie auch im Bugreport erwähnt, folgende Zeile in der preseed.cfg den Erfolg:

d-i preseed/early_command string umount /media

keybase Invites zu vergeben

31. März 2016 by Sebastian Leave a Comment

Nach langem warten habe ich vor ein paar Wochen endlich meinen Keybase Invite bekommen. Der Ansatz von Keybase ist, deinen GPG Key mit deinen Online Identitäten zu verknüpfen und so nachzuweisen das du du bist. Ich finde das gar keine schlechte Idee, denn vielen denen ich GPG erkläre (oder zumindest versuche), finden diese Verifizierungmethode, von wegen treffen und Ausweis kontrollieren, einfach viel zu umständlich. Wenn ich dann noch anfange ihnen zu erklären, wie das dann mit Key Signing funktioniert, kann ich es total knicken.
Bei Keybase läuft das dann verhältnismäßig simpel ab. Man registriert sich, lädt seinen Public Schlüssel hoch und lädt sich das Keybase Tool herunter. Es gibt auch die Möglichkeit ein Schlüsselpaar auf der Seite generieren zu lassen oder aber neben seinem Public Key auch den Privat Key hochzuladen. Ich rate von beiden, aus Sicherheitsgründen ab! Jedenfalls kann man dann mit dem Keybase Tool z.B. seinen Twitter Account verifizieren. Das Tool generiert mit dem Privatkey einen Tweet, den man dann posten muss, diesen findet Keybase dann und sieht damit als erwiesen an, das der Twitter Account dir gehört.
Das mal in Kurzform, für eine weit ausführlichere Beschreibung, inkl. Kritiken ist der Artikel von mspro zu empfehlen.

Da der Dienst noch in der Alpha Phase steckt, ist der Zugang nur über einen Invite möglich. Davon habe ich noch 3 Stück zu vergeben. Wer also Interesse hat, einfach hier kurz in die Kommentare posten oder mit mir Kontakt aufnehmen.

Dynamisches Bash dialog Menü

4. März 2016 by Sebastian Leave a Comment

Auf Arbeit muss ich eine kleine GUI, die mit dialog geschrieben ist, anpassen, über welche Kunden ggf. ein paar kleine Einstellungen tätigen können. Im Fall Netzwerkinterface konfigurieren, kam mir heute in den Sinn, dass es ja durchaus sein kann, das es mehrere Interface, gleichen Typs, also z.B. 2x WLAN, geben kann und ich das auch gern berücksichtigen würde. Wenn also mehr als zwei Interface auftauchen, soll ein entsprechendes Menü in dialog generiert werden, was ich wie folgt gelöst hab:

TPATH=$(mktemp -d)
aintf=$(cat /proc/net/dev | grep ^\s*wl.*:.*$ | awk -F":" '{printf"%s ", $1}')

if [ "$(echo $aintf | wc -w)" -gt "1" ]; then
        c=1
        for i in $aintf; do
                list_opt=("${list_opt[@]}" "$i" "Interface$c")
                c=$[c+1]
        done
        diacmd=(dialog --menu "Interface" 15 60 10)
        cmd=`echo "${diacmd[@]}" "${list_opt[@]}"`
        $cmd 2> $TPATH/dialog.tmp
        interf=`cat $TPATH/dialog.tmp`
else
        interf=${aintf[0]}
fi

KOKOLOR.ES

Hier geht's einfach mal um alles und nichts!

Author: Sebastian