Настройка сервисов в Icinga 2 и добавление самописного плагина

Тут я устанавливал Icinga 2: http://blog.amet13.name/2015/11/icinga-2-postgresql-nginx.html
Тут я рассказал, как подключить удаленный хост к мониторингу: http://blog.amet13.name/2015/11/icinga-2.html
Тут я когда-то устанавливал самописный плагин для Nagios: http://blog.amet13.name/2014/06/nagios.html

В этой заметке я расскажу, как добавить сервисы для мониторинга и подключу самописный плагин к Icinga 2.

Установка бесплатного сертификата от letsencrypt.org

Я являюсь участником закрытого бета-тестирования https://letsencrypt.org/.

Тут я расскажу, как получить бесплатный сертификат от Let's Encrypt.

Зарегистрироваться в закрытой бете можно тут.

3 декабря 2015 года, планируется запуск открытого бета-тестирования, поэтому ссылка выше уже может быть неактуальна.
UPD: 3 декабря запустили публичную бету, поэтому нет нужды регистрироваться в закрытой бете.

Сертификат дается на три месяца, скорее всего так оно и останется, ибо сами разработчики объясняют это сохранением безопасности, мол времени скомпрометировать шифр гораздо меньше, нежели если бы сертификат генерился на год вперед.

После регистрации в бета-тестировании, должно придти письмо:

В письме будут указаны домены, которые внесены в белый список и для которых можно сгенерировать SSL-сертификаты.

Удаление символа ^M из файла с помощью vim

$ vim file
:%s/ctrl-v+ctrl-m//g

Можно также с помощью dos2unix:
$ dos2unix file

Мониторинг удаленного хоста в Icinga 2

Тут я устанавливал систему мониторинга Icinga 2 с веб-интерфейсом: http://blog.amet13.name/2015/11/icinga-2-postgresql-nginx.html
В этой заметке я расскажу, как подключать удаленные хосты к мониторингу.

Первым делом необходимо инициализировать на сервере мониторинга ноду и указать, что она является мастером:
# icinga2 node wizard
Please specify if this is a satellite setup ('n' installs a master setup) [Y/n]: n (указываем тут, что это мастер-нода)
Starting the Master setup routine...
Please specifiy the common name (CN) [vps.mydomain.name]: icinga.mydomain.name (указываем CN)
... тут идет генерация ключей и сертификатов, обновление файлов конфигов
Now restart your Icinga 2 daemon to finish the installation!

Установка Icinga 2 в связке с PostgreSQL и nginx

Дистрибутив CentOS 7.
Документация: http://docs.icinga.org/icinga2/latest/doc/module/icinga2/toc

Icinga 2 - это система мониторинга, форк Nagios.
Сравнение по багам: https://wiki.icinga.org/display/Dev/Bug+and+Feature+Comparison

Как добавить удаленный хост к мониторингу тут: http://blog.amet13.name/2015/11/icinga-2.html

Установка Icinga 2 и плагинов:
# yum install epel-release
# rpm --import http://packages.icinga.org/icinga.key
# curl -o /etc/yum.repos.d/ICINGA-release.repo http://packages.icinga.org/epel/ICINGA-release.repo
# yum makecache
# yum install icinga2 nagios-plugins-all
# systemctl enable icinga2
# systemctl start icinga2

Установка и настройка OpenVPN в CentOS 7

Ранее я уже писал, как установить и настроить OpenVPN на Debian: http://blog.amet13.name/2015/02/openvpn-vps.html
Сейчас оставлю заметку по CentOS 7, так как тут есть несколько нюансов.

Удобный конфиг для SSH

Вот пример моего конфига:
$ cat ~/.ssh/config
Host vs
   HostName vs.mydomain.name
   Port 221
   User root
   Compression yes

Host st
   HostName site.ru
   User root

Host ovz*
   HostName %h. mydomain.name
   Port 2211
   User myuser
   IdentityFile ~/.ssh/id_rsa
   Compression yes

Примеры подключения:
Подключение как [email protected] -C -p 221:
$ ssh vs

Подключение как [email protected]:
$ ssh st

Подключение как [email protected] -p 2211 -i ~/.ssh/id_rsa -C:
$ ssh ovz1

Подключение как [email protected] -p 2211 -i ~/.ssh/id_rsa -C:
$ ssh ovz99

Проверка сервера на уязвимость SSL Poodle

Уязвимость Poodle обнаружена в SSLv3, поэтому все отказываются от использования этого протокола.
Есть много онлайн-сервисов для проверка включен ли на сервере SSLv3, вот как можно проверить вручную:
$ nmap --script ssl-enum-ciphers -p 443 host.mydomain.name
Starting Nmap 6.40 ( http://nmap.org ) at 2015-11-10 20:14 MSK
Nmap scan report for host.mydomain.name (31.184.196.51)
Host is up (0.050s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   SSLv3: No supported ciphers found
|   TLSv1.0: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors: 
|       NULL
|   TLSv1.1: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors: 
|       NULL
|   TLSv1.2: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|     compressors: 
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 5.24 seconds

Не работает почта в ISPmanager 5 Business

ISPmanager 5 Business совершенно по-идиотски устанавливает Postfix, хотя exim уже установлен, из-за этого возникает конфликт того, что оба сервиса хотят слушать один порт. Баг отправлен испшникам, но они не шевелятся: http://forum.ispsystem.com/ru/showthread.php?t=29277

Пока решил это дело так:
# systemctl disable postfix

Чтобы Postfix не запускался по расписанию ISPшников, я в main.cf добавил опечатку, чтобы сервис вообще не запускался:
# cat /etc/postfix/main.cf | head -2
опечатка, чтобы не запускался постфикс
# Global Postfix configuration file. This file lists only a subset

Удалить Postfix не получается, за собой тянет зависимости.