Mit monit die Serverdienste überwachen

Zockertown: Nerten News

Thursday, 11. March 2010

Mit monit die Serverdienste überwachen

Posted by
bed
at 15:50

Die Rootgemeinschaft hat nun eine Serverüberwachung mit monit bekommen.

Eine rudimentäre Serverüberwachung hat man im ISPConfig 3 ja bereits frei Haus. Nur gerade im email Bereich gibt es so viele Dienste, die in einander greifen, das man nicht auf anhieb erkennen kann, woran es liegt, wenn es klemmt.

Die wichtigsten Dienste habe ich nun in die Überwachung integriert, es werden aber mit der Zeit sicherlich noch weitere dazu kommen.

Die Konfigurationsdatei für monit bei Debian Lenny ist die /etc/monit/monitrc

Es sind ausreichend Beispiele in der Datei enthalten und in man monit gibt es weitere Hinweise.

Ich habe mich dazu entschlossen, den Dienst von aussen erreichbar zu gestallten, was aber ein erhebliches Sicherheitsrisiko darstellt. Deshalb ist der Zugang nur über ssl möglich. Das Passwort solte wirklich ein Passwort sein, denn man kann über die Weboberfläche die Dienste auf stoppen! Wenn man den Parameter Readonly hinter das Passwort stellt, hat man diese Gefahr gebannt. Wenn man die Einträge wegläßt, dann wird kein Webserver gestartet, alternativ kann man aber den Webserver nur für Localhost erreichbar machen.

Für die einzelnen Dienste benutze ich jeweils einzelne Dateien, die immer einzeln mit einem include geladen werden, damit ist das debuggen einfacher :-)  Der Aufruf von monit -t macht einen Sysntax check und erpart einem so manche frustrierende Fehlersuche.

Bitte daran denken, das die Pfade wirklich passen müssen, simples Copy& Paste meiner Einträge wird nur selten gelingen.

#/etc/monit/monitrc

set httpd port 2812 and
     SSL ENABLE
     PEMFILE  /etc/ssl/private/monit.pem
     allow admin:geheimpassword readonly

set logfile /var/log/monit.log
set mail-format { from: monit(ätt)rootgemeinschaft.de }
set alert systemverwaltung (ätt) rootgemeinschaft.de
set alert andere(ätt)irgend.wo only on { timeout }
set daemon 60
include /etc/monit/conf.d/courier-imap  
include /etc/monit/conf.d/courier-imap-ssl 
include /etc/monit/conf.d/courier-pop3  
include /etc/monit/conf.d/courier-ssl  
include /etc/monit/conf.d/postfix  
include /etc/monit/conf.d/saslauthd  
include /etc/monit/conf.d/spamassassin
include /etc/monit/conf.d/amavis
include /etc/monit/conf.d/clamav
include /etc/monit/conf.d/postgrey
include /etc/monit/conf.d/ssh
include /etc/monit/conf.d/pure-ftp

include /etc/monit/conf.d/ssh

----------------

Diese Grund Config habe ich benutzt 

# create RSA certs - Server

RANDFILE = ./openssl.rnd

[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type

[ req_dn ]
countryName = Country Name (2 letter code)
countryName_default = de

stateOrProvinceName             = Germany
stateOrProvinceName_default     = Germany

localityName                    = Koenigslutter
localityName_default            = Koenigslutter

organizationName                = Rootgemeinschaft.de
organizationName_default        = Rootgemeinschaft.de

organizationalUnitName          = Dept. of Monitoring Technologies
organizationalUnitName_default  = Dept. of Monitoring Technologies

commonName                      = rootgemeinschaft.de
commonName_default              = rootgemeinschaft.de

emailAddress                    = systemverwaltung (ätt) rootgemeinschaft.de
emailAddress_default            = root (ätt) localhost.de

[ cert_type ]
nsCertType = server
-------

Zum generieren des SSL Zertifikates habe ich mich weitgeht an den üblichen Standard gehalten. 

openssl req -new -x509 -days 365 -nodes -config /etc/ssl/private/monit.cnf -out /etc/ssl/private/monit.pem -keyout /etc/ssl/private/monit.pem
openssl gendh 512 >> /etc/ssl/private/monit.pem
openssl x509 -subject -dates -fingerprint -noout -in /etc/ssl/private/monit.pem
chmod 700 /etc/ssl/private/monit.pem
/etc/init.d/monit restart

----------------

Hier die einzelnen Dateien der conf.d/.

Man kann sich auch sehr gut im Wiki des Projektes informieren. Dort ist auch der korrekte Eintrag fürs Log-Rotating zu finden.

#courier-imap
check process imap with pidfile /var/run/courier/imapd.pid
   group mail
   start program = "/etc/init.d/courier-imap start"
   stop  program = "/etc/init.d/courier-imap stop"
   if failed port 143 then restart
   if 5 restarts within 5 cycles then timeout
------------- 
#courier-imap-ssl
check process imapd-ssl with pidfile /var/run/courier/imapd-ssl.pid
   group mail
   start program = "/etc/init.d/courier-imap-ssl start"
   stop  program = "/etc/init.d/courier-imap-ssl stop"
   if failed port 993 then restart
   if 5 restarts within 5 cycles then timeout
-------------- 
#courier-pop3
check process pop3 with pidfile /var/run/courier/pop3d.pid
   group mail
   start program = "/etc/init.d/courier-pop start"
   stop  program = "/etc/init.d/courier-pop stop"
   if failed port 110 then restart
   if 5 restarts within 5 cycles then timeout
------------- 
#courier-ssl
check process pop3 with pidfile /var/run/courier/pop3d.pid
   group mail
   start program = "/etc/init.d/courier-pop start"
   stop  program = "/etc/init.d/courier-pop stop"
   if failed port 110 then restart
   if 5 restarts within 5 cycles then timeout
------------ 
#postfix
check process postfix with pidfile /var/spool/postfix/pid/master.pid
group mail
start program = "/etc/init.d/postfix start"
stop  program = "/etc/init.d/postfix stop"
if failed port 25 protocol smtp then restart
if 5 restarts within 5 cycles then timeout
------------- 
#saslauthd
check process saslauthd with pidfile /var/spool/postfix/var/run/saslauthd/saslauthd.pid
       group mail
       start program = "/etc/init.d/saslauthd start"
       stop  program = "/etc/init.d/saslauthd stop"
       if failed unix /var/spool/postfix/var/run/saslauthd/mux then restart
       if 5 restarts within 5 cycles then timeout
       depends on saslauthd_bin

check file saslauthd_bin with path /usr/sbin/saslauthd
       group mail
       if failed checksum then unmonitor
       if failed permission 755 then unmonitor
       if failed uid root then unmonitor
       if failed gid root then unmonitor
----------- 
#spamassassin
 check process spamd with pidfile /var/run/spamd.pid
   group mail
   start program = "/etc/init.d/spamassassin start"
   stop  program = "/etc/init.d/spamassassin stop"
   if 5 restarts within 5 cycles then timeout
----------- 
#amavis
check process amavisd with pidfile /var/run/amavis/amavisd.pid
   group mail
   start program = "/etc/init.d/amavis start"
   stop  program = "/etc/init.d/amavis stop"
   if failed port 10024 protocol smtp then restart
   if 5 restarts within 5 cycles then timeout
----------- 
#clamav
check process amavisd with pidfile /var/run/amavis/amavisd.pid
   group mail
   start program = "/etc/init.d/amavis start"
   stop  program = "/etc/init.d/amavis stop"
   if failed port 10024 protocol smtp then restart
   if 5 restarts within 5 cycles then timeout
------ 
#postgrey
check process postgrey with pidfile /var/run/postgrey.pid
   group mail
   start program = "/etc/init.d/postgrey start"
   stop  program = "/etc/init.d/postgrey stop"
   if failed port 60000 then restart
   if 5 restarts within 5 cycles then timeout
------------ 
#ssh
check process ssh with pidfile /var/run/sshd.pid
     start program = "/etc/init.d/ssh start"
     stop program = "/etc/init.d/ssh stop"
     if failed port 22 protocol ssh then restart
     if 5 restarts within 5 cycles then timeout
----------- 
#pure-ftpd
check process pure-ftpd with pidfile /var/run/pure-ftpd/pure-ftpd.pid
group ftp
    start program = "/etc/init.d/pure-ftpd-mysql start"
    stop  program = "/etc/init.d/pure-ftpd-mysql stop"
    if failed port 21 protocol ftp then restart
    if 5 restarts within 5 cycles then timeout
Damit habe ich die Möglichkeiten von monit noch lange nicht ausgeschöpft, aber vorerst sind die wichtigsten Dienste erfasst. Die Gameserver werden sicherlich noch folgen.
4 Comments | No Trackbacks
Defined tags for this entry: , , ,
Related entries by tags:
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Comments
Display comments as (Linear | Threaded)

*Per:

allow admin:geheimpassword readonly

kannst du den Zugriff per Web auf "Nur lesen" setzen.

So ist dann das stoppen oder Starten von Diensten nicht mehr möglich.

Gruß derhil

#1 derhil (Homepage) on 2010-03-11 19:36 (Reply)

*Mensch, danke!
Das habe ich glatt übersehen, aber gleich umgesetzt!
8-)

#1.1 bed (Homepage) on 2010-03-11 20:06 (Reply)

*Ps: Bewährungsprobe letzte Nacht:
von Hotmail.com kamen 155.ooo emails (über syslog gezählt) rein. Keine davon wurde zugestellt, ist ja klar, aber der Amavisd war etwas überlastet, was man auch prima in munint sehen kann :-)
Da hat monit die Überwachung gestoppt, weil trotz 5maligen Neustart keine Reaktion kam.
http://zockertown.de/s9y/uploads/linux/rootgemeinschaft.de-amavis_debian-day.png

#2 bed (Homepage) on 2010-03-12 14:29 (Reply)

*Man muss bei monit etwas fummeln, z.B. hab ich bei manchen Services drin, dass erst bei 2 aus 5 Fehlversuchen neu gestartet wird, aber wenns mal läuft, ist es echt ne tolle Sache und ergänzt upstart super. Die DSL von monit kann sich mit denen aus dem Rubylager, die ich sonst so benutze, locker messen. Für Services, die keine uptime von über 0,99 brauchen, genau richtig.

#3 adun on 2010-03-12 14:41 (Reply)
Add Comment
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Gravatar/Pavatar/Favatar/Twitter/Identica/MyBlogLog author images supported.
Standard emoticons like :-) and ;-) are converted to images.
BBCode format allowed
Textile-formatting allowed
 
   
 

Blog abonnieren

Getaggte Artikel







































































Die letzten Kommentare

manco about Gea MCBA 1238D Fehler 05
Mon, 28.06.2010 12:56
*hallo, es kennen sich wenig l eute mit dem gerät aus, darum gibts irre reparaturvorschläge . melde dich bei mir pe [...]
bed about Gea MCBA 1238D Fehler 05
Mon, 28.06.2010 12:41
*Ist so eine Sache, eigentlich bin ich *vor allem gemessen am Preis* mit der Therme zufrie den. Ist ja nun auch sch [...]
Anne Trebesus about Gea MCBA 1238D Fehler 05
Fri, 25.06.2010 09:56
*Habe auch IG 11/22 eingebaut 1 997 und Anfangs Macken und Ste uergerät ausgetauscht. Bei dem funktioniert die Nachta [...]
anon about DVD Authoring - Slideshow
Thu, 24.06.2010 18:12
DVD Authoring Software ist ein deutig eine Schwachstelle im P ortfolio der Firma Linux! D as stimmt im jahre 2010 [...]
anon about Neuer Server, neue Verwaltung ISPConfig
Wed, 16.06.2010 09:48
Der Beitrag ist jetzt zwar sch on uralt, aber da die Kommenta rfunktion noch funktioniert: s tunnel lautet die Lösung [...]
bed about lvm-resize mit GUI
Wed, 26.05.2010 17:38
*Gerade eben Online meine Root- Partition vergrössert. Ich hat te 5 Gig Reserve noch liegen g ehabt. Super!
Joe about SMART-MX40 DVB-S Receiver Fernbedienung defekt
Sat, 15.05.2010 18:51
*joa, danke:) dann werd ich de nn mal tauschen…
BtU about Zockertown ist umgezogen: Die erste Domain auf dem neuen Server
Sat, 15.05.2010 17:25
*Radio Eriwan: Im Prinzip gut, aber… Viel Arbeit (viel zu viel, und das liegt nicht nur an der superdünnen Pers [...]
bed about Zockertown ist umgezogen: Die erste Domain auf dem neuen Server
Sat, 15.05.2010 13:42
*Ich habe die Liste für Securit y Alerts abonniert, dort ist n och nix, Aber danke, werde mi ch drum kümmern. Habe i [...]
bed about SMART-MX40 DVB-S Receiver Fernbedienung defekt
Sat, 15.05.2010 13:34
*Na klar: http://www.reichelt.de/?ACTION=3;ARTICLE=33298;PROVID=2402 hier der l ink zum Datenblatt [url] [...]

Auch interessant

Tuxmobil.de

tuxmobil.org
planet.debianforum.de
planet.rootforum.de
planet.ubuntuusers.de
www.taktikzone.de
robertlender.info/blog
lonesomwolf.de/Blog
blog.forum4winde.de/
blog.tiyun.de

rootgemeinschaft.de
battlefield-germany.de

Lizenz der Artikel

Creative Commons License - Some Rights Reserved
Original content in this work is licensed under a Creative Commons License