Admintagebuch - Dokumentation der Admintätigkeiten

Nginx des Wikis neu gestartet, weil das Zertifikat nicht aktualisiert worden ist und defekt war.

Ich verstehe nicht ganz, warum das nicht geklappt hat. Der entsprechende Hook ist eigentlich konfiguriert:

root@wiki ~ # zgrep acme /var/log/syslog*
/var/log/syslog.1:May  3 00:30:01 wiki CRON[9404]: (root) CMD (/root/.acme.sh/acme.sh --cron --home "/root/.acme.sh" --nginx --post-hook "systemctl restart nginx" > /dev/null)
/var/log/syslog.2.gz:May  2 00:30:01 wiki CRON[2697]: (root) CMD (/root/.acme.sh/acme.sh --cron --home "/root/.acme.sh" --nginx --post-hook "systemctl restart nginx" > /dev/null)
/var/log/syslog.3.gz:May  1 00:30:01 wiki CRON[26583]: (root) CMD (/root/.acme.sh/acme.sh --cron --home "/root/.acme.sh" --nginx --post-hook "systemctl restart nginx" > /dev/null)
/var/log/syslog.4.gz:Apr 30 00:30:01 wiki CRON[16490]: (root) CMD (/root/.acme.sh/acme.sh --cron --home "/root/.acme.sh" --nginx --post-hook "systemctl restart nginx" > /dev/null)
/var/log/syslog.5.gz:Apr 29 00:30:01 wiki CRON[9352]: (root) CMD (/root/.acme.sh/acme.sh --cron --home "/root/.acme.sh" --nginx --post-hook "systemctl restart nginx" > /dev/null)
/var/log/syslog.6.gz:Apr 28 00:30:01 wiki CRON[1390]: (root) CMD (/root/.acme.sh/acme.sh --cron --home "/root/.acme.sh" --nginx --post-hook "systemctl restart nginx" > /dev/null)
/var/log/syslog.7.gz:Apr 27 00:30:01 wiki CRON[21769]: (root) CMD (/root/.acme.sh/acme.sh --cron --home "/root/.acme.sh" --nginx --post-hook "systemctl restart nginx" > /dev/null)
1 Like

Habe im Wiki das AddOn „Table Filter and Charts“ aktiviert.

Ich benutze besonders gerne den globalen Filter.
Demo / Anleitung: https://docs.stiltsoft.com/display/public/TFAC/How+to+use+Table+Filter+macro

1 Like

Wir haben heute Gateways auf Debian 10 (mit Kernel 5.4.0) portiert.

  • tj01
  • automatix
  • idefix (neu)
  • des1
  • parad0x
3 Like

Multique auf tj01 automatix idefix und des1 aktiviert.

2 Like

IP-Routing für Gateways ohne eigenen Upstream repariert.

@citronalco, wir mussten leider einen Teil den du gemergt hast, wieder rauspatchen. Der Fall dass ein Gateway keine eigene Tunnel hat, hat nicht mehr funktioniert. Die Pakete wurden ungenattet rausgeschickt und wurden verworfen.

2 Like

Oha. Hoffentlich hat das hat keine ernsthaften Netzprobleme bei euch verursacht.

Halb so wild, ist ein Netz zum Spielen und Lernen :grinning:.

2 Like
  • Tunneldigger Fanlin neu gestartet, hat gesponnen
  • Corny Nat-IP korrigiert, da sie von außen nicht pingbar war. Alte wieder aktiviert, ausgerollt und neu gestartet

=> Damit geht dann jetzt auch Domäne 51 wieder. Da gab es leider auf beiden Gateway zeitgleich unterschiedliche Probleme :confused:

2 Like

c1024 neu gestartet weil komisch…
tj01 neu ausgerollt da sich hier wohl irgendwie unsere ifupdow2 Konfig hin verschlichen hat und daher keine bck-* Tunnel zu den anderen Gateways aufbauen konnte.

3 Like

Remue-09 neu gestartet weil:

1 Like

mesh-announce in der Rolle gateways_respondd leicht modifiziert damit Gateways eindeutige Hostnamen auf der Karte bekommen und auf alle Gateways ausgerollt.

py-respondd hab ich deaktiviert.

mesh-announce ersetzt damit vorerst unser bisher genutztes py-respodd von @descilla bis wir py-respondd „repariert“ haben.

2 Like

kea-dhcp4 auf remue-09 gestartet.

3 Like

Forum aktualisiert.

2 Like

IPv4-NAT vom Firmware-Server repariert.
Interne IP hatte sich geändert -> iptables angepasst.

2 Like

Dem Firmware-Server eine Native IPv4 spendiert da das NAT andauernd kapod is und die IP noch frei war…

2 Like

Auf der neuen check MK VM Port 111 per iptables gedropt und iptables-persistent installiert weil das BSI Portmapper doof findet und Nervmails verschickt… rpcbind ist wohl eine Abhängigkeit von Check MK daher hab ich es nicht einfach deinstalliert.

2 Like

Auf der check_mk-Kiste:

systemctl stop rpcbind
systemctl stop rpcbind.socket 
systemctl disable rpcbind.socket 
systemctl disable rpcbind
systemctl disable rpcbind.target
systemctl stop rpcbind.target

Ich hatte deinen Post vorher nicht gelesen. @corny456.
Doppelt hält besser :slight_smile:

3 Like

Zertifikate für den CheckMK-Server status.tld konfiguriert.

1 Like

Was lange währt, wird endlich gut: corny läuft mit dem Ansible-Zweig as-router-als-gateway mit ifupdown2 produktiv. :tada::tada:

eth0 kann auf Grund des folgenden Bugs noch nicht neu gestartet werden: https://github.com/CumulusNetworks/ifupdown2/issues/147

Dies kann manuell umgangen werden:

ip addr del 144.76.69.56 peer 144.76.69.37/32 dev eth0
1 Like

Da mir aufgefallen war das diverse IPs aus zwielichtiger Herkunft ein starkes Interesse an unseren SSH Zugängen haben, hab ich mal eine kleine fail2ban rolle gebaut und auf alles was so da ist ausgerollt. Mit Ausnahme der debian 8 Maschinen. Da ist die Installation fehlgeschlagen und da wir die eh abreißen hab ich da keine mühe investiert.

IPs werden für 60 Minuten geblockt wenn sie mehr als 3 Fehlgeschlagene Logins binnen 10 Minuten hatten.

3 Like