Munin: es erscheint immer die Fehlerseite 403 forbidden

Munin ist eine Server Überwachungssoftware, die über einen bereits installierten Webserver umfangreiche Informationen zum System darstellt.
Zur Installation bitte zuerst http://wiki.ubuntuusers.de/apache und dann http://wiki.ubuntuusers.de/munin durchführen.

Falls nach der korrekten Installation Munin nur über http://localhost/munin aufrufbar ist, aber nicht über die IP Adresse kann es eine unpassende Einstellung in der apache.conf sein.
Es erscheint immer folgende Fehlermeldung:

Als erstes die apache.conf öffnen mit:

sudo nano /etc/munin/apache.conf

Hier den Punkt “Allow from localhost…”

abändern in  “Allow from all”

Anschliessend noch den Apache neustarten mit:

sudo /etc/init.d/apache2 force-restart

Nun sollte Munin auch über die IP Adresse im Webbrowser aufgerufen werden können.


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.


 

 

Homeserver autom. in Standby schicken

Dieser Artikel basiert im Wesentlichen auf dem Skript Auto Off von Ubuntuusers und wurde angepasst um unseren Anforderungen zu entsprechen.

Es handelt sich um ein Skript welches in regelmässigen Abständen überprüft ob einer der Clients angeschaltet ist. Ist dies nicht der Fall wird der Server in Standby geschickt.

Cron Job erstellen

Als Erstes wird unter /etc/cron.d eine neue Datei mit dem Namen checkshutdown erstellt.

Dazu in die Konsole folgendes eingeben:

 

sudo nano /etc/cron.d/checkshutdown

In den sich nun öffnenden Texteditor den folgenden Code eintragen und anschliessend speichern

 

# Auto shutdown
*/10 * * * * root /usr/local/sbin/checkshutdown.sh

 

Skript
Der soeben erstellte Cronjob ruft nun alle 10 Minuten ein Skript auf welches überprüft ob einer der Clients ansprechbar ist. Ist dies zweimal hintereinander nicht der Fall geht der Server in den Standby (also nach 20 Minuten)
Wir geben folgendes in die Konsole ein:
sudo gedit /usr/local/sbin/checkshutdown.sh
In den Texteditor kommt folgender Code:
#!/bin/bash
#
#set -x

. /etc/autoshutdown.conf

logit()
{
	logger -p local0.notice -s -- AutoShutdown: $*
}

IsOnline()
{
        for i in $*; do
		ping $i -c1
		if [ "$?" == "0" ]; then
		  logit PC $i is still active, auto shutdown terminated
		  return 1
		fi
        done

	return 0
}

IsRunning()
{
        for i in $*; do
		if [ `pgrep -c $i` -gt 0 ] ; then
		  logit $i still active, auto shutdown terminated
                  return 1
                fi
        done

        return 0
}

IsDamonActive()
{
        for i in $*; do
                if [ `pgrep -c $i` -gt 1 ] ; then
                  logit $i still active, auto shutdown terminated
                  return 1
                fi
        done

        return 0
}

IsBusy()
{
	# Samba
	if [ "x$SAMBANETWORK" != "x" ]; then
		if [ `/usr/bin/smbstatus -b | grep $SAMBANETWORK | wc -l ` != "0" ]; then
		  logit samba connected, auto shutdown terminated
	  	  return 1
		fi
	fi

	#damons that always have one process running
	IsDamonActive $DAMONS
        if [ "$?" == "1" ]; then
                return 1
        fi

	#backuppc, wget, wsus, ....
        IsRunning $APPLICATIONS
	if [ "$?" == "1" ]; then
                return 1
        fi

        IsOnline $CLIENTS
        if [ "$?" == "1" ]; then
                return 1
        fi

	return 0
}

COUNTFILE="/var/spool/shutdown_counter"
OFFFILE="/var/spool/shutdown_off"

# turns off the auto shutdown
if [ -e $OFFFILE ]; then
	logit auto shutdown is turned off by existents of $OFFFILE
	exit 0
fi

if [ "$AUTO_SHUTDOWN" = "true" ] || [ "$AUTO_SHUTDOWN" = "yes" ] ; then
	IsBusy
	if [ "$?" == "0" ]; then
		# was it not busy already last time? Then shutdown.
		if [ -e $COUNTFILE ]; then
	        	# shutdown
	        	rm -f $COUNTFILE
		        logit auto shutdown caused by cron
        		/usr/sbin/pm-suspend
		        exit 0
		else
			# shut down next time
			touch $COUNTFILE
			logit marked for shutdown in next try
			exit 0
		fi
	else
		rm -f $COUNTFILE
		#logit aborted
		exit 0
	fi
fi

logit malfunction
exit 1
Das Ganze nun abspeichern. Anschliessend das Ganze noch ausführbar machen mit:
sudo chmod a+x /usr/local/sbin/checkshutdown.sh

 

Die Konfigurationsdatei

Wir erstellen nun noch die Konfigurationsdatei mit:
sudo nano /etc/autoshutdown.conf
In diese Datei kommt folgender Code:
# Turn on auto shutdown
AUTO_SHUTDOWN=yes

# Damons that always have one process running, only if more that one process is active we prevent the shutdown
# The values are used with grep, so just a unique portion is sufficient
DAMONS=""

# Important applications that shall prevent the shutdown
# The values are used with grep, so just a unique portion is sufficient
APPLICATIONS=""

# Network IP range for checking any open samba connections
# The value is used with grep, so just a unique portion is sufficient
SAMBANETWORK=""

# Names or IP for computers that shall prevent the shutdown
# We ping these computers in the list to check whether they are active.
CLIENTS="sonne mond stern 192.168.1.10 192.168.1.11 192.168.1.12"
Wichtig ist der Punkt Clients hier müssen die Namen oder IP Adressen der Clients eingegeben werden die überprüft werden sollen. Sinnvollerweise sollte man allen seinen Clientcomputern eine feste IP Adresse zuweisen, damit der Check auch zuverlässig funktioniert.
Die Überprüfung erfolgt durch einen Ping, welcher allerdings von Windows 7 standardmässig blockiert wird. In diesem Fall muss die die Windowsfirewall entsprechend umkonfiguriert werden
Dazu bitte in das Suchfeld im Startmenü
Windows-Firewall mit erweiterter Sicherheit
eingeben, dann unter Eingehende Regeln bei dem Punkt Datei- und Druckerfreigabe (Echoanforderung – ICMPv4 eingehend) bei Aktiviert ein Häckchen setzten. Aktion muss auf zulassen gesetzt sein.
Nun geht der Homeserver 20 Minuten nachdem der letzte Client ausgeschaltet wurde in den Standby.

Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.


 

Client weckt Server

Nun sorgen wir dafür dass der Server automatisch beim starten eines Clients aufgeweckt wird. Da sich der Server nur im Standby befindet ist dieser nahezu zeitgleich mit dem Client online.
Zuersteinmal brauchen wir ein Tool welches die gewünschten Magic Packets verschickt die den Server aufwecken. Ein passendes kleines und sehr einfaches Kommandozeilentool für Windows gibt es bei Heise und heißt passenderweise wol.exe

heise-wol

Dieses Programm speichern wir irgendwo, z.B. unter c:/wol.exe

Da ein Magic Packet an die MAC Adresse und nicht an eine IP Adresse gesendet wird (ein Rechner der ausgeschaltet ist hat keine IP Adresse) müssen wir diese zuerst herausfinden.
Dazu öffnen wir in Ubuntu die Konsole und geben einfach

ifconfig

ein. Die Ausgabe wird etwa folgendermaßen aussehen:

Das gelb umrandete ist die MAC Adresse. Genau diese benötigen wir.

Nun öffnen wir den Autostartordner des Windows Clients. Bei Windows 7 befindet dieser sich unter:

C:\Users\Username\AppData\Roaming\MicrosoftWindows\Start Menu\Programs\Startup

Oder im Startmenü mit der rechten Maustaste auf Autostart klicken und dann öffnen.

Jetzt öffnen wir den Texteditor und tragen dort den Pfad zu unserer wol.exe gefolgt von der MAC Adresse des Servers ohne Doppelpunkte ein. Das speichern wir dann im Autostartordner unter wol.bat ab. Vorsicht dass die Dateiendung nur .bat ist und nicht.bat.txt. Sonst funktioniert es nicht.
Sol sollte das dann aussehen:

Nun wird immer wenn der Client bootet ein Magic Packet an den Server gesendet und dieser wacht auf.

Falls eine andere Firewall als die Windows eigene installiert ist muss evtl. die wol.exe in die Ausnahmeliste eingetragen werden.


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.


 

 

Wake on Lan

Bevor wir dafür sorgen dass sich der Server um Strom zu sparen automatisch in den Standby versetzt wenn er nicht gebraucht wird sorgen wir zuerst dafür dass er auch wieder automatisch hochfährt.
Dazu muss zuerst einmal Wake in Lan im Bios aktiviert werden. Wie die Einstellung heißt hängt vom Bios ab und ist sehr unterschiedlich. Oft ist es so etwas wie “Wake on PCI Devices”. Im Zweifel muss hier im Handbuch nachgeschaut werden.

Softwaremässig brauchen wir zuerst einmal  das Paket ethtool. Hierzu folgendes in die Konsole eingeben:

sudo apt-get install ethtool

Ist das Paket installiert  können wir die derzeitigen Einstellungen auslesen mit:

sudo ethtool eth0

eth0 (o=null) ist das verwendete Netzwerkgerät. sofern man nur eine Netzwerkkarte eingebaut hat und ausser dem Grundsystem von Ubuntu bisher nichts weiteres intalliert hat wird die Netzwerkkarte auch eth0 heißen.

Die Ausgabe sieht dann in etwa so aus:

 

Interessant sind hier die Punkte “Supports Wake-on” und “Wake-on” bei beiden muss ein “g” dahinter stehen, oder in einer Reihe von Buchstaben vorkommen. Dies sorgt dafür dass der Rechner auf sogenannte Magic Packets reagiert und aufwacht.
Ist dies nicht der Fall müssen die Einstellungen geändert werden. Damit dies dauerhaft geschieht und nicht nach jedem Neustart wiederholt werden muss muss der entsprechende Befehl in die Datei /etc/rc.local eingefügt werden.
Diese Datei wird bei jedem Start des Betriebssystems ausgeführt. Dazu geben wir folgendes in die Konsole ein:

sudo nano /etc/rc.local

Der Texteditor öffnet sich. Nun geben wir den folgenden Befehl in die rc.local ein und speichern.

ethtool -s eth0 wol g

Das Ganze sollte dann in etwa so aussehen:

Nun lässt sich der Rechner über Netzwerk aufwecken.


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.


 


Verschlüsseltes Software Raid erstellen

Hierzu müssen noch die benötigten Paktete installiert werden. Dazu folgendes in die Konsole eingeben:

sudo apt-get install mdadm

und

sudo apt-get install cryptsetup

Nun die Laufwerksverwaltung öffnen. Hier sollten alle eingebauten Festplatten aufgelistet sein.

Über Datei -> erstellen -> Raid Anordnung kann nun ein Festplattenverbund erstellt werden
Eine Auflistung der Verschiedenen Raid Anordnungen gibts bei der Wikipedia

Hier alle Festplatten ausser der Systemfestplatte auswählen. Die Festplatten sollten alle gleich groß sein, da sonst viel Speicherplatz verschenkt wird. Für ein Raid 5 werden mindestens 3 Laufwerke benötig
Dann auf erstellen klicken und mit Passwort bestätigen.
Nun dauert es eine ganze Weile bis das Raid erstellt ist, hier ist auf Jeden Fall Zeit um sich einen Kaffee zu holen. Wie lange es dauert hängt von der Rechenleistung und der Grösse der Festplatten ab.
Ist das ganze fertig sollte es in etwa so aussehen:

Damit darauf geschrieben werden kann muss das Ganze noch formatiert werden.  Als Dateisystem sollte ext4 verwendet werden, auch wenn man mit Windows Clients darauf zugreifen möchte. Das funktioniert problemlos, da SAMBA hier “Übersetzt”.
Wer keinen Wert auf die Verschlüsselung legt kann hier den Haken entfernen und sich damit im weiteren Verlauf viel Arbeit, vor allem aber sehr viel Zeit ersparen.

Dann auf Formatieren klicken und nocheinmal bestätigen. Alle auf den Festplatten befindlichen Daten gehen verloren. Wer sich für die Verschlüsselung entschieden hat muss hierfür ebenfalls noch ein Passwort angeben. Dies sollte sich vom Administrator Kennwort unterscheiden und sicher sein. Wer hier seinen Geburtstag oder den Namen seines Gummibaumes verwendet kann es gleich sein lassen.
Wichtig ist hier die Checkbox “Kennwort sofort vergessen” zu aktivieren.
Nun ist  wieder Zeit zum Kaffee trinken. Wer sich für die Verschlüsselung entschieden hat kann je nach Grösse des Systems auch schonmal in Bett gehen.

Nun noch auf Datenträger Einhängen klicken und das verschlüsselte Software Raid ist bereit

Sonstiges:

Wem das Ganze Geklicke zuwider ist, oder sich einfach gerne den Aufbau eines Ubuntu Software Raids wirklich verstehen möchte sollte sich die Seiten im Wiki von ubuntuusers.de anschauen.

Software Raid

Ebenso Interessant ist der Eintrag zur Verschlüsselung. Hier wird auch deutlich warum es die totale Sicherheit für alle Dateien inkl. Systemfestplatte nicht ohne massiven Komfortverlust geben kann

System Verschlüsseln

Wer die Festplatte verschlüsselt hat muss sich nach dem booten sowieso einmal einloggen um diese zu entschlüsseln. Wer sie nicht verschlüsselt hat kann das Raid automatisch starten und einbinden lassen.

Mount
I can not autostart and automount software RAID


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.


 

 

Verschlüsselter Ubuntu Homeserver Übersicht

Nachdem jahrelang ein Windows Homeserver gute Dienste geleistet hat sollte dieser ersetzt werden. Da das in die Tage gekommene Betriebssystem doch einige Schwächen aufwies sollte auch dieses ersetzt werden. So gab es zum Beispiel mit mehreren Netzwerkkarten Probleme beim Wiederherstellen der Backups, das Betriebssystem selbst kann nicht gesichert werden und außerdem wuchs der Wunsch die Festplatten zu verschlüsseln, da der Server die nächsten Jahre seinen Dienst tun soll und man nicht weiß wie sich die Netzpolitik unserer kompetenten Volksvertreter weiterentwickelt. Das Neue Betriebssystem muss also die folgenden Aufgaben des WHS gleichwertig ersetzen:

  1. Hohe Datenverfügbarkeit durch Duplizierung der Dateien auf verschiedene Festplatten
  2. Mehrere Festplatten werden zu einer großen zusammengefasst
  3. Strom sparen: Server schaltet sich automatusch aus wenn alle Clients ausgeschaltet sind
  4. Server wacht automatisch auf wenn ein Client angeschaltet wird
  5. Backup der Clients über Netzwerk
  6. Wiederherstellung der Clients inkl. Systemplatte über Netzwerk, auch wenn das Betriebssystemdefekt ist.
  7. Grafische Oberfläche um mit einem Browser Downloads zu starten.
  8. Wartung über Remote Desktop
  9. Fileserver für Windows PCs

Außerdem sollen die Festplatten verschlüsselt werden, ohne dass dadurch ein allzu grosser Komfortverlust entsteht.

Die Wahl fiel auf aktuelle LTS Desktopversion von Ubuntu

Punkt 1 & 2 werden durch ein Software Raid 5 erfüllt, welches sich leicht ohne Zusatzsoftware erstellen lässt

Punkt 3 lässt sich über ein einfaches Skript erledigen welches regelmäßig die Clients anpingt und per Cronjob aufgerufen wird.

Punkt 4 es wird ein Wake on Lan Tool per im Autostart der Windowsclients untergebracht

Punkt 5 Hierfür gibt es Tools wie Sand am Meer. Ich habe mich für Macrium Reflect Free Edition entschieden, da dieses auch Punkt 6 erfüllt

Punkt 6 Macrium Reflect Free Edition kann eine Linux oder Windows PE BootCD erstellen mit der ein Backup wiederhergestellt werden kann selbst wenn das Betriebssystem defekt ist.

Punkt 7 Deshalb die Desktop und nicht die Serverversion

Punkt 8 durch Free NX, welches im Gegensatz zu VNC verschlüsselt und ausserdem wie der MS Remote Desktop mit der Nativen Bildschirmauflösung des Clients arbeitet und nicht wie VNC einfach alles zusammenstaucht. So kann vom kleinen Netbook genausogut auf den Server zugegriffen werden wie mit dem FullHD Bildschirm am Desktop

Punkt 9 durch SAMBA

Verschlüsselung.

Ein Raidsystem zu verschlüsseln ist unter Ubuntu Out of the Box möglich. Allerdings soll der Server ohne Bildschirm, Tastatur und Maus laufen, so dass beim Booten kein Passwirt eingegeben werden kann. Aus diesem Grund habe ich auf eine Verschlüsselung der Systempartition verzichtet, da hier sowieso nur das Betriebssystem liegt. Auf eine Swap Partition habe ich ebenfalls verzichtet, da diese auch hätte verschlüsselt werden müssen, was wiederum die Eingabe eines Passworts zur nötiggemacht hätte. Mit 2 GB Ram ist bei einem Fileserver allerdings auch keine Swap Partition mehr nötig. Nun startet der Server von alleine um das Raidsystem mit den ganzen Daten zu entschlüsseln muss man sich auf dem per Free NX einloggen und das Passwort eingeben. Dieses dauerhaft zu speichern scheidet logischerweise aus, da sonst natürlich keinerlei Sicherheit gegeben ist.

Da dieses einloggen an einem Mediacenter PC nicht ohne Aufwand möglich, der Server aber nicht 24/7 durchlaufen soll musste ein vernünftiger Kompromiss zwischen Sicherheit und Komfort her, ohne das Passwort für die Verschlüsselung zu speichern. Dieser sieht folgendermaßen aus:

Nach dem ersten Booten muss man sich einloggen und die Festplatten entschlüsseln. Werden nun alle Clients heruntergefahren wird der Server nur in den Standby versetzt. Wird der Server nun vom Strom getrennt sind die Festplatten verschlüsselt und vor Zugriffen geschützt.

Wird der Server per Wake on Lan reaktiviert sind die Festplatten und damit auch die Netzwerkfreigaben automatisch wieder freigegeben. Da im normalen Betrieb kein User angemeldet ist hat man auch durch das anhängen eines Monitors nicht so einfach Zugriff auf diesen.


Creative Commons Lizenzvertrag
Dieser Artikel ist lizenziert unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.


 

1 12 13 14