Skip to content

Admin Panels Part2: Cockpit - Leitstand für Fedora, CentOS oder Ubuntu

Tools für eine zentrale Verwaltung von Linux Servern gibt es einige. Mit Ajenti und LinuxDash hatte ich bereits zwei vorgestellt.
Einen weitern interessanten Ansatz verfolgt Red Hat seit einiger Zeit.

Cockpit - Serververwaltung

Mit Cockpit haben sie eine frei über Github entwickelte Linux Steuerzentrale in petto, welche auf neueren Distributionen von Fedora, CentOS oder ArchLinux bereits vorinstalliert oder zumindest als fertiges Installationspaket bereit liegt.
Cockpit setzt auf systemd und ist somit auf dem aktuellen Ubuntu 14.04 LTS nicht unbedingt praktikabel, da aber Ubuntu 16.04 bereits in den Startlöchern steht, sieht es für Cockpit auf Ubuntu Systemen in Zukunft ebenfalls gut aus.

Das Verwaltungstool unterstützt nicht nur verschiedene Systeme, es kann über das zentrale Dashboard auch auf eine ganze heterogene Umgebung zugreifen, um diese zu verwalten. Die Kommunikation zwischen den Maschinen erfolgt über SSH.

cockpit

Schlicht aber effektiv

Die einfache Bedienung des Tools fängt beim Login an, hier werden automatisch hinterlegte Nutzer mit root Rechten für den Login freigeschaltet.
Nicht nur die moderne und aufgeräumte Oberfläche wirkt erfrischend, auch die Auswertungen von Systemperformance ist schlicht und ausreichend.
Die Usability endet bei einem eingebundenen Terminal, welches das Arbeiten auf der Konsole über die Oberfläche ermöglicht.

cockpit-login

Sichere Sache

Anders als Webmin, Ajenti und Co, benötigt Cockpit keinen Apache Server oder ähnliches, welcher ständig in Betrieb sein muss. Der eigene Dienst cockpit-ws startet den Webserver nur, sobald eine Anfrage auf dem Standard Port 9090 ankommt. Sollten keine weiteren Anfragen auf dem Port ankommen, legt er sich nach 90 Sekunden Inaktivität wieder schlafen.

Ist der Webserver aktiv kann er über HTTP und HTTPS erreicht werden, HTTP wird aber automatisch auf HTTPS umgeleitet.  Ein Zertifikat kann unter "/etc/cockpit/ws-certs.d" abgelegt werden. SSL3 und RC4 sind von Haus aus deaktiviert.

Die wichtigsten Cockpit Konsolen Befehle

Prüfen welches Zertifikat verwendet wird

sudo remotectl certificate

Cockpit manuell starten

sudo systemctl enable cockpit.socket
sudo systemctl start cockpit.service
sudo systemctl status cockpit.service

Cockpit Autostart Eintrag erstellen

sudo systemctl enable cockpit.socket

Anderen Port hinterlegen

Temporär

sudo nano /usr/lib/systemd/system/cockpit.socket

oder permanent

sudo cp /lib/systemd/system/cockpit.socket /etc/systemd/system
sudo nano /etc/systemd/system/cockpit.socket

 ListenStream=666

sudo systemctl daemon-reload
sudo systemctl restart cockpit.socket

Cockpit Oberfläche (Standardport)

https://cockpit-server:9090

cockpit_install

Installation unter CentOS

Unter bereits voll unterstützen Systemen, ist die Installation ein Kinderspiel

yum install cockpit
sudo systemctl start cockpit

Den Dienst erlauben

systemctl enable cockpit.socket

Wenn nötig die Firewall öffnen

firewall-cmd --permanent --zone=public --add-service=cockpit
sudo firewall-cmd --reload

Das System ist nun über den oben erwähnten Port ereichbar.

cockpit-uebersicht


Installation from Source (Ubuntu)

Eine Installation ist eigentlich erst ab Ubuntu 15.10 sinnvoll, aber dennoch auf 14.04 möglich.

Pakete installieren

sudo apt-get install xsltproc libglib2.0-dev libjson-glib-dev libpolkit-agent-1-dev libkrb5-dev liblvm2-dev libgudev-1.0-dev libssh-dev libpam0g-dev libkeyutils-dev libpcp3-dev libpcp-import1-dev libpcp-pmda3-dev intltool xmlto libxslt1-dev selinux-policy-dev checkpolicy selinux-policy-doc libdbus-1-dev libsystemd-dev glib-networking
wget https://github.com/cockpit-project/cockpit/releases/download/0.102/cockpit-0.102.tar.xz
tar xvf cockpit-0.102.tar.xz
cd /cockpit-0.102
sudo ./configure
make
make install

Mögliche Fehler

Starting Cockpit Web Service...
remotectl[26324]: Generating temporary certificate using: openssl req -x509 -days 36500 -newkey rsa:2048 -keyout /usr/local/etc/cockpit/ws-certs.d/0-self-signed.P7XPFY.tmp -keyform PEM -nodes -o
remotectl[26324]: remotectl: /usr/local/etc/cockpit/ws-certs.d/0-self-signed.cert: TLS support is not available
systemd[1]: cockpit.service: Control process exited, code=exited status=1
systemd[1]: Failed to start Cockpit Web Service.
systemd[1]: cockpit.service: Unit entered failed state.
systemd[1]: cockpit.service: Failed with result 'exit-code'.

Lösung

sudo apt-get install glib-networking

Installation von PPA (Ubuntu)

Via PPA fällt die Installation um einiges leichter, allerdings kommt hier ein relativ altes Installationspaket zum Einsatz (0.38).   

sudo add-apt-repository ppa:jpsutton/cockpit

sudo apt-get update

sudo apt-get install cockpit

cockpit-dashboard

 

Ubuntu 14.04

Um Cockpit unter älteren Systemen zu starten, kann nicht auf systemd zurückgegriffen werden, es startet hier wie folgt.

sudo /usr/sbin/remotectl certificate --ensure --user=root
sudo /usr/libexec/cockpit-ws

Natürlich kann die mit einem eigenen Init Script automatisiert werden, dies bleibt jedem selbst überlassen.

Fazit

Sowohl für einzelne Server, als auch für kleinere Netzwerke, bestehend aus Linux Rechnern, bietet Cockpit eine Möglichkeit Server einfach zu warten und zu überwachen. Durch die leichte Installation und die klare Oberfläche ist sie besonders für Einsteiger geeignet.

Leider gibt es für Ubuntu Systeme bisher keine offiziellen Pakete. Das PPA ist leider nicht auf dem neuesten Stand. Eventuell ändert sich dies mit Ubuntu 16.04 LTS.

Mit dem Landscape Server bietet Canonical bereits eine eigene Ubuntu Server Verwaltung und Performance Analyse an, welche auf bis zu 10 Systemen umsonst angewendet werden kann. (siehe Artikel).

Welches Admin Tool für die eigenen Bedienungen geeignet ist, muss wohl immer individuell entschieden werden.


Quellen

http://www.golem.de/news/cockpit-angesehen-die-einfache-steuerzentrale-fuer-linux-server-1507-115035-3.html
http://cockpit-project.org/guide/latest

 

Ubuntu Landscape Standalone Server (LDS) 15.10 unterstützt nun Container

Die letzten Tage wurde Ubuntu 15.10 Wily Werewolf (Link) veröffentlicht.
Gleichzeitig wurde auch der zentrale Ubuntu Verwaltungs Server Landscape auf eine neue Version 15.10 gehoben.

ubuntu
Wie der alte 15.01 Server als standalone Version für zehn virtuelle und zehn feste Ubuntu Maschinen installiert wird, hatte ich bereits beschrieben (Artikel). Darum werde ich heute nur auf ein Update eingehen. Hier sollte allerdings auf das neue Lizenzmanagement geachtet werden.

Landscape Standalone LDS 15.10 unterstützt nur noch Container

Die standalone Version zeichnet sich dadurch aus, dass keine weiteren Kosten entstehen und ist somit für eine kleine Umgebung durchaus geeignet.

Ein genauer Blick auf die Änderungen in 15.10 offenbart jedoch Änderungen bei der freien Lizenz.

"Otherwise, a free license with 10+50 seats (bare metal plus LXC containers) will be used"

Das heißt freie virtuelle Lizenzen fallen komplett weg, dafür sind 50 Container dazu gekommen. Bei einer kleine Infrastruktur mit virtuellen und harten Maschinen sollte über ein Update auf die aktuelle Version gut nachgedacht werden, da diese nach einem Update eventuell nicht mehr ausreicht. Für Freunde von Containerlösungen dürfte die neue freie Lizenz allerdings sehr interessant sein.

Update auf Landscape Server 15.10

Hier nun der kurze aber praktische Hinweis auf das Update.

Voraussetzung für ein Update ist ein funktionierende LDS Version 15.01.

Landscape-15.10

Ist dies gewährleistet muss zunächst muss das aktuelle PPA im System hinterlegt werden.

sudo add-apt-repository ppa:landscape/15.10
    sudo apt-get update
    sudo apt-get dist-upgrade
    

The following packages will be upgraded:
  juju-core landscape-hashids landscape-server landscape-server-quickstart

Das Überschreiben von bestehenden Konfigurationsdateien sollte unterlassen werden.

Configuration file '/etc/landscape/service.conf'
 ==> Modified (by you or by a script) since installation.
 ==> Package distributor has shipped an updated version.
   What would you like to do about it ?  Your options are:
    Y or I  : install the package maintainer's version
    N or O  : keep your currently-installed version
      D     : show the differences between the versions
      Z     : start a shell to examine the situation
 The default action is to keep your current version.
*** service.conf (Y/I/N/O/D/Z) [default=N] ? N

Die Installation verläuft in ihren Schritten voll automatisch und startet alle Dienste nach der Aktualisierung neu.

Probleme konnten keine festgestellt werden.

Nach der Installation steht das Entfernen des alten Repository an. 

sudo apt-add-repository --remove ppa:landscape/15.01

Landscape-15.10-Installation

Die Neuerungen des Landscape Servers 15.10

Die Highlights der neuen Version sind nicht überragend, aber auch nicht zu vernachlässigen.

  • Autopilot only supported on MAAS 1.8 or later
  • New charm to deploy Landscape
  • Juju deployed Landscape can be upgraded to future versions
  • HA (High Availability) cloud deployment
  • Openstack Kilo cloud deployment
  • Add hardware to existing cloud   

Die vollen Release Notes sind hier zu finden. Ein Blick in die volle Dokumentation lohnt ebenso.


Das könnte dich auch interessieren

[Lösung] vSphere/ESXi 6.0 U1 mit Veeam - Error: NFC storage connection is unavailable

Es ist mal wieder Zeit für einen Ausflug in virtuelle Gefilde, genauer gesagt soll es um das neueste Update aus dem Hause VMware gehen.

vSphere/Veeam - NFC storage connection is unavailable

VMware hat vor wenigen Tagen ein Update 60u1 für vCenter und ESXi Maschinen veröffentlicht (Changelog). 
Dieses bringt neben Neuerungen auch neue Probleme mit sich, so lässt sich nach einem Update auf die aktuellste Version keine virtuelle Maschine mit der Sicherungssoftware Veeam sichern, auch wenn dort die aktuellste Patch Version installiert ist. 

Die Sicherung bricht mit dem folgenden Fehler ab:

Getting VM info from vSphere
Error: NFC storage connection is unavailable. Storage: [stg:datastore-666,nfchost:host-666,conn:127.0.1.1]. Storage display name: [datastore]
Failed to create NFC download stream. NFC path: [nfc://conn:127.0.1.1,nfchost:host-667,stg:datastore-666@localhost.vmx]. 

Im Netz finden sich einige Vorschläge die dieses Problem angeblich lösen. Viele bringen den Fehler mit falschen DNS Einstellungen in Verbindung und schlagen vor alle Geräte richtig ins DNS einzutragen, bzw. die Host Datei anzupassen.
Leider beziehen sich die Lösungen oft auf ältere ESXi bzw. Veeam Versionen und führen somit nicht zum gewünschten Ziel.

veeam

Hier hilft ein Blick in die Logs der Sicherungssoftware oft weiter:

ERR |Failed to initiate NFC session. Target host: [127.0.0.1]. VI connection ID: [127.0.1.1]. Storage MOID: [datastore-666].
ERR |SSL error, code: [3368].error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure
>>  |SSL_connect() function call has failed.

Der Meldung lässt sich entnehmen, dass die Verbindung an der SSL Aushandlung scheitert. Der Fehler hat somit Nichts mit DNS oder ähnlichem zu tun, es kommt schlicht keine sichere Verbindung zu Stande.


Ein weiterer Blick in den Changelog von ESXi 6.0 Update 1 zeigt folgenden Satz "Support for SSLv3: Support for SSLv3 has been disabled by default."
Das heißt, aktualisierte ESXi Hosts unterstützen dieses Protokoll in der neuesten Version nicht mehr. Das ist nicht weiter verwunderlich, denn es gilt als unsicher.

vSphere6

Leider benötigt Veeam SSLv3 weiterhin für seine Sicherungen, genauer betrifft es den Port 902. Die Funktion lässt sich über einen Eintrag in der Config wieder aktivieren. Dazu muss auf die jeweilige ESXi Maschine via SSH zugegriffen werden. Die unten erwähnte Konfigurationsdatei gilt es anzupassen.

cp /etc/vmware/config /etc/vmware/config.date
vi /etc/vmware/config
    vmauthd.ssl.noSSLv3 = false
    

Danach ist ein Neustart des Dienstes erforderlich

/etc/init.d/rhttpproxy restart 

Nach dieser Änderung sollten Sicherungen mit Veeam wieder funktionieren. Weitere Details dazu unter kb2063.

Kali Linux 2.0 - Penetration Testing Suite im neuen Gewand

Kali Linux - Alles neu macht Version 2.0

Es wurde bereits vor Wochen mit einem Video angekündigt, nun ist die neue Version 2.0 der bekannten Linux Live CD für IT Sicherheit veröffentlicht worden. Die Entwickler der Security Live CD bezeichnen ihre neue Version als die wichtigste seit 2013.

kali-2.0


Das ist nicht weiter verwunderlich, denn neben den technischen Änderungen wie einem neuem 4.0 Kernel und Debian Jessie Backend, ist Kali 2.0 nun eine Rolling Distribution.
Das heißt Updates werden kontinuierlich ausgerollt, womit die Version 2.0 theoretisch die letzte Versionsnummer darstellt (siehe Windows 10).

Nicht nur im Backend gab es Veränderungen, auch das Frontend wurde weiter ausgebaut und unterstützt mit KDE, GNOME3, Xfce, MATE, e17, lxde and i3wm fast alles was das Desktopherz begehrt.

Neben der Unterstützung für neue Frontends wurde ein Wechsel zu GMOME3 vollzogen. Dadurch ist auch der Hardwareanspruch gestiegen, besonders im Hauptspeicherbereich. Eine schmalere Alternative bietet XFCE. (Kali Desktop anpassen).

Android und Raspberry Pi im Bann der Göttin

Im Maker- und Mobilbereich wurden alle Images auf die neue Version angehoben und stehen ab sofort zum Download bereit. Gleiches gilt für VMware und Virtualbox Images.

Kali-Linux-OnePlus

The Kali Linux Dojo

Um mit IT Forensik und Penetrationstesting richtig umgehen zu können, haben die Entwickler rund um Kali Linux einen fünfstufigen Workshop ins Leben gerufen. 
Voraussetzung dafür sind Linux Kenntnisse und performante Hardware. Die Lernziele bestehen unter anderem aus dem Umgang und dem Erstellen eigener Kali Builds. Wobei neben normalen ISO Images auch ARM Images erstellt werden. (mehr Infos gibt es hier)
 

Tschüss Metasploit, hallo Metasploit

Auf Bitten des Herstellers Rapid7, wurde das Metasploit Community  bzw. Pro Paket aus der Distribution entfernt. Auf das nützliche Paket muss jedoch nicht ganz verzichtet werden, da die OpenSource Variante weiterhin unterstützt wird. Der Startvorgang hat sich allerdings etwas geändert.

# Start the Postgresql Database
/etc/init.d/postgresql start

# Initialize the Metasploit Framework Database
msfdb init

# Run msfconsole
msfconsole

Update auf Kali Linux 2.0

Besitzer einer älteren Version können ohne weitere Probleme auf die aktuelle Distribution updaten.

nano /etc/apt/sources.list
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security/ sana/updates main contrib non-free
apt-get update
apt-get dist-upgrade
reboot

Natürlich kann die komplette Version 2.0 auch als ISO heruntergeladen werden. 

Kali 2.0 Download

SexiLog - OpenSource ELK Stack für ESXi-Hosts und vCenter-Server

Eine beliebte Lösung für Logging Server ist heutzutage ein sogenannter ELK Stack. Dabei handelt es sich um drei Komponenten die zusammen eine Logging Einheit bilden.

  1. Elasticsearch
  2. Logtash
  3. Kibana

Elasticsearch ist in dieser Konstellation für das Speicher und Suchen der Logdateien zuständig. Logtash verarbeitet die entstanden Logdateien und Kibana sorgt für eine optische Ausgabe der angefallenen Daten.

Alle Komponenten lassen sich einzeln auf einem Linux Server installieren und einrichten. Hierfür gibt es Cookbooks. Die einzelnen Schritte durchzuarbeiten ist jedoch aufwendig und fehleranfällig.

sexilog_funktion

Sexilog - ISO Image mit fertig ELK Stack

Eine einfache Lösung auf dem Weg zum fertigen Logserver stellt das aus Frankreich stammende SexiLog dar. Das OpenSource Projekt bietet Nutzern von ESXi-Hosts und vCenter-Servern ein fertiges VMware Image an, welches vom ersten Start weg Logs auswertet und grafisch darstellt. 

sexilog-banner

Die vorkonfigurierte Umgebung bietet alles, was für eine Überwachung und Auswertung von Log Dateien notwendig ist. Durch die freien Komponenten bietet sich SexiLog für kleinere Umgebung an, bei denen nicht allzuviel Geld für eine Loginumgebung vorhanden ist.

Installation SexiLog

Die Open Source Lösung steht als OVA Image zur Verfügung und muss lediglich in die eigene Umgebung importiert bzw. bereitgestellt werden.

OVF-Vorlage_bereitstellen

Sollte beim Import etwas schief gehen oder Fehlermeldungen auftauchen, verweise ich auf den erst neulich veröffentlichen Artikel zum Thema OVA Import.

Nach einer erfolgreichen Bereitstellung kann SexiLog via SSH konfiguriert werden. Der Standardzugang ist "root" mit dem Passwort "Sex!Log".

SexiLog-Konsole

In der Konsole können die Netzwerkeinstellungen und das Mailsetting angepasst werden.

Ist dieser Schritt vollzogen, muss nur noch dem ESXi Server bzw. dem vCenter mitgeteilt werden, wohin die Logdaten weitergereicht werden sollen. Dazu muss unter Konfiguration "erweiterte Einstellungen" aufgerufen werden, hier in das Untermenü "Syslog/global" wechseln.

In diesem Bereich muss unter Syslog.global.logHost die URL udp://logserveradresse:514 angepasst werden.

syslog

SexiLog starten

Das System startet automatisch, sobald alles eingerichtet ist, kann unter der zuvor eingerichteten IP Adresse die Kibana Oberfläche aufgerufen werden.

 sexilog-kibana

SexiBoards - Alles im Blick

Die Kibana Obefläche visualisiert Logs auf verschiedenen Boards. Das VMware Image liefert für verschiedene Events ganze 18 Übersichten. Neben der Startseite "SexyHome" existieren Seiten für vMotion, Veeam, VIM, IOPS, VSAN, Migration, Downtime, usw. Einen Überblick ist hier zu finden.

Fazit

SexiLog ist im jetztigen Stadium sicherlich eine der besten Lösungen, wenn es um das Auswerten von Log auf OpenSource Basis geht. Das VMware Image hat fast alle Mittel an Bord, die zu einer lückenlosen Auswertung dazugehören.

Wie so oft wird das Thema Sicherheit etwas stiefmütterlich behandelt. So fehlt in der Version 0.99g noch ein Unterstützung für SSL oder ein Login Formular für die Hauptseite. Hier muss der Nutzer entweder selbst Hand anlegen oder auf das nächste Release warten.

Wer einen fertig konfigurierten ELK Stack für virtuelle Hosts sucht, ist mit SexiLog sicherlich auf dem richtigen Weg.