我目前正在使用 nagios 进行监控,包括使用check_http选项来检查即将到期的 SSL 证书等。我想做的是测试我监控的每个站点的吊销证书。听起来很容易,对吧?好:
check_http似乎没有检查吊销的证书。至少最近发生的时候没有发出哔哔声,这导致了一些混乱verify有-crl_checkand -crl_check_all,这会很棒,但我更关心 OSCP 而不是 CRL(因为这是浏览器会关心的)oscp模式,但看起来我必须做很多工作才能将证书放在正确的位置,找出 OSCP 服务器的位置等。我找到了很多关于编写代码来进行 OSCP 检查的文章,但是必须有一个很好的程序来完成它,对吧?我想要的是 Nagios 检查,或者我可以用作检查的东西。在我的完美世界中,它看起来像:
check_http_with_oscp -I (IP) -H (hostname) -p 443
任何人?
这可能是一个 RTFM 类型的问题。如果是这样,我很乐意将答案授予任何提供 TFM 链接的人:)
在我的机架中,到处都是冗余。两套交换机、两个上游路由器、两条电源路径、服务器中的双电源……您知道练习。但是,现在我想知道来自服务器的双路径。每个都有两个(或更多)NIC。我们过去所做的是使用 LAG(思科用语:Etherchannel)为同一交换机提供两条链路。实际上,它是针对堆叠中的两台交换机(因此,一个管理接口,但两个物理盒)。这意味着我们可以承受电缆或接口(在交换机上或盒子上)的故障,或者甚至是交换机的故障(如果堆叠不会拖拽另一个)。
为什么不继续这样做?我们已经到了需要多个交换机堆栈的地步。这意味着,如果交换机堆栈出现故障,我们会将可访问的机器减少一半。
假设交换机堆栈之间有足够带宽的交叉连接,到路由器等。我想要的是像生成树协议这样的东西:从每个服务器到每个交换机运行一条线路,它选择一个使用。如果该链接出现故障,请切换到另一个链接。我希望这能让我们让整个交换机堆栈毫无问题地失败(在每个人都注意到切换之后)。
如果重要的话,我正在运行 CentOS。不是特定于交换机的东西是理想的,但我也想听听供应商提供的解决方案。
我想在 nagios 中为远程主机定义新命令,但我不知道我应该在哪里写这个东西
define command {
}
在远程主机上我只有这个文件
vim /usr/local/nagios/etc/nrpe.cfg
我应该在上面的文件中写它还是我必须在nagios主机上而不是在远程计算机上写它
我的远程主机上没有 commands.cfg 文件
我相信你们中的一些人已经处理过同样的问题。我希望有人有比我现在正在做的更好的答案。
因此,您在 LDAP 目录中有一些用户,有一天您会说“嘿!我可以通过 SSH 验证这个东西!” 这很好。
然后有一天你意识到你只希望某些用户能够进入一台机器。比如说,开发人员应该只能进入开发箱,而不是生产箱。您进行了一些谷歌搜索,并pam_groupdn在您的 LDAP 配置 ( /etc/ldap.conf) 中找到了如下内容:
pam_groupdn CN=developers,OU=groups,DC=yourcompany
而且,这很好。您为产品创建另一个小组,为 QA 设立另一个小组,等等。也许有一天您有第二个产品开发小组,所以他们有自己的小组。任何。
有一天,您将拥有一台服务器,开发人员和 QA 都需要能够登录该服务器。呃...事实证明它pam_groupdn不需要多个值。你做什么工作?好吧,如果你没有多想,你会说“哦,我只是建立一个开发人员和 QA 小组!”。
pam_groupdn CN=developers-and-QA,OU=groups,DC=yourcompany
那……不好,但没关系,对吧?
然后有一天,你就会得到一个开发人员,你意识到你需要将它们添加到15组,因为有developers-and-QA,product1-and-product2,developers-who-have-access-to-prod等。废话。
必须有更好的方法来做到这一点,对吧?我给 的开发人员发了电子邮件pam_ldap,他们说不幸的是没有办法pam_groupdn获取多个值(不用修改代码)。
任何人都想分享他们如何在 LDAP 中管理组组而不诉诸复制/粘贴?
我有一台戴尔 5424,上面直接连接了大约 20 台机器。我对我的网络进行了 ping 扫描(并从所有 20 个得到了答案),然后转到交换机的 CLI 并执行了show arp. 令我惊讶的是,我只看到两个 arp 条目:一个用于我的路由器,另一个用于我通过 SSH 连接到其中来完成这项工作的机器。
这到底是怎么回事?不是有另一个交换机到位,这些机器直接连接到交换机。我对交换机上所有这些 arp 条目的期望是错误的吗?
如果我ping (machine)从 CLI使用,那台机器的 MAC 会显示在我希望它出现在 arp 表中的端口上。arp 超时设置为 3600,这对我来说似乎有点低,但这是此交换机的默认设置。我的 ping 扫描和我之间的时间show arp比那要短得多。
这似乎是一个愚蠢的问题,但是...我是否需要 nss_ldap 和 pam_ldap 才能让我的用户使用 LDAP?在我看来,pam_ldap 会根据需要负责将所有内容指向 LDAP 服务器,而我不知道 nss_ldap 为我添加了什么。