MRTG + phpSysInfo

[dynamix]

Nach einem Kernelupdate auf 2.4.20-grsec-ipv6 ( Danke nochmal an Sascha ) geht weder MRTG noch phpSysInfo noch.

Jemand ne Idee was ich da nun machen kann ?!
Liegt ja wohl am grsec-patch das MRTG und phpSysInfo nicht mehr auf /proc zugreifen können.

Schon jemand das selbe Problem gehabt und erfolgreich gelöst ?!

Marco

btw:
http://mrtg.corehosting.de
http://sysinfo.corehosting.de

[captaincrunch]

MRTG grift (wenn man's richtig macht) nicht auf /proc zu, und sollte daher nicht vom GRSecurity betroffen sein.

Abhilfe : mal vernünftig mit GRSecurity auseinandersetzen ... ;)

[dynamix]

MRTG grift (wenn man's richtig macht) nicht auf /proc zu, und sollte daher nicht vom GRSecurity betroffen sein.

Abhilfe : mal vernünftig mit GRSecurity auseinandersetzen ... ;)

MRTG greift nicht auf /proc uu ok aber schätzungsweise der snmpd.

Der Kernel is übrigens der fertig gebackene von debianhowto.de von dir lt. Aussage von Sascha :D

Gruß Marco

[captaincrunch]

MRTG greift nicht auf /proc uu ok aber schätzungsweise der snmpd.

Hattest du den snmpd vorher schon laufen ? Auf diversen Kisten, die ich betreue, und auf denen GRSecurity läuft, vertragen sich beide eigentlich problemlos.
Hast du den snmpd vielleicht auf einen normalen User umgebogen ?

Und ja, den Kernel hatte ich gebacken im Hinblick auf eine gute Balance zwischen "Sicherheit" und "Komfort". Daher wäre mir neu, dass das nicht laufen sollte.

[Outlaw]

Irgendwo habe ich mal gelesen, daß phpSysinfo generell nicht mit dem Patch läuft, ich glaube, es stand in der FAQ ....

Gruß Outi

[dynamix]

Der snmpd lief vorher schon und läuft als root!

Vorher ging ja auch alles Problemlos

[captaincrunch]

OK, dann mal mehr Infos an die Sonne :

- was sagen die Logs ?
- was bringt ein sysctl -a | grep grsec zutage ?

[dynamix]

sysctl -a | grep grsec:

Code: Select all

server01:~ # sysctl -a | grep grsec
kernel.grsecurity.grsec_lock = 0
kernel.grsecurity.chroot_findtask = 0
kernel.grsecurity.dmesg = 0
kernel.grsecurity.audit_mount = 0
kernel.grsecurity.altered_pings = 0
kernel.grsecurity.rand_isns = 0
kernel.grsecurity.rand_tcp_src_ports = 0
kernel.grsecurity.rand_ip_ids = 0
kernel.grsecurity.rand_pids = 0
kernel.grsecurity.chroot_deny_sysctl = 0
kernel.grsecurity.chroot_caps = 0
kernel.grsecurity.chroot_execlog = 0
kernel.grsecurity.chroot_restrict_nice = 0
kernel.grsecurity.chroot_deny_mknod = 0
kernel.grsecurity.chroot_deny_chmod = 0
kernel.grsecurity.chroot_enforce_chdir = 0
kernel.grsecurity.chroot_deny_chroot = 0
kernel.grsecurity.chroot_deny_fchdir = 0
kernel.grsecurity.chroot_deny_mount = 0
kernel.grsecurity.chroot_deny_unix = 0
kernel.grsecurity.chroot_deny_shmat = 0
kernel.grsecurity.forkfail_logging = 0
kernel.grsecurity.exec_logging = 0
kernel.grsecurity.execve_limiting = 0
kernel.grsecurity.linking_restrictions = 0
kernel.osrelease = 2.4.20-grsec-ipv6

Das MRTG-"Daten-Logfile" ( ip_oder_domain.log ) sagt mir nur das keine daten kommen. also überall 0 0 0 0
access_log gibt garnix sinnvolles aus.
und das snmpd-log gibt nur folgendes her:

Code: Select all

Connection from 217.160.188.19
Connection from 217.160.188.19
Connection from 217.160.188.19

Marco

[captaincrunch]

und das snmpd-log gibt nur folgendes her:

Ich hoffe, dass genau dort der Grund liegt, da du den snmpd nicht von außen erreichbar haben solltest. Im Normalfall sollte der nur Verbidnungen von 127.0.0.1 annehmen, was auch genau so in den Logs auftauchen sollte.

Falls der Daemon "richtig" konfiguriert wurde, hast du andererseits aber jetzt den Grund dafür, warum es nicht läuft ... ;)

[dynamix]

hmm Was muss ich nun explizit umstellen das wenigstens MRTG wieder funzt ?

phpSysInfo geht ja nur zum teil hehe.

Marco

[captaincrunch]

MRTG sollte unbedingt auf die localhost-Schnittstelle (also lo, bzw. 127.0.0.1) zugreifen. Die Config sollte also dementsprechend aussehen.

Danach auch bitte mal prüfen, ob du den snmpd nicht vielleicht doch von außen offen hast.

[/dev/game]

PHPSysinfo will auch als Apache User darauf zugreifen.

Das nichts angezeigt wird ist ja auch sinn und Zweck der Sache.
Schließlich sollen ja gehostete Kunden nicht einfach mal
PHPSysInfo draufziehen um zu erfahren was Die Maschine grade
macht bzw. was für eine Maschine im Einsatz ist.

[dynamix]

hab jetzt mal mrtg komplett neu installiert, das funktioniert nun wieder alles. alles schön neu geconfed
was noch nicht geht, phpSysInfo.

Habta da ne Lösung im Kopf ?!

btw. CaptainCrunch: snmpd is von aussen ZU

[captaincrunch]

hab jetzt mal mrtg komplett neu installiert, das funktioniert nun wieder alles. alles schön neu geconfed

Na siehst du. Anscheinend war es wirklich so, dass du MRTG auf die externe Schnittstelle losgelassen hattest, auf der der Daemon gar nicht gelauscht hat. Mit dem Patch hat das jedenfalls nichts zu tun.

Was phpsysinfo angeht, wirst du herzlich wenig Möglichkeiten haben, das mit dem "Standard-Patch" hinzubekommen, außer vielleicht, den Apachen als root laufen zu lassen, was einer der größten Fehler wäre, den du begehen könntest.
Die andere Möglichkeit wäre, den Patch so selbst einzustellen, dass bestimmte Gruppen (wie z.B. die Apache-Gruppe deines Servers) Zugriff auf /proc hat, aber IMHO lohnt sich der Aufwand nicht.

[dynamix]

OK.

Danke Vielmals dann hat sich das ganze ja nun erledigt.

ThX

Marco