Zoning jest to metoda partycjonowania sieci FC niosąca za sobą same korzyści, zwiększa bezpieczeństwo i zabezpiecza przed wpływem innych urządzeń na nasze. Partycjonowanie to polega na całkowitym odizolowaniu komunikacji pomiędzy urządzeniami od innych urządzeń, czyli jest to swoisty kanał utworzony dla danej grupy. Ja uważam, że najlepszą praktyką jest tworzenie zoningu 1:1, czyli jeden inicjator i jeden target w jednej strefie i taki zoning przedstawię. Czytaj dalej Prosty zoning na switchu FibreChannel Cisco MDS
Archiwa tagu: Security
Konfiguracja SNMP na switchu FC Cisco z systemem SAN-OS
Switche z systemem SAN-OS są już rzadkością, są to stare urządzenia, najcześciej z portami o maksymalnej przepustowości 2Gbps, ale wspierają SNMP w wersji 3. Ponieważ, wczoraj opisałem, jak skonfigurować SNMP z wersji 2c oraz 3 w switchu ethernet, dzisiaj opisuję przełącznik FibreChannel. Czytaj dalej Konfiguracja SNMP na switchu FC Cisco z systemem SAN-OS
Konfiguracja SNMP na switchu Cisco 3550 i użycie snmpwalk w Linuksie
SNMP to rodzina protokołów, które zostały stworzone do zarządzania urządzeniami sieciowymi. Do komunikacji wykorzystywany jest głównie protokół UDP, rzadziej TCP. Typów wiadomości istnieje 7, najpopularniejsze służą do monitoringu i są to GET (walk) – UDP/161) i wyzwalane TRAP UDP/162).
Informs są wysyłane do klienta w momencie, gdy wyśle żądanie GET do serwera SNMP, TRAPy są wysyłane do klienta, gdy został spełniony jakiś warunek, np. zgasł port na switchu. SNMP doczekało się w tym momencie trzech wersji, z czego ostatnia, trzecia wspiera pełne uwierzytelnianie i szyfrowanie, czym została zlikwidowana jedyna dotychczasowa wada SNMP – brak bezpieczeństwa. Czytaj dalej Konfiguracja SNMP na switchu Cisco 3550 i użycie snmpwalk w Linuksie
Wysyłanie logów z syslog-ng do bazy MySQL
W poprzednim wpisie opisałem prostą konfigurację zbierania logów przez syslog-ng z innych hostów, teraz czas na wrzucenie tych logów do bazy danych. Czytaj dalej Wysyłanie logów z syslog-ng do bazy MySQL
Utworzenie loghost-a z użyciem syslog-ng
W poprzednim wpisie zamieniliśmy rsyslog na syslog-ng, teraz to wykorzystamy, oczywiście oba rozwiązania są ze sobą kompatybilne. Możemy bez problemu wysyłać logi rsyslogiem na syslog-ng i odwrotnie. To samo z innymi rozwiązaniami, jak np. logi z ESXi.
Konfiguracja syslog-ng jest dużo prostsza niż rsyslog-a. Czytaj dalej Utworzenie loghost-a z użyciem syslog-ng
Wymiana rsyslog na syslog-ng w CentOS/RHEL 6
W następnych wpisach będę chciał przedstawić wykorzystanie innej wersji sysloga: syslog next generation – syslog-ng.
Tak że teraz przedstawiam jedynie, jak wyłączyć rsyslog, a zainstalować i włączyć syslog-ng w systemie. Czytaj dalej Wymiana rsyslog na syslog-ng w CentOS/RHEL 6
Zapisywanie danych z rsyslog do bazy danych MySQL
Chcąc logować zdarzenia z syslog-a do bazy danych, potrzebujemy zainstalować serwer syslog, w omawianym przypadku jest to rsyslog oraz rsyslog-mysql, zawierający bibliotekę umożliwiającą rsyslogowi komunikację z serwerem MySQL. Czytaj dalej Zapisywanie danych z rsyslog do bazy danych MySQL
Wykorzystanie SSH do tunelowania ruchu
Mając dostęp po SSH do serwera, gdzie w konfiguracji nie jest wyłączona opcja AllowTCPForwarding, możemy wykonywać połączenia i tworzyć tunele do innych serwisów. Czytaj dalej Wykorzystanie SSH do tunelowania ruchu
Sprawdzona konfiguracja rsyslog i logrotate, jako zewnętrznego serwera syslog
rsyslog jest domyślną aplikacją logującą w systemach RHEL6 /CentOS 6. Tak jak i inne syslogi, funkcjonuje w oparciu o pliki lokalne oraz zewnętrznie o domyślne porty TCP i/lub UDP 514. To, czy będziemy używać TCP, czy UDP, zależy od nas, odpowiada za to linia w konfiguracji: $UDPServerRun 514 / $TCPServerRun 514 Czytaj dalej Sprawdzona konfiguracja rsyslog i logrotate, jako zewnętrznego serwera syslog
Skrypt BASH wykorzystujący ipset do zastąpienia modułu GeoIP
Ponieważ z modułem GeoIP dla iptables występują problemy głównie w jego dostępności w wielu dystrybucjach, szukałem rozwiązania, jak blokować ruch z określonych krajów, z wielką pomocą przyszła strona http://ipdeny.com/ipblocks, która zawiera listę adresów IP podzielonych na strefy – kody krajów zgodne z ISO-3166. W skrypcie wykorzystuję ipset, który jest dostępny od kernela 2.4, a sama aplikacja do zarządzania listami, również ipset, może wymagać doinstalowania. Poniżej przedstawiam skrypt, który zastępuje mi GeoIP. Czytaj dalej Skrypt BASH wykorzystujący ipset do zastąpienia modułu GeoIP