Ein zeitweise überlasteter DNS-Server bremst die Arbeit aller Workstations und macht somit ein singuläres Problem zu einem, das alle betrifft. Dnsgraph zeichnet als Frühwarnsystem schöne Kurven der wichtigen Bind-Zustandswerte über eine Zeitachse.
| Inhalt |
|---|
| 68 | Bot-Angriff Jeder einzelne Rechner im Botnet ist relativ harmlos, in der Masse sind sie eine Plage. Der Artikel beschreibt einen Spam-Bot-Angriff und seine Abwehr. 70 | Netzwerk-Blockdevice Ein Server, der Thin Clients mit einem Read-only-Dateisystem versorgen soll, braucht nicht unbedingt NFS oder Samba: Remote-Blockdevices arbeiten performanter und effizienter. |
Kürzlich las ich von einem Gehirnakrobaten, der sich mehrere tausend Nachkommastellen von Pi merken kann - aber ins Stottern gerät, sobald er den praktischen Nutzen der Übung erläutern soll. Solche Leute brauchen keinen Nameserver, sie merken sich einfach tausende IP-Adressen. Durchschnittstypen wie ich dagegen wollen DNS. Und wer selbst einen solchen Namensauflöse-Dienst betreibt, freut sich über Dnsgraph [1].
Schon der Projektname legt die Verwandtschaft mit Mailgraph und Queuegraph [2] nahe, und tatsächlich fußt Dnsgraph auf Mailgraph. Es liest Statusinformationen über die Arbeit meines Bind 9 (Berkeley Internet Name Domain, [3]) aus einer Datei und bereitet sie grafisch auf.
Um an die Informationen zu kommen, benötige ich noch Rndc, ein Kontrollprogramm aus dem Bind-Paket, mit dem ich digital signierte Kommandos an den Nameserver schicke. Unter anderem kann ich damit den Server anweisen die erwähnten Statusinformationen in eine Datei zu schreiben, damit Dnsgraph sie weiterverarbeitet. Außer Rndc brauche ich natürlich RRDtool und das Perl-Modul File::Tail.
Wie bei den meisten gab es auch in meiner Bind-Konfigurationsdatei »named.conf« schon einen »options«-Abschnitt. In diesen schreibe ich die Zeile
statistics-file "/Pfad_zu/named-stats.log";
hinein. Für die Kommunikation mit dem Rndc füge ich außerdem die Blöcke aus Listing 1 ein. In die Konfigurationsdatei des Rndc, meist »/etc/rndc.conf«, gehört dann das Gegenstück aus Listing 2. Jetzt sollte Rndc Befehle an Bind absetzen dürfen. Der Aufruf von
rndc stats
veranlasst Bind das zuvor konfigurierte Logfile anzulegen und einige Informationen hineinzuschreiben.
|
Listing 1: |
|---|
01 key "rndc-key" {
02 algorithm hmac-md5;
03 secret "Geheimespasswort";
04 };
05
06 controls {
07 inet 127.0.0.1 port 953
08 allow { 127.0.0.1; } keys { "rndc-key"; };
09 };
|
|
Listing 2: |
|---|
01 key "rndc-key" {
02 algorithm hmac-md5;
03 secret "Geheimespasswort";
04 };
05
06 options {
07 default-key "rndc-key";
08 default-server 127.0.0.1;
09 default-port 953;
10 };
|
In »dnsanalise.pl« und »dnsreport.pl« muss ich die Pfade zum Logfile beziehungsweise zur RRD eintragen. In »dnsgraph.pl« passe ich den »TARGET«-Ausgabepfad und den zu den Dnsgraph-Skripten an. Zuletzt kommen die Cron-Einträge dran. Hierfür liefert das Paket das Beispiel »dnsgraph.cron« mit, in dem ich bloß die Pfade zurechtbiege.
Dann darf ich die Auswertungen starten. Schon eine Viertelstunde später liefert RRDtool Ergebnisse (Abbildung 1). Die sind so einsichtig, dass keiner nach dem Nutzen der Übung fragt - und ich gerate nicht ins Stottern. (jk)
Abbildung 1: Admins, die einen Bind-Server betreiben, sind wahrscheinlich um jede Information dankbar, die Dnsgraph liefert.
| Infos |
|---|
| [1] Dnsgraph: [dnsgraph.sourceforge.net] [2] Charly Kühnast, "Mail- und Queuegraph": Linux-Magazin 05/05, S. 77 [3] Bind: [http://www.isc.org/index.pl?/sw/bind/] |
| Der Autor |
|---|
|
Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ (demilitarisierte Zone). In seiner Freizeit lernt er Japanisch, um endlich die Bedienungsanleitung seiner Mikrowelle lesen zu können. |
Copyright © 2002 Linux New Media AG
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
