Im Kurztest: Ctop 0.5.1, Salomon 1.7.4, Gpgpwd 0.7.2, Why Can’t I Connect? 1.12.3

Wer sich um Docker-Installationen kümmert, benötigt spezielle Überwachungstools. Docker selbst kann einiges über die Container verraten, etwa die Anzahl der auf einem Host laufenden Container, den CPU-Verbrauch, die Speicherauslastung oder den Netzwerkdurchsatz. Einen übersichtlichen Blick auf mehrere Container und eine Echtzeitanalyse auf der Shell verspricht Ctop. Anwender beziehen das in Go implementierte Tool über das Github-Repository und definieren vor dem ersten Aufruf die Umgebungsvariable »DOCKER_HOST«.

In der Voreinstellung bildet Ctop alle Container ab, ob sie aktiv sind oder nicht. Seine Anzeige aktualisiert das Tool im Sekundentakt. Es listet Prozessorlast, Speicherverbrauch, Netzwerkdurchsatz (eingehender und ausgehender Datenverkehr) und Festplattenzugriffe (lesende und schreibende) auf. Um die Anzeige auf die aktiven Container zu beschränken, geben Anwender »-a« an.

In der Voreinstellung steht der Container mit der größten Prozessorlast an oberster Stelle; »-r« kehrt die Reihenfolge um. Der Schalter »-i« stellt die Farben invers dar, und »-s« legt das erste Feld fest.

  Derzeit überwacht Ctop nur Docker-Container, die Entwickler planen aber, weitere Systeme einzubeziehen. Die Darstellung ist übersichtlich, die Bedienung einfach. Auf dem Testrechner erforderte das Tool Rootrechte und verweigerte andernfalls den Start.

Salomon analysiert Logfiles und andere Textdateien, filtert sie und bereitet die Anzeige optisch auf. Der Sane Log File Monitor setzt im Hintergrund auf »grep«, »sed« und »tail«. Anwender rufen das Bash-Skript zusammen mit dem Namen der Eingabedatei auf. Optional geben sie hinter »-c« eine Datei für die Farbkonfiguration an. Solche Files enthalten Zuordnungen von Farben und Schlüsselwörtern. Im Archiv ist ein Beispiel enthalten, das als Vorlage dienen kann. Ohne weitere Parameter arbeitet das Tool im Monitormodus, das heißt, es erfolgt eine fortlaufende Aktualisierung der Ausgabe. Die Angabe von »-a analyze« unterbindet dieses Verhalten.

Mit »-f« filtern Nutzer nach Zeichenketten; mehrere Begriffe geben sie durch Semikolon voneinander getrennt an. Über »-e« ist es möglich, Zeilen mit bestimmten Strings auszuschließen. Der Parameter »-r« entfernt gezielt Wörter. Das ist hilfreich, wenn Nutzer Informationen aus dem Output ausklammern möchten, bevor sie ihn weiterverarbeiten. Salomon ignoriert auf Wunsch Groß- und Kleinschreibung und legt nach jedem Treffer eine kurze Pause ein, damit Anwender die Meldungen erfassen können.

  Salomon überzeugt. Schön wäre, wenn die Entwickler Farbschemata für gängige Logformate und deren Schlüsselwörter beilegen würden.

Gpgpwd ist ein Passwortmanager für die Shell. Das Perl-Skript nutzt den Gnu-PG-Key der Anwender, um Zugangsdaten in einer verschlüsselten Datei im Homeverzeichnis wegzusperren. Der Befehl »gpgpwd set Namen« legt einen neuen Eintrag an oder bearbeitet vorhandene.

Zu jedem Objekt gehört neben dem Kennwort auch ein Benutzername, den das Tool in der Datenbank einträgt. Gpgpwd schlägt zufällige, starke Kennwörter vor, Anwender können aber auch eigene wählen. »gpgpwd get« zusammen mit dem Bezeichner liest Passwörter aus – reguläre Ausdrücke helfen denen, die sich nicht an den Namen erinnern.

Aktuelle Gpgpwd-Versionen enthalten eine »alias«-Funktion, die Benutzername-Passwort-Kombinationen verwaltet. Die Datenbank mit den verschlüsselten Einträgen platziert das Tool jetzt im Verzeichnis »~/.config/gpgpwd« – dort liegt seit Version 0.6 auch eine Einrichtungsdatei. Hier tragen Anwender eine Mindestlänge für Passwörter oder einen Standardnutzer ein. Das Kommando »gpgpwd config« zeigt die Konfiguration auf der Standardausgabe an.

  Auch in der aktuellen Fassung erhält das Tool die volle Punktzahl von den Testern. Es ist schnell und sicher – ein Passworttresor, der auf das bewährte Gnu-PG setzt, gefällt.

So mancher Admin hat sich schon in seinen IPtables-Regeln verlaufen oder unabsichtlich ausgesperrt. Hilfe und leichte Pflege der Firewall verspricht das Tool Ipblocker. Für seine Arbeit benötigt es neben der Bash eine Internetverbindung, Wget und natürlich IPtables selbst.

Ipblocker kennt eine Reihe von Parametern: »-i« hält beispielsweise alle ICMP-Pakete ab, während »-t« bekannte Tor-Exitnodes blockiert. Dazu lädt das Skript eine aktuelle Liste von http://www.dan.me.uk/torlist/?exit herunter. Mit »-c« schließen Admins gezielt Länder aus; umgekehrt definiert »-C« die erlaubten Ländercodes.

Interessant ist auch die Option »-k«, die Adressen bekannter Angreifer abwehrt. Die IPs bezieht das Skript von http://report.rutgers.edu, https://rules.emergingthreats.net undhttps://www.openbl.org. Hier liegen Textdateien mit Adressen – Ipblocker legt für jede eine eigene Regel an, egal ob die IP gerade gesperrt ist oder nicht.

Das Regelwerk wächst (gerade beim Einsatz von »-k«) schnell auf über 20 000 Einträge an. Wer mit einer leeren IPtables-Konfiguration starten möchte, muss »-f« beim Aufruf angeben, was das entsprechende »flush«-Kommando auslöst. Andernfalls fügt das Tool die neuen Regeln einer vorhandenen Liste hinzu.

  Die Idee hinter dem Shellskript ist gut – vor allem die Möglichkeit, bekannte Angreifer per Liste zu blockieren. Das erzeugte Regelwerk ist allerdings recht komplex, da Ipblocker für jede IP eine eigene Regel anlegt. Das Tool arbeitet nur mit »iptables« und nicht mit »ip6tables« zusammen.

Wo hakt die Verbindung zum Server oder Dienst? Alte Linux-Hasen öffnen eine Konsole und setzen diverse Befehle ab, um dem Problem auf die Spur zu kommen. Eine komfortablere Möglichkeit bietet Why Can’t I Connect (WCIC): Über eine grafische Oberfläche (die X11 unter Linux voraussetzt) analysieren Anwender TCP/IP-Verbindungen. Das Tool liefert gängige Fehlercodes, Beschreibungen und mögliche Lösungsansätze zurück.

Nach dem Start wählen Benutzer einen Dienst aus, tragen die Adresse und den Port ein; WCIC enthält vorkonfigurierte Tests für POP 3, IMAP, SMTP, FTP, LDAP, MySQL und MS SQL. Nach dem Verbindungaufbau prüft das Tool die korrekte Funktion. Bei Problemen zeigt es im Hauptfenster eine Trace-Ausgabe und in einem Extradialog mögliche Lösungen, die recht allgemein gehalten sind. Wer andere Dienste unter die Lupe nehmen möchte, kann das generische Modul verwenden.

Benutzer starten das Tool optional im Servermodus und geben den Port an, auf dem es Verbindungen erwartet. Auf Client-Seite besteht nun die Möglichkeit, die Verbindung mit einem generischen Check zu prüfen. Ist das erfolgreich, können Nutzer auch einfache Textnachrichten zum Zieldienst schicken. Um einen Webserver zu testen, senden sie so beispielsweise »GET«-Befehle.

  Why Can’t I Connect punktet mit einer übersichtlichen Benutzeroberfläche. Die Fehleranalyse und die Ratschläge richten sich vor allem an unerfahrenere Anwender. Für routinierte Nutzer ist besonders die Möglichkeit interessant, eigene Befehle über das generische Modul abzusetzen.