Categorie op Linux systeemmanagement

Na de recente release van Red Hat 8 en de bijbehorende TechTalk waarover ik al eerder schreef, was het gisteren een volle dag Red Hat Techday op een schitterende locatie in Maarssen.

De keynotes waren van Eric Schabell, een amerikaan die open source als de sleutel tot je succes verklaarde door van “you” via “sharing” naar “grow” te gaan. Geen technisch verhaal maar meer een inspirator. Tip: Hij is o.a. op twitter te volgen via @ericschabell

De tweede spreker is ook een bekende Maxim Burgerhout en kwam met een voor mij deels bekend verhaal, hij had delen geleend van zijn spreekbeurt over wat-is-er-nieuw in RedHat 8.

Hands-on lab

Hoe interessant de sprekers ook waren, als techneut was ik gegaan voor ’t hands-on lab over Ansible Tower. Ansible is een automation tool waarmee je niet, net zoals met bijv. Puppet, configuraties kan distribueren maar nog wat meer. De ‘standaard’ versie is niet voorzien van een GUI en dus kwam er Ansible Tower. In het (te) korte hands-on lab kreeg je de mogelijkheid om met Anible Tower (web-gui) te spelen

In n van de oefeningen kreeg je de opdracht om een web-app te deployen in Azure. Als je ’t bij Linux als OS hield had je 4 vm’s nodig: een loadbalancer, twee webservers en een database server. Ansible Tower kent een grafische flowchart waarin je heerlijk componenten (templates) bij elkaar kan klikken en afhankelijk (of onafhankelijk indien je dat wil) kan deployen. Alles hangt aan elkaar dus je moet wel opletten dat bijv. de template die de database wil uitrollen op de databaseserver niet alleen gekoppeld is aan de databaseserver (hoe logisch dat dat ook klinkt, het gebeurd je de eerste keer) en dat de rechten (permissions) goed geregeld zijn.

Ik ben de volle twee uur bezig geweest om een werkende webapp op te leveren, iets wat als je er meer ervaren mee hebt in een kwartiertje gedaan hebt. Dus ja, ik heb er aardig wat van opgestoken.

Het volgende event? Het Red Hat forum op 9 october.

Op 9 mei 2019 lanceerde Red Hat versie 8, hier een samenvatting van de meest opvallende nieuwe of veranderde zaken in deze veel gebruikte linux distributie. Dat er een nieuwe Gnome desktop wordt geleverd en een nieuwe kernel 3.x spreekt eigenlijk vanzelf. Een paar dingen die mij opgevallen zijn tijdens de Red Hat tech talk staan hier.

Verandering in de repo structuur

Wie iets met Red Hat Satellite doet had het al gemerkt, de software-collections zoals we die kende zijn vervangen door iets wat appstreams heet. Het idee is om apps in deze appstreams onafhankelijker van de updates in de base te kunnen doen. Daarnaast krijg je hetzelfde mechanische als voor de Java omgeving. Met alternative kun je een actieve versie van een geinstalleerde app gebruiken die dan ook, net zoals bij Java, op een plek staat waar je ‘m zou verwachten. Dat maakt het gebruik van diverse (dev)tools een stuk makkelijker, zegt Red Hat.

Je installeert deze apps niet met yum install <appname> maar met yum module install <appname>. Er is ook een nieuwe parameter aan yum toegevoegd: module. Naast de al genoemde yum module install heb je ook een yum module list om een lijst te krijgen met de beschikbare apps en versies.

Geen verandering: yum

Misschien vreemd om te noemen maar Red Hat 8 is gebaseerd op Fedora 28 waarin dnf als standaard package manager wordt gebruikt. In Red Hat 8 is men yum blijven gebruiken en is ge-upgrade naar versie 4 wat nu niet meer op python v2.x maar op python v3.x is gebaseerd en ‘dus’ sneller zou moeten zijn.

Ook niet geheel nieuw: VDO

In Red Hat 7.x al stilletjes toegevoegd, het VDO filesysteem. Een VDO filesysteem kent compresse en de-dup waardoor een flinke ruimtewinst geboekt kan worden. Het is op device mapper nivo en presteert redelijk goed. Om op een VDO filesysteem files neer te zetten die veel en vaak worden opgevraagd of gewijzigd is dit uiteraard minder geschikt.

Cockpit heet nu Web Console

In Red Hat 7.x was cockpit al beschikbaar maar werd niet standaard geinstalleerd. Nu wel, op port 9090 (standaard) wordt een webinterface aangeboden waarin je veel systeemzaken kunt zien maar ook kunt configureren. Deze lijst wordt steeds langer en omvat oa.: netwerk-management (ook dingen als bonding enz.), filesysteem-management (lvm, nfs, vdo enz) en selinux zaken. Ook zit er in Web Console die overigens nog steeds cockpit heet op het inlogscherm, ook een terminal. Kortom, het begint steeds meer en meer een interessante manier te worden. LinuxPro gebruikt cockpit middels een nginx proxy waarvan we binnenkort de configuratie zullen plaatsen.

Security

Uiteraard zitten ze ook bij Red Hat niet stil als het om security gaat. Zo is er een tool waarmee system-wide bepaalde standaard kunnen worden geconfigureerd (crypto-setup) en is LUKS ge-upgrade naar versie 2. Op kernel nivo zijn PIE en RELRO geintroduceerd die een veel gebruikte manier van exploits, buffer overflow, moeten tegengaan daar het onverspelbaar te maken waar wat in geheugen draait.

Netwerk

In de netwerk-stack zijn dingen aangepast waardoor oa. aan crypto offloading gedaan kan worden, congestie in het netwerk gedetecteerd kan worden en automatische optimalisatie gedaan wordt. Ook in bonding omgevingen kunnen veel gemaakte fouten makkelijker worden herkend en opgelost.

Docker

Docker is niet meer ‘hip’, containerisatie wel. In plaats van docker, met een volgens Red Hat onwerkbaar licentie model is nu een drop-in replacement in de vorm van podman, buildah en skopeo gekomen.

Wat is SPF

SPF heeft iets met maken met email en het bestrijden van spam. De afkorting staat voor Sender Policy Framework, dat is leuk maar wat doet het? SPF kent twee kanten:

• De DNS van een domein krijgt een TXT record waarin staat welke servers er voor het domein email mogen versturen.
• De SMTP server controleert of een binnenkomende email af komt van een server die voor dat domein email mag versturen.

Waarom SPF gebruiken

Dat is vrij eenvoudig, het zorgt er voor dat email die binnenkomt gecontroleerd wordt of deze afkomstig is van smtp servers die voor een bepaald domein geautoriseerd zijn om email te verzenden. Hiermee kan vrij eenvoudig een deel van spam en phising worden geblokkeerd. In veel gevallen komt deze kwaadaardige email af van smtp servers die niet geautoriseerd zijn om die email te versturen. Een andere reden om SPF te gebruiken is dat de configuratie niet lastig is en het door veel grote emailaanbieders zoals Google ook gebruikt wordt.

SPF gebruiken

Zoals al aangeven bestaat het gebruik van SPF uit twee delen: de configuratie van de DNS en de SMTP server.

DNS configuratie

In de DNS moet een (extra) TXT record worden opgenomen waarin de emailservers voor dat domein staan aangeven. Zo’n TXT record kan er als volgt uit zien:

v=spf1 mx include:mail.example.com ip4:1.2.3.4 ip6:2a01:4f8:aaa:1355:2 -all

Uitleg:

Opmerking: In plaats van -all (weiger email van een domain als de betreffende SMTP server niet geauthoriseerd is kan ook een ~all worden gebruikt, email wordt dan wel geaccepteerd maar kan als SPAM worden gemarkeerd. Ook kan de optie +all worden gebruikt, dan wordt de controle wel gedaan maar volgt er altijd een pass uit en wordt de email geaccepteerd.

Je kan met dig txt linuxpro.nl ons TXT record opvragen, je krijgt dat iets te zien als:

linuxpro.nl. 13372 IN TXT "v=spf1 mx -all"

In ons geval hebben we dus geen extra servers maar alleen de mailservers die in de MX-records staan mogen email versturen voor linuxpro.nl

SMTP server configuratie

We gaan hier uit van een werkende postfix configuratie waar we SPF willen implementeren op een Red Hat of daarmee vergelijkbare distro.

De eerste stap is de installatie van pypolicyd-spf, de is beschikbaar is de veelgebruikte epel repository en die moet dan ook aanwezig en enabled zijn.

Na de installatie moet de postfix configuratie op twee plaatsen worden aangepast, in de master.cf moet worden opgenomen:

policy unix - n n - - spawn user=nobody argv=/usr/libexec/postfix/policyd-spf

En in de main.cf komt onder smtpd_recipient_restrictions voor de laatste regel (waar permit zou moeten staan) de volgende regel:

check_policy_service unix:private/policy,

Herstart hierna postfix en controleer de logfile, je komt dan, als alles goed gaat, oa. de volgende logregels tegen:

policyd-spf[7663]: Pass; identity=mailfrom; client-ip=34.208.113.12;......
policyd-spf[3479]: None; identity=helo; client-ip=183.164.91.100; helo=mtpmc.com...
policyd-spf[3954]: Fail; identity=helo; client-ip=95.213.207.110; helo=....

Op 9 mei heeft Red Hat de lang verwachtte versie 8 gereleased. We hadden de beta’s al getest en de lijst met vernieuwingen, veranderingen, nieuwe zaken is enorm. Zaken die in Red Hat 7.6 al als ‘deappriciated’ werden gezien zijn nu of daadwerkelijk vervangen of verwijderd. Zo is yum vervangen door het syntax compatible dnf. De vervanger dnf is sneller dat yum mede omdat het niet meer in python maar C++ geschreven is.

Binnenkort meer over alle veranderingen in Red Hat 8, tot die tijd kan je de officieele release notes lezen. Red Hat 8 is gebaseerd op Fedora 28

Nou ja, slager… Het overkwam mij dat ik als root een bestand uit /etc niet verwijderd kreeg. In plaats daarvan kreeg ik een ‘Operation not permitted‘ Eerst gekeken met lsof of het bestand door een proces in gebruik was maar dat was niet het geval.

Wat iemand gedaan had was met chattr +i het bestand immutable (onveranderlijk) gemaakt. De oplossing is simpel, geef een chattr -i <bestandsnaam> en ik was in staat om het bestand te verwijden.

Met lsattr kunnen de attributen worden opgevraagd.

Het zijn voor mij in ieder geval tooltjes die ik zelden tot nooit gebruik maar waar je in een klantenomgeving zo maar tegen aan kan lopen.