Checkmk

Administrative Zugänge

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱

Ziel Verbindung Benutzer Passwort Verwendung
Checkmk Frontend URL: http://172.16.0.207/pauli01 cmkadmin <decrypt>U2FsdGVkX19cKttPb3YRvjIwm6CXLbCXd92FpJ20A1Q=</decrypt> Frontend zur Verwendung von Checkmk
ssh Server ssh icinga@172.16.0.207 icinga <decrypt>U2FsdGVkX1/63VK9kmTv2O9pKmwdsJ3rKqGaZP91tVw=</decrypt> ssh-Login auf Server (root ist verboten)
werde root sudo su <decrypt>U2FsdGVkX1/3Pz8eY180m245RvCUM2RBmSX/he6H0PI=</decrypt> um root zu werden
werde pauli01 sudo pauli01 <decrypt>U2FsdGVkX1/yv3es1iuliqzwgDlAvt8wEhVmBqITEtQ=</decrypt> um pauli01 zu werden, das ist der Site-Admin von pauli01

Installation Checkmk 2

Diese Doku lesen: https://docs.checkmk.com/latest/de/install_packages_debian.html

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱

Installation Check_mk 2.0.0

Mit Checkmk-Server verbinden und root werden 

  ssh icinga@172.16.0.207

Passwort: <decrypt>U2FsdGVkX183u0kpQ/QXUVSXmlM99MXa4q64wYMs+as=</decrypt> 

  sudo su

Passwort: <decrypt>U2FsdGVkX1+q94Ga0Sg329kIjoV+jUEF5KkEO24rRfU=</decrypt>

Server vorbereiten (Ubuntu SRV 20.10) 

  vim /etc/resolv.conf    -> DNS Server eintragen
  vim /etc/hostname       -> checkmk01.pauli.de als Hostname eintragen
  vim /etc/hosts          -> 172.16.0.207 checkmk01.pauli.de (zur lokalen Namensauflösung
  reboot
  sudo su
  apt update
  apt dist-upgrade
  apt autoremove
  apt autoclean

Abhängigkeiten vorinstallieren 

  apt install openssh-server
  apt install dpkg-sig

Holen der Installationspakete (RAW-Edition) 

  https://checkmk.com/de/download?edition=cre&version=stable&dist=ubuntu&os=groovy

Datei downloaden und via scp auf den Server übertragen, oder: 

  wget https://download.checkmk.com/checkmk/2.0.0p6/check-mk-raw-2.0.0p6_0.groovy_amd64.deb

Keys installieren 

  wget https://download.checkmk.com/checkmk/Check_MK-pubkey.gpg
  gpg --import Check_MK-pubkey.gpg
  dpkg-sig --verify check-mk-raw-2.0.0p6_0.groovy_amd64.deb
  apt install /home/icinga/check-mk-raw-2.0.0p6_0.groovy_amd64.deb

Es werden einige Abhängigkeiten zusätzlich installiert

Abschluss-Test der Installation In der Shell eingeben: 

  omd version
      Antwort: OMD - Open Monitoring Distribution Version 2.0.0p6.cre

Einschränken des ssh-Zugangs 

  vim  /etc/ssh/sshd_config
    ClientAliveInterval 600    # Timeout nach 600 Sekunden
    ClientAliveCountMax 5      # Sende 5 mal Keepalive

Nach 5 X 600 Sek = 3000 Sek nach der letzten Eingabe in der Shell wird die Session automatisch geschlossen.

Anlegen der ersten Instanz (pauli01)

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱ 

   root@pslbicinga01:/home/icinga# omd create pauli01
        Adding /opt/omd/sites/pauli01/tmp to /etc/fstab.
        Creating temporary filesystem /omd/sites/pauli01/tmp...OK
        Updating core configuration...
        Generating configuration for core (type nagios)...Precompiling host checks...OK
        OK
        Restarting Apache...OK
        Created new site pauli01 with version 2.0.0p6.cre.
        The site can be started with omd start pauli01.
        The default web UI is available at http://pslbicinga01/pauli01/
The admin user for the web applications is cmkadmin with password: ******** (see below)
For command line administration of the site, log in with 'omd su pauli01'.
After logging in, you can change the password for cmkadmin with 'htpasswd etc/htpasswd cmkadmin'.

Passwort cmkadmin: <decrypt>U2FsdGVkX18vkZmrItYbfkjhlm6GIkI2Fy9l8ca8rK8=</decrypt>

https

Doku lesen: https://docs.checkmk.com/latest/de/omd_https.html

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱

mod_ssl installieren und aktivieren 

  sudo a2enmod ssl
  sudo service apache2 restart

mod_rewrite installieren und aktivieren 

  sudo a2enmod rewrite
  sudo a2enmod actions
  sudo service apache2 restart

mod_headers installieren und aktivieren 

  sudo a2enmod headers
  sudo service apache2 restart

Ein Zertifikat erstellen 

  sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/ssl/private/apache-selfsigned.key -out /etc/ssl/certs/apache-selfsigned.crt
    
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:NRW
Locality Name (eg, city) []:Waldbröl
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Pauli+Sohn
Organizational Unit Name (eg, section) []:Verkauf
Common Name (e.g. server FQDN or YOUR name) []:172.16.0.207                        
Email Address []:info@pauli.de

Apache2 anpassen 

vim /etc/apache2/sites-enabled/000-default.conf
  <VirtualHost *:80>
 
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
 
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
 
        RewriteEngine On
        RewriteCond %{SERVER_PORT} !^443$
        RewriteRule (.*) https://%{HTTP_HOST}$1 [L]
        RequestHeader set X-Forwarded-Proto "https"
  </VirtualHost>
 
  <VirtualHost *:443>
 
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/html
 
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
 
        SSLEngine on
        SSLCertificateFile /etc/ssl/certs/apache-selfsigned.crt
        SSLCertificateKeyFile /etc/ssl/private/apache-selfsigned.key
</VirtualHost>

Apache restarten 

  sudo service apache2 restart

Jetzt kann auf Checkmk via https zugegriffen werden: https://172.16.0.207/pauli01
Da es ein selbstsigniertes Zertifikat ist, kommt eine Vertrauensmeldung

Lets Encrypt verwenden
Lies: https://www.digitalocean.com/community/tutorials/how-to-secure-apache-with-let-s-encrypt-on-ubuntu-20-04-de 

 
  sudo apt install certbot python3-certbot-apache

Checkmk updaten

Diese Doku lesen: https://docs.checkmk.com/latest/de/update.html

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱

Installation updaten
OS-Version Check (hier für Ubuntu) 

  lsb_release -a

Lokale Dateien auf Kompatibilität Checken 

  OMD[pauli01]:~$ find -L ~/local -type f

Inkompatible und obsolete MKPs (Erweiterungspakete) 

  OMD[mysite]:~$ mkp list
  OMD[mysite]:~$ mkp find

Die neueste Version von https://checkmk.com/download laden und auf den Server schieben:
Auf dem Checkmk-Serve als root: 

  scp andre@10.242.2.18:/home/andre/Downloads/check-mk-free-2.0.0p13_0.groovy_amd64.deb /tmp/

Die Installation beginnen (als root) 

  apt install /tmp/check-mk-free-2.0.0p13_0.groovy_amd64.deb

Bei Abhängigkeitsproblemen unbedingt checken ob die zum OS passende Installationsdatei verwendet wurde. Jetzt den Server oder Dienst neu starten

Test der Installation 

  omd version

Die Installationsdatei kann aus /tmp/ entfernt werden.

Site Updaten

  su - pauli01      # Siteadmin werden
  omd stop          # Site stoppen
  omd update        # updaten
  omd start         # Site nach Update wieder starten

Nach Aufruf des Checkmk Frontend kann die laufende Version der Site unter „Info“ nachgeschlagen werden.

Backup einrichten

Doku lesen: https://docs.checkmk.com/latest/de/backup.html

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱

Target erstellen (Ziel der Backup-Daten) als root auf dem Server: 

  mkdir /Backup
  chgrp omd /Backup
  chmod 770 /Backup/

Der Backup-Ordner ist kein Mountpoint

Backup-Schlüssel erstellen
Description or comment: pauli01 Backup Key
Passphrase: <decrypt>U2FsdGVkX1902gw76yvfezcNo1lcTOPxpMJAnKR66xI=</decrypt>
Jetzt den Schlüssel speichern check_mk-pslbicinga01-pauli01-backup_key-1.pem.zip

Backup-Job erstellen 

  Target:         /Backup
  Scedule:        jeden Sonntag um 01:00
  Komprimiert:    ja
  Verschlüsselt:  Ja mit pauli01-backup_key-1.pem

Hosts überwachen

Neuen SNMP-Host einrichten (Netzwerkgeräte)

Diese Doku lesen: https://docs.checkmk.com/latest/de/snmp.html

Zum Anzeigen hier klicken ⇲

Zum Verstecken hier klicken ⇱

Erreichbarkeit testen (Hier für den Host 172.16.15.203) 

  OMD[pauli01]:~$ ping 172.16.15.203                                         # Einfacher Pingtest
  OMD[pauli01]:~$ snmpget -v1 -c public 172.16.15.203 1.3.6.1.2.1.1.1.0      # Abfrage der Systembeschreibung mit snmpv2
  OMD[pauli01]:~$ snmpget -v2c -c public 172.16.15.203 1.3.6.1.2.1.1.1.0     # Abfrage der Systembeschreibung mit snmpv2

Linux (Debian)

Installieren: 

  wget --no-check-certificate https://172.16.0.207/pauli01/check_mk/agents/check-mk-agent_2.0.0p13-1_all.deb
  dpkg -i check-mk-agent_2.0.0p13-1_all.deb

Testen: 

  check_mk_agent   -> unter anderen Infos wird auch die omd-Version angezeigt

Anwenden

Logfiles

URL: https://172.16.0.207/pauli01/check_mk/logwatch.py
Hier können sich Errors und Warnings der Logfiles aller Server untersucht werden.
Unter Logs → Clear Logs können die Einträge in Checkmk gelöscht werden.

Blubb

https://gethttpsforfree.com/ 

openssl genrsa 4096 > account.key
openssl rsa -in account.key -pubout

Ergebnis nach https://gethttpsforfree.com/ kopieren 

openssl genrsa 4096 > domain.key
  openssl req -new -sha256 -key domain.key -subj "/" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:pauli.de,DNS:www.pauli.de"))

Ergebnis nach https://gethttpsforfree.com/ kopieren