/var/blog/messages

!@(uploads/2006/06/bp1400_front.jpg:R150 popimg: “APC © Back-UPS Pro 1400 – klik for større billede”)Jeg har tidligere efterlyst en UPS og nu har jeg sandelig fået en. En venlig læser af min blog tilbød mig en, efter at have læst om mine genvordigheder med svigtende elforsyning. Jeg vil snarest lave en liste over andre ting jeg mangler, såsom en Ducati 900 Mike Hailwood Replica, en hvid Lamborghini Countach og en gartner…

Tilbage til UPS’en, som Johannes venligt overlod mig. Det er en APC Back-UPS Pro 1400, som kan levere ca. 950W. Ved fuld belastning rækker batterikapaciteten til ca. 7 minutter og det skulle være nok til, at man både kan vente lidt, for at se om strømmen kommer igen, og nå at lukke serveren ned, gracefully.

Desværre har UPS’en vist sig at være dum. Ikke sådan at den driller eller noget, men i den forstand, at den ikke understøtter “Smart Signaling”. Smart Signaling muliggør aflæsning af vigtige parametre som forsyningsspænding (normalt 240V, men den kan svinge meget), batteriniveau og belastning.

Den kan imidlertid det der skal til – nemlig give serveren tid til at lukke pænt ned, så der ikke sker skader på harddiskene eller tabes uskrevne data.

Giv en stor hånd til Johannes, for hans uselviske gavmildhed .

De fleste af os har nok oplevet, at en harddisk stod af. Det er på alle måder irriterende. Tabet af data er oftest det værste, men selv med en god backup skal man til at bruge timer, ofte flere hele aftener, på at genskabe computeren.

Hvis man så bare havde fået et kort varsel! Det kan man faktisk godt få, for siden ATA-3 standarden kom frem i 1996^[1], har alle harddiske været udstyret med S.M.A.R.T.-systemet. Og det er smart! Systemet overvåger en lang række mere eller mindre kritiske parametre i disken. Det foregår helt uafhængigt af computeren, inde i selve harddisken.

Her knækker filmen imidlertid, for der er ikke nogen harddisk-fabrikanter der leverer et interface til S.M.A.R.T., ligesom det heller ikke findes i Windows™, på trods af at basiskommandoerne er veldokumenterede og frit tilgængelige (der findes ikke en egentlig S.M.A.R.T.-standard).

Heldigvis er andre mere service-mindede. Derfor har de lavet smartmontools, som også fås til Windows. Det er to programmer – et der konstant kører i baggrunden og holder øje med disken og et man selv kan køre, hvis man ønsker information her og nu.

Her er et output fra min Windows XP:

C:\Program Files\smartmontools\bin>smartctl.exe -a /dev/scsi00
smartctl version 5.36 [i686-mingw32-xp-sp2] Copyright (C) 2002-6 Bruce Allen
Home page is http://smartmontools.sourceforge.net/

Device: QUANTUM ATLAS_V_18_WLS Version: 0230
Serial number: 141014450327
Device type: disk
Local Time is: Wed May 31 22:09:55 2006 RST
Device supports SMART and is Enabled
Temperature Warning Enabled
SMART Health Status: OK

Current Drive Temperature: 39 C
Drive Trip Temperature: 90 C
Elements in grown defect list: 0

Error counter log:
           Errors Corrected by           Total   Correction     Gigabytes    Total
               ECC          rereads/    errors   algorithm      processed    uncorrected
           fast | delayed   rewrites  corrected  invocations   [10^9 bytes]  errors
read:        274        0         0         0          0          2.823           0
write:         0        0         0         0          0          2.308           0

Non-medium error count: 8

Last n error events log page

SMART Self-test log
Num  Test              Status                 segment  LifeTime  LBA_first_err [SK ASC ASQ]
     Description                              number   (hours)
# 1  Background long   Completed                   -    9277                 - [-   -    -]
# 2  Background short  Completed                   -    9276                 - [-   -    -]

Long (extended) Self Test duration: 2048 seconds [34.1 minutes]

Det ses blandt andet, at min disk er 39°C varm, den har lavet 274 fejl og været tændt i 9277 timer (det er godt 386 døgn). I dens foreløbige levetid har den læst 2,8 terrabytes og skrevet 2,3 terrabytes! Det svarer til, at alle 18 gigabytes på disken er skrevet og læst mellem 125 og 156 gange! Alt i alt må disken siges at være i god stand og have ydet en pletfri indsats!
Hvorfor sørger Microsoft og Quantum (opkøbt af Maxtor, der nu er opkøbt af Seagate) ikke for, at vi helt rutinemæssigt får helbredsinformationer fra disken, når den får det dårligt? Det er ikke så svært og det kunne spare os forbrugere for megen ærgelse!

^[1] SCSI-diske fik angiveligt S.M.A.R.T. med SCSI-3 standarden i 1992.

!@(uploads/2006/05/xerox.internt.twe.net.3-day.gif:R300 popimg: “MRTG – klik for større billede”)Min webserver er ret sløv i øjeblikket . Jeg lagde mærke til det, da jeg tjekkede post via min webmail og tog derfor et kig på min serverstatistik. Som vedstående billede viser, så har der været usædvanlig meget trafik, det sidste døgns tid. Hmm…..

Et tcpdump -i eth1 not port 22 viste en masse http trafik fra IP-adressen 65.55.246.95, som kan slås op til msnbot.msn.com. Kunne MSN virkelig tænkes at være synderen? En traceroute 65.55.246.95 viste sig at ende hos po15.blu-6nf-srch-1b.ntwk.msn.net (65.55.226.14), så den var altså god nok.

Min webserver er simpelthen udsat for et DoS-angreb fra MS – et MS-DoS .

Heldigvis har vi andre metoder! Så fra dags dato er MSNbot udelukket fra min webserver og senere vil jeg sætte en regel på min firewall, der helt stopper trafikken. Så kan de lære det.

!@(uploads/2006/01/wrt54g.jpg:R150 popimg: “Linksys WRT54G © Linksys – klik for større billede”)I januar skrev jeg et kort indlæg om min Linksys WRT54G router. Det blev kort, fordi jeg kunne henvise til Kurts weblog og hans gennemgang af routerens mange muligheder. Nu har jeg imidlertid selv rodet lidt med routeren og de muligheder man får, hvis man lægger en tredieparts firmware på den og som Kurt har jeg valgt den firmware, der hedder dd-wrt.

Projektet indeholder en web- og mailserver til min storesøster og en sikrere, WPA-baseret, WLAN-løsning til hendes hjemmenetværk. Imidlertid mangler WRT54G-routeren nogen ønskelige faciliteter fra fabrikken, såsom SNMP, ssh og ikke mindst en stateful firewall-funktion med gode konfigurationsmuligheder. Installation af dd-wrt løser alle problemerne og det er fantastisk let at gøre – man følger bare vejledningen.

Nu står man med en router, der i alle praktiske henseender er en mini-linux. Dermed kan man installere en kompliceret firewall-politik, baseret på Linux’ firewall-software, iptables. Opsætning af iptables er ret langhåret og fejl er ikke en acceptabel mulighed, når routeren står 300 kilometer væk.

!@(uploads/2006/05/fwbuilder.jpg:R200 popimg: “fwbuilder GUI screenshot – klik for større billede”)Her kommer næste produkt ind i billedet – fwbuilder. Firewall Builder er et GUI til konstruktion af firewall-regler til en samlet firewall-politik. Firewall Builder understøtter en lang række forskellige operativ systemer og firewall-produkter, blandt andet også Linux og iptables – endog med en template for netop WRT54G! GUI’en minder meget om Check Points SmartDashboard, som jeg allerede bekendt med fra mit arbejde, og den er faktisk rimelig intuitivt bygget op. I korte træk vælger man en source, en destination, en service (f. eks. web eller e-mail) og en handling – tillad, afvis eller drop. Firewall Builder kan ligefrem logge på Linksys-routeren og installere den definerede politik – så kan det ikke blive lettere.

En god sikkerhedspolitik tillader kun kendt trafik, både ind- og udgående. Ofte tillader små hjemmefirewalls al udgående trafik og det er noget skidt! Det betyder nemlig, at får man en trojansk hest indenfor firewall’en, så kan den kommunikere frit med sin skaber og sprede sig videre til andre computere.

En god løsning er at have en proxy-server og så kun tillade den at kommunikere med internettet. Kombineret med en lokal mailserver betyder det, at der ikke normalt vil være behov for, at computere på lokalnettet kan gå direkte på internettet. Undtagelsen er selvfølgelig VPN-forbindelser i forbindelse med hjemmearbejdspladser, men disse er normalt veldefinerede og dermed lette at tillade eksplicit.

Installationen af dd-wrt muliggør endvidere overvågning af routeren/firewallen, i en grad der ikke fandtes i den originale stand. Med snmp kan se interessante data på routeren, som f. eks. båndbreddeforbruget på internetforbindelsen og dermed vurdere, om man har brug for en større forbindelse.

Man kan også få logfilerne gemt på en ekstern server og dermed få mulighed for at auditere logfilerne. En meget almindelig fejl, begået af firewall-ansvarlige, er tillid til ens firewall – det dur ikke. Tillid er godt, men kontrol er bedre, som Vladimir Ilich Lenin så rigtigt sagde og det gælder i særdeleshed for firewall-logfiler.

Jeg er ikke helt færdig med projektet, men min foreløbige vurdering er, at kombinationen af Linksys WRT54G med dd-wrt-firmware og Firewall Builder, gør det muligt at producere en sikkerhedsløsning af professionel kvalitet, til en pris af omkring DKK 500,-.