DNSSEC-Signaturen mit Nagios überwachen

8. Januar 2010 | Von | Kategorie: Monitoring | Availability

Sollte die Gültigkeit einer Zonen-Signatur ablaufen, so wird eine Namensauflösung nicht mehr funktionieren, also muss die Gültigkeit der Signatur durchgehend proaktiv überwacht werden. Die Prüfung der Gültigkeit von DNSSEC-Zonen Signaturen lässt sich einfach mit Nagios überwachen.

Zunächst muss das entsprechende Nagios-Plugin kompiliert und installiert werden. Das Kompilieren des Plugins ist mittels ./configure und make recht schnell erledigt.

Nach dem Kompilieren wird das Plugin check_dnssec_expiration in das Nagios-Plugin-Verzeichnis kopiert. Die Nagios-Konfiguration selbst ist recht einfach. Nach der Definition des Host-Objektes für den Nameserver (host_ name  ns0.spenneberg.net) muss noch das Command-Objekt und für jede zu überwachende Zone eine Service-Definition erfolgen.

An Hand des folgenden Beispieles ist dieses einfach auf andere Zonen zu übertragen.

define command {
command_name    check_dnssec_sig
command_line    $USER1$/check_dnssec_expiration -H $HOSTADDRESS$ -D $ARG1$ -w 10d -c 5d
}

Nach der Definition des Commands erfolgt nach die Definition der Service-Objekte:

define service {
use    generic-service
host_name    ns0.spenneberg.net
check_command    check_dnssec_sig!spenneberg.net
service_description    DNSSEC_SIG_spenneberg.net
}

Nach einer Prüfung der Konfiguration und dem anschließenden Neustart des Nagios-Servers wird Nagios nun 10 Tage vor Ablauf der Signatur einen WARNING-Status und 5 Tage vor Ablauf der Signatur einen CRITICAL-Status melden.

 

Post to Twitter Post to Yahoo Buzz Post to Delicious Post to Digg Post to Facebook Post to Ping.fm Post to Reddit

Thematisch verwandte Artikel:

  • SMS-Versand mit wget – Nagios-Benachrichtigung mal anders
    Nagios ist das verbreiteste OpenSource Netzwerk- und Systemüberwachungswerkzeug. Es ist flexibel einsetz- und erweiterbar und kann an die unvorstellbarsten 😉 Netzwerk- und Systemarchitekturen angepasst werden . Ein weiterer Vorteil stellt auch das ausgefeilte Benachrichtigungssystem dar. Letztlich könnte jedes Programm oder Skript, welches in irgendeiner Art eine Ausgabe produziert, in das Benachrichtigungssystem eingebunden werden. Oftmals wollen […]...
  • Ein Ausfall bei Heise und Nagios schlägt Alarm?
    Am vergangenen Freitag traf es Heise.de hart – ein Stromausfall im Rechenzentrum sorgte für einen kurzzeitigen Totalausfall der Angebote. Betroffen war indes nicht nur Heise.de sondern auch diejenigen, die Heise.de zum Testen ihrer Internetverbindung, ihrer Proxy-Server … verwendeten. In der Konsequenz führte diese zu vielen Nagios-Alarmen, die jedoch nicht zwangsläufig auf ein Problem mit der […]...
  • Eigene Zone mit DNSSEC signieren
    Um die eigenen DNS-Zonen zu signieren, benötigen wir zunächst Schlüssel. Genauer brauchen wir Schlüsselpaare aus einem privaten (für die Signatur) und einem öffentlichen Schlüssel (für die Validierung). Der letztere wird veröffentlicht während der erstere geheim gehalten werden muss. Um den Roll-Over der Schlüssel besser handhaben zu können, sollten zwei Schlüsselpaare erzeugt werden. Ein Schlüsselpaar wird […]...
  • DNSSEC signierte Zonen in der ISC DLV Datenbank eintragen
    Wurde die eigene Zone signiert, möchten wir auch, dass der Rest der Welt dies erfährt. Da die signierte Root und auch die Signatur der de-TLD noch auf sich warten lassen, können wir bis dahin die eigenen Schlüssel in der DLV-Datenbank des ISC veröffentlichen. Das geht sehr einfach innerhalb weniger Minuten. Zunächst benötigen wir ein Login. […]...
  • Nagios-Plugins mit check_mk verwenden
    Mathias Kettner hat sich mit check_mk auch zum Ziel gesetzt Nagios Remote Plugin Executor (NRPE) zu ersetzen. In diesem Sinne heißt der Remote Plugin Executor daher auch MRPE. Mit Hilfe von MRPE können Nagios-Plugins schnell in die Überwachung mittels check_mk eingebunden werden. Auf dem Remote System müssen lediglich die Nagios-Plugins installiert sein und schon können […]...
Tags: | | | | |

2 Kommentare
Hinterlasse einen Kommentar »

  1. Frank 24. September 2015 13:24 :

    Hallo Ralf,

    Der Linkzum Plugin passt nicht mehr, er hat alles auf github umgebaut und erweitert.

    Es lässt sich auch nicht mehr übersetzen.
    Habe dem Entwickler eine Mail geschickt.

    https://www.durchmesser.ch/projekte/

  2. admin 25. September 2015 14:54 :

    Hallo Frank,
    danke für den Hinweis. Ich habe den Link mal überarbeitet.

Schreibe einen Kommentar

Fühle dich ermuntert einen Kommentar, Anmerkungen, Hinweise oder deine Ideen zum Thema zu hinterlassen. Wir freuen uns über deine Rückmeldung.