DNSSEC-Signaturen mit Nagios überwachen
8. Januar 2010 | Von Thorsten Robers | Kategorie: Monitoring | AvailabilitySollte die Gültigkeit einer Zonen-Signatur ablaufen, so wird eine Namensauflösung nicht mehr funktionieren, also muss die Gültigkeit der Signatur durchgehend proaktiv überwacht werden. Die Prüfung der Gültigkeit von DNSSEC-Zonen Signaturen lässt sich einfach mit Nagios überwachen.
Zunächst muss das entsprechende Nagios-Plugin kompiliert und installiert werden. Das Kompilieren des Plugins ist mittels ./configure und make recht schnell erledigt.
Nach dem Kompilieren wird das Plugin check_dnssec_expiration in das Nagios-Plugin-Verzeichnis kopiert. Die Nagios-Konfiguration selbst ist recht einfach. Nach der Definition des Host-Objektes für den Nameserver (host_ name ns0.spenneberg.net) muss noch das Command-Objekt und für jede zu überwachende Zone eine Service-Definition erfolgen.
An Hand des folgenden Beispieles ist dieses einfach auf andere Zonen zu übertragen.
define command { command_name check_dnssec_sig command_line $USER1$/check_dnssec_expiration -H $HOSTADDRESS$ -D $ARG1$ -w 10d -c 5d }
Nach der Definition des Commands erfolgt nach die Definition der Service-Objekte:
define service { use generic-service host_name ns0.spenneberg.net check_command check_dnssec_sig!spenneberg.net service_description DNSSEC_SIG_spenneberg.net }
Nach einer Prüfung der Konfiguration und dem anschließenden Neustart des Nagios-Servers wird Nagios nun 10 Tage vor Ablauf der Signatur einen WARNING-Status und 5 Tage vor Ablauf der Signatur einen CRITICAL-Status melden.
Hallo Ralf,
Der Linkzum Plugin passt nicht mehr, er hat alles auf github umgebaut und erweitert.
Es lässt sich auch nicht mehr übersetzen.
Habe dem Entwickler eine Mail geschickt.
https://www.durchmesser.ch/projekte/
Hallo Frank,
danke für den Hinweis. Ich habe den Link mal überarbeitet.