Hi,
wir würden gerne den Updatestatus von Apps automatisiert überwachen.
Hierzu passt ‘univention-app info’ hervorragend. Aber dies erfordert root-Rechte, was monitoring nicht haben soll. Tricks mit sudo etc. sind unschön. Was kann man tun?
Danke.
Doch, sudo ist exakt das, was man dafür nutzen will, und das ist nicht mal ein Trick, sondern genau das für solche Fälle vorgesehene Werkzeug. Die einfachste und sicherste Variante ist, exakt vorzugeben, was via sudo ausgeführt werden darf:
nagios ALL=NOPASSWD:/usr/bin/univention-app info
Damit darf dann ausschließlich dieser Befehl mit exakt diesen Argumenten (info) ausgeführt werden, mehr nicht.
2 Likes
Nachvollziehbar und ja, ich bin bei Ihnen. Setzt jedoch eine Anpassung der lokalen Sudo-Konfiguration durch das Monitoringsystem voraus oder durch den Admin.
Diesen Schritt (also das Fummeln bzw. Anpassen des Systems) möchten wir vermeiden.
Wir hatten uns sowas wie ein status-file o.Ä. vorgestellt, welches z. B. nach /var/lib/ o.Ä. schreibt.
Definitiv nein. Das macht es nur (für meinen Einsatzzweck) mehr als unnötig kompliziert.
Einfache status-Datei irgendwo im filesystem reicht völlig.
Cron-Job schreiben, der regelmäsig univention-app info ausführt und die Info irgendwo ablegt. Benötigt aber auch eine »Anpassung am System«.
Oder anders ausgedrückt: es gibt nichts ohne Anpassung.
Analog zu /etc/cron.d gibt es /etc/sudoers.d, wo man einfach eine Datei mit Dateimodus 0440 ablegen kann, in der exakt die eine Zeile steht, die ich oben geschrieben habe. Es sind keine Änderungen an bestehenden Dateien wie /etc/sudoers nötig.
Ich hoffe darauf dass Univention erkennt, dass eine simple Schnittstelle fürs Monitoring hilfreich wäre, wo ohne Anpassungen, ein neues UCS-System, diese Werte bereitstellt. So wie alle großen Hersteller z. B. eine SNMP-Schnittstelle liefern.
Eine Schnittstelle gibt es mit NRPE bereits. Was hier wohl eher fehlt ist der Check. Aber es wird immer Fälle geben, wo ein vielleicht sinnvoller Check fehlt. In solchen Fällen muß der Admin halt selber ran. Univention muß dem Admin ja auch nicht sämliche Arbeit abnehmen. UCS bietet schon genügend Rüstzeugs um dies einfach selber implementieren zu können, wie wir gezeigt haben.
Just my 2 cents.
EDIT: Da es doch nicht so explizit erwähnt wurde: Cron-Jobs kann man per UCS-Policy anlegen.