assets/2017-01-24-undertow/undertow.png

Undertow is an open-source lightweight, flexible and performant Java server, they say. I can confirm that it’s
- lightweight: just have a look at those few lines of code to start a server and 1MB core JAR
- flexible: always feel free to provide your own implementations or use Undertow helpers to delegate usual server glue code to a more specific implementation you provide

I didn’t check or compare performance. It is the default server implementation of Wildfly Application Server and sponsored by JBoss.

weiterlesen...

Author:Philipp Renoth
Tags:undertow, http
Categories:java, http, development

Die Software-Entwicklung ist im Wandel. Immer schneller, immer häufiger, immer einfacher müssen neue Features in Produktion gebracht werden. Große, schwergewichtige Alleskönner werden durch mehrere kleine, individuelle Services ersetzt. Jeder Microservice bildet einen Aspekt der gesamten Fachlichkeit ab und lässt sich deshalb unabhängig entwickeln und warten. …

Der vollständige Artikel ist in der Java aktuell 01-2017 zu finden:

assets/images/2017-01-java_aktuell_titel.JPG
Author:Tobias Schneck, Christoph Deppisch
Tags:Sakuli, Citrus, testing, testautomatisierung
Categories:sakuli, citrus, development

Kurz vor Ende des Jahres sind die Vortragsvideos der OSMC 2016 online verfügbar. Auch dieses Jahr war ich wieder Referent, diesmal mit einem Überblick über die letzten Entwicklungen von OMD, einige Umgebungen, in denen es eingesetzt wird und dem Ausblick auf das, was nach 2016 in die Distribution einfließen könnte.
Dauer des Videos: 60min.

OMD, die Open Monitoring Distribution, bildet heute in vielen Unternehmen das Rückgrat bei der Überwachung unterschiedlichster IT-Komponenten und Services. Für Anfänger ist OMD ein umfassendes Starterpaket, für Consultants eine solide Plattform für individuelle Monitoring-Landschaften. Seit dem Gründungsjahr 2010 wurde OMD kontinuierlich verbessert, mit der OMD-Labs-Edition wurden 2015 moderne Elemente wie InfluxDB und Grafana eingeführt. Das Thema Automatisierung wurde mittlerweile mit Ansible und Coshsh ebenso aufgegriffen. Der Wandel der IT-Welt in Richtung cloud-basierter Services und kurzlebigen Containern stellt eine besondere Herausforderung dar. Der Vortrag zeigt, wie OMD sich dieser in Zukunft stellen wird.

Author:Gerhard Laußer
Tags:OMD, Nagios, Icinga, OSMC, Prometheus
Categories:monitoring
assets/2016-12-21-nagios-exploits/nagios-exploit.gif

Kürzlich wurden zwei Schwachstellen von Nagios veröffentlicht, u.a. bei heise.de. Wir verwenden Nagios als einen von mehreren möglichen Cores innerhalb des Monitoring-Frameworks OMD. Eine Gefährdung liegt nicht vor. Bei besagten Schwachstellen handelt es sich um:

  • CVE-2016-9565 - Betroffen ist das Web-Frontend von Nagios. Dieses zeigt nach dem Login einen RSS-Feed des Herstellers Nagios Enterprises an, dessen Inhalt so manipuliert werden kann, daß eingeschleuste Befehle im Kontext des www-data/nagios-Benutzers ausgeführt werden können. De Angreifer muss sich dazu jedoch als www.nagios.org ausgeben (durch einen DNS-Angriff) oder den Datenstrom als Man-in-the-Middle manipulieren. Abgesehen davon, daß die original Web-Gui von Nagios seit Erscheinen weitaus modernerer Oberflächen wie Thruk sowieso niemand mehr ernsthaft benutzt - die RSS-Funktionalität wurde bei OMD von Anfang an abgeschaltet bzw. rausgepatcht. Sie existiert schlichtweg nicht mehr und somit auch nicht die Schwachstelle.

  • CVE-2016-9566 - Bei diesem Exploit wird ausgenutzt, daß Nagios, so denn der Prozeß unter dem root-Account gestartet wird, das Logfile /usr/local/nagios/var/nagios.log o.ä. zunächst mit den entsprechenden root-Privilegien öffnet, bevor diese mittels des Systemcalls setgid(pid des nagios-Benutzers) aufgegeben werden. Ein Angreifer mit Zugang zum Monitoring-Server, welcher die Möglichkeit hat, das Logfile durch einen Symlink zu systemkritischen Dateien wie z.b. /etc/ld.so.preload zu ersetzen, kann die Voraussetzungen zur deren Manipulation schaffen. Dazu muss er noch dafür sorgen, daß Nagios schadhaften Inhalt in die Datei schreibt. Eine Möglichkeit wäre, ein externes Kommando (entsprechend präpariert) in die Command-Pipe zu schicken, was einen Eintrag im Logfile (und somit in /etc/ls.so.preload) zur Folge hat. Auch diese Form des Angriffs ist unter OMD ausgeschlossen, da ein Nagios-Prozess zu keinem Zeitpunkt mit root-Privilegien läuft. Monitoring mit OMD spielt sich ausschließlich im Kontext stinknormaler Benutzer ab.

Ergo: alles OK und grün.

Author:Gerhard Laußer
Tags:OMD, Nagios
Categories:monitoring

Auf der FOSDEM 2017 gibt es zwei DevRooms, bei denen ConSol-Mitarbeiter an der Organisatoren beteiligt sind.

Für beide DevRooms gibt es einen gemeinsamen CfP, so daß die Vorschläge an einer Stelle eingereicht werden können. Erwünscht sind Vorträge zu den Themen:

assets/2016-11-10-fosdem-container-monitoring/fosdem.png
  • Monitoring von containerisierten Services
  • Automatisierung von Cloud-Deployments
  • Entwicklung und Administration von Microservices
  • Container-Orchestrierung
  • Continuous Integration & Deployment
  • Prometheus, Kubernetes, Docker, CRIO, etc.
  • Neue Projekte und Technologien
  • Andere Container- und Cloud-Native-Vorträge

Bitte reicht eure Vorträge bis zum 26. November hier ein:

https://goo.gl/forms/bbfCH14ido5kMD4H3

Author:Gerhard Laußer
Tags:Container, Prometheus, Docker, Fosdem
Categories:monitoring
assets/images/prometheus-logo.png

Prometheus is an open source monitoring tool, which is conceptually based on Google’s internal Borgmon monitoring system. Unlike traditional tools like Nagios, Prometheus implements a white-box monitoring approach: Applications actively provide metrics, these metrics are stored in a time-series database, the time-series data is used as a source for generating alerts. Prometheus comes with a powerful query language allowing for statistical evaluation of metrics.

weiterlesen...

Author:Fabian Stäber
Tags:PrometheusIO, grok_exporter, conference, devoxx, talk
Categories:monitoring

Stabile und skalierbare Testumgebungen für End-2-End-Tests sind seit jeher schwer aufzusetzen und zu warten. Besonders in Kombination mit automatisierten UI-Tests stellen sie Tester und Entwickler immer wieder vor große Herausforderungen. Einen eleganten Ausweg bieten in Container verpackte Testumgebungen, die sowohl Web- als auch Rich-Clients in echten Desktop-Umgebungen testen können. Als “Immutable Infrastruktur” betrieben, wird es dadurch möglich, einen definierten Systemstand jederzeit reproduzierbar aufzurufen und Tests darin performant auszuführen.

weiterlesen...

Author:Tobias Schneck
Tags:Sakuli, end2end, e2e, testing, docker
Categories:sakuli, development

The Sakuli Java DSL setup shows how easily you can use Sakuli to test your application in an end-2-end scenario. This is a great starting point to learn how to use Sakuli together with Maven and Docker.

assets/2016-10-14-sakuli-java-dsl/container_view_small.png

weiterlesen...

Author:Tobias Schneck
Tags:Sakuli, end2end, e2e, testing, docker
Categories:sakuli, development
assets/2016-10-10-android-sakuli/icon.png

Sakuli wird für EndToEnd mit Linux und Windows Applikationen bereits vielfach eingesetzt. Wie sieht es aber mit Android, dem verbreitetsten mobilen Betriebssystem, aus? Hierzu ein Beispiel.

weiterlesen...

Author:Philip Griesbacher
Tags:Android, Sakuli, EndToEnd, end2end
Categories:android, monitoring, sakuli, development
assets/2016-10-06-Anomalieerkennung-in-Performancedaten/icon.png

Wenn man einen Dienst überwachen möchte und man diesen nicht selbst betreut, fehlt meist die Erfahrung, wie sich dieser verhalten sollte und was als „normal“ gilt. Im Folgenden wird beschrieben, wie man (Un)Regelmäßigkeiten automatisch erkennen lassen kann.

weiterlesen...

Author:Philip Griesbacher
Tags:Anomalieerkennung, Holt-Winters, Nagios, InfluxDB, Grafana, DataScryer
Categories:monitoring, omd, nagios