Projet

Général

Profil

Actions

Demande #3782

fermé

Supervision spécifique pour XMPP

Ajouté par pitchum . il y a plus de 5 ans. Mis à jour il y a presque 2 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Début:
26/06/2019
Echéance:
% réalisé:

100%

Temps estimé:
Difficulté:
2 Facile

Description

Pour commencer il faudrait vérifier que les ports TCP suivants répondent :
  • 5222
  • 5223
  • 5269

Il faudrait également vérifier la date d'expiration des certificats TLS.
Ça risque d'être un poil compliqué pour le STARTTLS sur les ports xmpp-client et xmpp-server.

Pour info comment je fais ces checks manuellement :

</dev/null  2>/dev/null openssl s_client -connect xmpp.chapril.org:5222 -xmpphost chapril.org -starttls xmpp | openssl x509 -noout -subject -dates
</dev/null  2>/dev/null openssl s_client -connect xmpp.chapril.org:5269 -xmpphost chapril.org -starttls xmpp-server | openssl x509 -noout -subject -dates

Mis à jour par pitchum . il y a environ 5 ans

  • Sujet changé de Supervision basique pour XMPP à Supervision spécifique pour XMPP
  • Assigné à changé de Quentin Gibeaux à pitchum .
  • % réalisé changé de 0 à 20

Un premier check fait-maison a été implémenté lors de l'april-camp avec cpm.

Il faudrait maintenant utiliser ce plugin nagios : https://exchange.icinga.com/jandd/check_xmppng qui devrait notamment permettre de vérifier que les ports du service XMPP sont bien joignables et que les certificats TLS sont "frais".
Il est disponible dans debian sous le nom nagios-check-xmppng

Je l'ai testé rapidement à partir de la VM xmpp elle-même (mais il serait plus judicieux que ce test soit exécuté depuis "l'extérieur").

Pour l'instant ça ne marche pas très bien. Voici les checks que j'aurais imaginés :

/usr/lib/nagios/plugins/check_xmppng -H xmpp.chapril.org --servername chapril.org --warn-days 15 --crit-days 8 --s2s
/usr/lib/nagios/plugins/check_xmppng -H xmpp.chapril.org --servername chapril.org --warn-days 15 --crit-days 8 --c2s -p 5223
/usr/lib/nagios/plugins/check_xmppng -H xmpp.chapril.org --servername chapril.org --warn-days 15 --crit-days 8 --c2s -p 5222 --starttls

Seul le premier test répond OK. Les 2 autres retournent "XMPP CRITICAL - request took unknownNone (no CA certificates found) | time=unknown".

Il restera également à implémenter une sonde qui vérifie que le service ejabberd tourne.

Mis à jour par pitchum . il y a environ 5 ans

  • Description mis à jour (diff)

Mis à jour par pitchum . il y a presque 5 ans

Il faudrait maintenant utiliser ce plugin nagios : https://exchange.icinga.com/jandd/check_xmppng qui devrait notamment permettre de vérifier que les ports du service XMPP sont bien joignables et que les certificats TLS sont "frais".
Il est disponible dans debian sous le nom nagios-check-xmppng

Pour l'instant ça ne marche pas très bien.

Après analyse, c'est probablement causé par un bug dans le packaging Debian pour python3.7. J'ai signalé le soucis :
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=946581

Si on ne veut pas attendre un correctif propre on peut envisager un patch de contournement :

diff --git a/check_xmppng b/check_xmppng
index 6987c61..58c827d 100755
--- a/check_xmppng
+++ b/check_xmppng
@@ -340,7 +340,7 @@ class Xmpp(nagiosplugin.Resource):
                 _LOG.info(
                     "tried to load CA certificates from default locations, but" 
                     " could not find any CA certificates.")
-                raise XmppException('no CA certificates found')
+                _LOG.warning('no CA certificates found')
             else:
                 _LOG.debug('certificate store statistics: %s', stats)
         return context

Mis à jour par Christian P. Momon il y a plus de 4 ans

  • Version cible mis à Backlog

Mis à jour par pitchum . il y a presque 4 ans

Ticket ouvert sur le dépôt de check_xmppng : https://git.dittberner.info/jan/check_xmppng/issues/2

Mis à jour par pitchum . il y a plus de 3 ans

Le problème a été corrigé upstream dans la version 0.3.2, qui a été poussée dans Debian et devrait arriver dans Debian Bullseye.

Donc on pourra enfin mettre en place cette sonde de supervision lorsque la machine admin sera passée en Debian Bullseye.

Mis à jour par pitchum . il y a plus de 3 ans

  • Statut changé de Nouveau à En cours de traitement

Mis à jour par pitchum . il y a presque 3 ans

Les machines de supervision sont maintenant sous Debian Bullseye depuis un mois maintenant...
Donc yapuka.

Mis à jour par pitchum . il y a environ 2 ans

  • Statut changé de En cours de traitement à Résolu
  • % réalisé changé de 20 à 100

FAIT ! (enfin)

Mis à jour par Quentin Gibeaux il y a presque 2 ans

  • Statut changé de Résolu à Fermé

Mis à jour par Pierre-Louis Bonicoli il y a presque 2 ans

  • Version cible changé de Backlog à Sprint 2023 janvier
Actions

Formats disponibles : Atom PDF