Skip to content

Bloonix ...

My own IT Es ist an der Zeit, dass ich mal ein bisschen Werbung für einen Dienst machen muss, den ich sehr gerne nutze:

Und zwar ist das die Monitoring-Lösung Bloonix von Jonny Schulz.

Vorab ein Disclaimer: Jonny macht bei My own IT mit und hat mir einen umfassenden Frei-Account spendiert.

Klar, ich kann mir auch selber mein Monitoring aufsetzen, das habe ich auch eine Zeit lang gemacht und dazu Icinga genutzt, was ich mir auf einem eigens dafür gemieteten vServer installiert habe und später dann bei Uberspace benutzt habe. Aber warum sollte ich mir die Arbeit machen, wenn es eine Lösung gibt, die das (und einiges mehr) auch erledigt und von mir nicht gewartet werden muss?

Der Dienst ist sehr zuverlässig und Jonny reagiert prompt auf Anfragen.

Ein 30tägiger Testaccount ist gratis, danach kostet Bloonix Geld.

Trackbacks

Dirks Logbuch am : Bloonix wird Open-Source-Software ...

Vorschau anzeigen
Der Monitoring-Dienst Bloonix von Jonny Schulz wird Open-Source-Software. Über den Dienst habe ich hier im Blog schon einmal berichtet. Ich freue mich sehr darüber, da ich das für eine ausgereifte Lösung halte, die von Jonny mit viel Liebe gepflegt wird.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Axel Beckert am :

*Also ich weiß nicht. Ein ordentliches Monitoring braucht zumindest lesend einige Rechte auf einem Rechner um an die passenden Daten zu kommen. Solche weitgehenden Rechte zu outsourcen finde ich eher bedenklich.

Konkret denke ich da ans Monitoring, welche Dienste noch Bibliothken nutzen, für die bereits Sicherheitsupdates eingespielt wurden. Gerade bei so Fällen wie Heartbleed ist das sehr wertvoll.

Oder auch Monitoring, wo Änderungen nicht ins Versionskontrollsystem eingecheckt wurden. Je nach VCS braucht das fürs Locking sogar Schreibrechte.

Jonny Schulz am :

*Hallo Herr Beckert,

Ihre Bedenken sind natürlich berechtigt. Als Administrator möchte man immer sicher stellen, dass die Software, die auf den eigenen Servern installiert wird, keinen Unfug treibt.

Aber verhält es sich nicht so mit jeglicher Software? Jedes Jahr gibt es immer wieder Bugs, die dazu führen, dass ein Angreifer mit einem gezielten Angriff eine Root-Shell erlangen oder einen Server lahmlegen kann. Und das betrifft selbst die bekanntesten Softwareprojekte.

Was ich eigentlich damit sagen möchte ist, dass man Services nicht outsourcen muss, um Opfer solcher Angriffe zu werden.

Zu Bloonix:

Es gibt viele Anbieter, die ihre Software nur pre-compiled rausrücken. So weiß man wirklich nie, was die Software auf den eigenen Servern anrichten kann.

Der Bloonix-Agent, der auf dem Server installiert wird, ist OpenSource. Genauso die Plugins. Jeder kann in den Source-Code schauen und mit ein wenig Programmierkenntnissen feststellen, was da so getrieben wird.

Dazu werden keine "Rechte" an Bloonix outgesourct. Bloonix selbst hat von extern keinerlei Zugriff auf die überwachten Server. Wozu sollten diese auch benötigt werden? Es wird lediglich ein Agent installiert, der Dienste nach genauen Angaben auf Funktionalität prüft und dazu noch statistische Daten sammelt. Also das, was jeder gute Monitoring-Dienst macht, denn wie soll der Dienst sonst den Server überwachen.

Nun zu den "Daten". Die gesammelten Daten werden zum Bloonix-Server gesendet, korrekt. Aber ob diese Daten tatsächlich sicherheitskritisch sind, bleibt offen. Bei diesen Daten handelt es sich beispielhaft um "Die CPU läuft auf 100%", "Die Load Average beträgt 10", "Die Root-Partition ist zu 98% belegt" oder "Auf der MySQL-Datenbank laufen 6 Slow-Queries". Eventuell werden noch so Daten wie "Der Server hat die Interfaces eth0, eth1 und eth2" übertragen, was für Service Discovery sehr sinnvoll sein kann. Aber letztendlich werden nur die Services überwacht, die auch fix konfiguriert sind.

Zur Sicherheit:

Der Agent macht keine Ports auf. Daten werden verschlüsselt übertragen. Der Dienst läuft unter einem eigenen Benutzer. Er kann auch nur das ausführen, was als Plugin unter /usr/lib/bloonix/plugins liegt. Jeder Zugriff auf andere Pfade ist strikt untersagt. Selbst Kommandozeilenparemter gibt es nicht. Argumente werden an die Plugins über STDIN weitergereicht, somit besteht keine Gefahr, dass über schlechtes Parsing Kommandos in Backticks ausgeführt werden oder das $-Variablen interpoliert werden.

Ob diese Offenbarung Ihre Bedenken ein wenig lockert, weiß ich nicht. Aber vielleicht konnte ich Ihr Interesse wecken uns Sie möchten Bloonix selbst einmal testen.

Viele Grüße
Jonny

Dirk Deimeke am :

*Es ist immer die Frage, was genau Du willst und wie viel Geld Du bereit bist, auszugeben. So ist es eben immer.

Dazu kommt, dass Du auch wissen musst, was Du genau überwachen willst, in der Regel wird viel zu überwacht (genau wie beim Backup).

Du kannst das Monitoring auch auf einfache Pings und http-Requests gegen Deine wichtigste Webseite beschränken, dann braucht es keinen Agent auf Deinem Rechner. Alles andere kannst Du lokal selber überwachen.

Du kannst auch alles "unter einem Dach" betreiben lassen und die komfortable Variante nehmen. Jeder nach seinem Gusto.

Wir kommen aber wieder zurück zum Vertrauen, viele Leute betreiben einen Mietserver (so wie wir beiden auch), das ist paranoiden Zeitgenossen zu gefährlich, sie wollen einen eigenen Server besitzen, das reicht manchen auch nicht, sie wollen auch die Infrastruktur selber haben. Von den vielen Leuten benutzen nur ganz wenige - vielleicht 10% - ein separates Monitoring und von denen betreiben noch weniger Leute ihr Monitoring selber.

Kommentar schreiben

Gravatar, Favatar, Pavatar, Identica, Twitter, MyBlogLog Autoren-Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
:'(  :-)  :-|  :-O  :-(  8-)  :-D  :-P  ;-) 
Formular-Optionen