In meiner Einführung in Red Hat Insights habe ich kurz beschrieben, was diese SaaS-Anwendung tut und wie Sie Ihre Red Hat Enterprise Linux (RHEL)-Systeme für die Nutzung des Dienstes einrichten. Dieser Artikel ist dem „Berater“ im Insights-Dashboard gewidmet.
Das Insights-Dashboard selbst ist hier verfügbar.
Anmerkung des Autors:Ich teste den Dienst im Rahmen meiner Tätigkeit am Bielefelder IT Service Center (BITS) der Universität Bielefeld. Dieser Artikel spiegelt meine persönliche Sicht auf Red Hat Insights wider. Außerdem möchte ich klarstellen, dass ich Mitglied der Red Hat Accelerators Community bin.
Bewertung der Empfehlungen
Es gibt fünf Empfehlungen, die ich unten für meine spezifische Umgebung bewerten werde. Allen fünf ist gemein, dass ich wohl nie gezielt nach diesen Konfigurationseinstellungen gesucht hätte. Und es gibt mindestens zwei, die es definitiv wert sind, genauer unter die Lupe genommen zu werden – darüber sprechen wir zuerst.
Startfehler des Betriebssystems tritt aufgrund einer unsicheren Festplattenerkennungsreihenfolge auf, wenn Gerätenamen im dev/sdN-Format in /etc/fstab verwendet werden
Dies weist auf eine Konfiguration hin, die im schlimmsten Fall das Booten eines Hosts verhindert. Eine Einstufung als „wichtig“ ist daher nachvollziehbar. Denn ein System, das nicht startet, wird den Puls und den Adrenalinspiegel eines Systemadministrators durch die Decke schießen lassen.
Den dort verlinkten Wissensdatenbankartikel rufe ich aus der Detailansicht auf. Mir fällt auf, dass, obwohl ich nur RHEL 7-Systeme verwende, ein Link zu einem Artikel steht, der nur für RHEL 6 gilt. Immerhin enthält dieser einen Verweis auf den entsprechenden Artikel für RHEL 7. Hier hätte Insights auf das RHEL verlinken können 7 Artikel sofort.
- Wie können statische Namen für SCSI-Geräte unter Verwendung von udev in Red Hat Enterprise Linux 6 zugewiesen werden?
- Wie werden dauerhafte Namen für SCSI-Geräte unter Verwendung von udev in Red Hat Enterprise Linux 7 zugewiesen?
Wie wird dieser Eintrag jetzt für uns bewertet?
Die beiden betroffenen Systeme sind seit einiger Zeit in Betrieb und haben mehrere Neustarts problemlos überstanden. Das potenzielle Problem scheint zumindest in unserem Umfeld keine negativen Auswirkungen zu haben. Also mache ich mir keine Sorgen.
In diesem Fall bietet Insights die Erstellung eines Ansible-Remediation-Playbooks an, mit dem das Konfigurationsproblem gelöst werden kann. Da ich aber nicht der Systembetreiber für die beiden aufgeführten Systeme bin, kann ich dies nicht ohne Rücksprache mit dem zuständigen Kollegen tun.
Ich werde den Systembetreiber über dieses Ereignis informieren, ihm die mögliche Lösung weiterleiten und ihn entscheiden lassen, wie es weitergeht.
Traffic tritt auf oder Dienste werden unerwartet zugelassen, wenn Firewall-Zonendrifting aktiviert ist
Das ist wirklich interessant, zumindest für mich. Weil es darauf hinweist, dass die Kommunikation durch die lokale Host-Firewall zugelassen werden kann, obwohl dies nicht beabsichtigt ist (siehe Abb. 1).
Der verlinkte Artikel in der Wissensdatenbank bietet hier detaillierte Informationen.
- Änderungen in Firewalld im Zusammenhang mit Zone Drifting
Ich werde diesen Punkt auf jeden Fall mit dem betreffenden Kollegen besprechen. Eine kleine Wissensvermittlung halte ich hier für angebracht, da meiner Meinung nach auch andere Kollegen das konkrete Verhalten nicht kennen. Daher bewerte ich diesen Ratschlag als gut und wichtig.
Übrigens, ein Punkt, der mir generell am Insights-Dashboard gefällt, ist, dass ich immer sehen kann, wie viele Systeme betroffen sind und vor allem, welche es sind (siehe Abb. 2).
Verringerte Sicherheit:httpd bedient unverschlüsselten (HTTP) Datenverkehr
Dies ist eine Nachricht mit niedriger Risikobewertung, und wir werden sie entsprechend behandeln. Bei den betroffenen Systemen handelt es sich um Testsysteme. Der Systembetreiber hat hier bewusst auf die Implementierung von TLS/SSL verzichtet.
Verringerte Sicherheit:Yum GPG-Verifizierung deaktiviert (Repos von Drittanbietern)
Dieser Punkt erweist sich wider Erwarten als interessant. Wir betreiben eigene Repositorien, die nur innerhalb unserer Einrichtung genutzt werden. Um den Aufwand zu minimieren, signieren wir die Pakete nicht mit GPG.
Überraschend ist allerdings, dass die GPG-Signaturprüfung für ein gespiegeltes RHEL-Repo für einige Hosts deaktiviert ist. Um dies herauszufinden, müssen Sie sich nicht mit einem betroffenen System verbinden und es untersuchen; Ein Klick auf den Hostnamen in der Liste der betroffenen Systeme (siehe Abb. 2) reicht aus, um zu einer Ansicht zu gelangen, die eine detaillierte Beschreibung sowie eine Lösung bietet.
Einblicke helfen Ihnen nicht nur herauszufinden, was falsch ist, sondern auch, wie Sie das Problem beheben können. Im Laufe des Tests werde ich kontinuierlich prüfen, wie oft Insights sinnvolle Lösungen liefern kann.
Langsamer Systemstart, wenn Speichergeräte den Befehl WRITE SAME nicht unterstützen
Dies weist auf ein Problem hin, das die Leistung des Systems während des Startvorgangs beeinträchtigen kann.
Insights hat diesen Vorfall erkannt, nachdem das betroffene System neu gestartet wurde, der Insights-Client erneut ausgeführt wurde und Insights eine entsprechende Meldung in /var/log/messages.
gefunden hat- Welche Auswirkungen hat "WRITE SAME failed. Manually zeroing?"
Das Problem an sich ist uns schon länger bekannt. Es fällt jedoch in die Kategorie „Schauen wir mal, wenn wir Zeit haben“ (was „niemals“ bedeutet). Glücklicherweise booten unsere VMs innerhalb weniger Sekunden, und hier wird kein Problem wahrgenommen.
Allgemeine Aspekte des Dashboards und Advisors
Das Dashboard gibt einen Überblick darüber, wie viele Systeme derzeit in Insights enthalten sind, ob es Probleme mit diesen Systemen gibt, den Patch-Status, Schwachstellen, den Compliance-Status, implementierte Korrekturen und Empfehlungen von Beratern.
Das Dashboard in Abb. 3 zeigt, dass Insights insgesamt sechs Empfehlungen für die 13 angeschlossenen Systeme hat, mit denen die Systemkonfiguration verbessert werden kann.
Über das Menü auf der linken Seite oder den Link im Bereich Beraterempfehlungen gelangen Sie zur Berateransicht, die die Empfehlungen in einer Übersicht darstellt (siehe Abb. 4).
Die tabellarische Übersicht in Abb. 4 zeigt die Empfehlungen mit einer kurzen Beschreibung, seit wann diese Empfehlung in Insights existiert, einer Risikobewertung, wie viele Systeme betroffen sind und ob ein Ansible Playbook existiert, mit dem das beschriebene Problem gelöst werden kann.
Das Erste, was mir auffällt, ist der zweite Punkt. Mit einem Klick auf den Pfeil vor der Beschreibung erscheinen weitere Details (siehe Abb. 5). Hier erfahren Sie, dass es wahrscheinlich kein Problem ist, wenn Sie nicht sofort auf RHEL 8 aktualisieren, und dass ein Upgrade wahrscheinlich ein Wartungsfenster mit Ausfallzeiten erfordert. Der verlinkte Artikel in der Wissensdatenbank enthält weitere Informationen.
Ich persönlich bewerte die in Abb. 5 ausgewählte Empfehlung als wirkungslos. RHEL 7 wird noch gewartet und erhält Sicherheitsupdates. Dass die Version 8.2 erschienen ist und neue Funktionen und Verbesserungen mit sich bringt, ist bekannt, aber es gibt keinen Grund für voreilige Upgrades. Darüber hinaus führen wir im Allgemeinen keine In-Place-Upgrades durch. Stattdessen installieren wir eine neue virtuelle Maschine (VM), migrieren Daten und Dienste und schalten dann den alten Host ab.
Zum Glück müssen solche Meldungen nicht ewig nerven. Wie in Abb. 5 zu sehen, bietet Insights die Möglichkeit, Meldungen einfach zu deaktivieren. Ich finde es sehr hilfreich, dass Sie einen Grund angeben können (siehe Abb. 6), damit Sie sich nach Wochen oder Monaten daran erinnern können, warum Sie einen Eintrag deaktiviert haben.
Das Insights-Team stimmte meiner Meinung oben aus Abb. 5 zu und entfernte diese Option, um Verwirrung bei den Kunden zu vermeiden. Dies ist ein großartiges Beispiel dafür, wie Red Hat das Feedback seiner Kunden wertschätzt.
Nach der Deaktivierung wird der Eintrag nicht mehr in der Übersicht angezeigt (siehe Abb. 7).
Nach dem Deaktivieren eines Eintrags kam mir sofort die Frage, wo ich diesen wieder finden kann. Dies ist über die Filtereinstellungen im oberen Bereich der Seite möglich (siehe Abb. 8).
Zwischenfazit
Ich stehe noch am Anfang unseres Tests. Die bisherigen Erkenntnisse reichen daher nicht aus, um abschließend beurteilen zu können, ob eine dauerhafte und umfangreiche Nutzung von Insights gerechtfertigt ist.
Mein erster Eindruck bleibt, dass Red Hat Insights eine benutzerfreundliche Oberfläche ist, die eine intuitive Bedienung ermöglicht. Bisher enthält der Ratgeber einige interessante Tipps zusammen mit einigen nicht so wichtigen.
[Nehmen Sie am 23. Juli 2020 an Red Hat Insights Ask Me Anything mit Produktmanager Jerome Marc teil, bei dem es um den Vergleich von Systemen mit Drift geht. ]