Tim schlug hier vor, im Vorpost etwas anderes zur Authentifizierung als $USER zu nutzen: id. Auch das ist unsicher, wenn man es falsch macht. Ich benutze hier einfach mal die UIDs statt der Usernamen. Der folgende Code wäre dann die id-Variante, wer findet das Sicherheitsproblem?


#!/bin/bash
if [ "$(id -u)" != "1001" ] && [ "$(id -u)" != "1002" ]
then
echo "Zugriff verweigert."
else
echo OK
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Umgehen kann man es jedoch wieder trivial, man erstelle ~/id:

[stefan@srv2342 ~]$ sh authme.sh
Zugriff verweigert.
[stefan@srv2342 ~]$ echo "echo 1001" > ~/id
[stefan@srv2342 ~]$ chmod +x ~/id
[stefan@srv2342 ~]$ PATH=".:$PATH" sh authme.sh
OK
[stefan@srv2342 ~]$


Wir haben hier PATH so geändert, dass zuerst im aktuellen Pfad nach id Datei gesucht wird – die Datei haben wir grade angelegt und sie gibt aus, was das Script als Antwort sehen möchte. Whoops! ;D

Um die Security awareness etwas zu erhöhen, habe ich überlegt, noch ein paar witzige Schnippsel zu posten! Vielleicht entdeckt ja jemand auch etwas, das er selbst mal gemacht hat!

Hier folgt nun ein sinngemäßer Auszug aus einem Script, das bei einem ISP sehr kritische Aktionen für Domains ausführt:




#!/bin/bash
if [ "$USER" != "franz" ] && [ "$USER" != "karl" ]
then
echo "Zugriff verweigert."
else
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Wichtig ist hier vor allem das Audit Log. Umgehen kann man es jedoch trivial:

USER=franz ./domain-delete.sh [domain]


Leider bedachte der Programmierer nicht, dass $USER natürlich trivial von jedem Shelluser geändert werden kann. Das Audit-Log würde ggfs. sehr unerfreuliche Folgen haben.

Bessere Lösung: sudo benutzen und nur den zwei Usern, die es wirklich benötigen, Rechte auf das Script gewähren.

Lokal ist hier die IP 192.168.0.220, Remote ist 192.168.0.210.

/etc/rc.conf:

ifconfig_em0="inet 192.168.0.220 192.168.0.210"
static_routes="default"
route_default="-net 0.0.0.0 -iface -interface em0"

Ist auf der anderen Seite Linux im Einsatz, so macht man dort:

ip addr add 192.168.0.210 peer 192.168.0.220/32 dev tunX

Natürlich erst, nachdem das neue tun-Interface oben ist (also z.B. im eigenen up-Script).

Live CDs sind tod – es lebe der Live USB-Stick! Dank UNetbootin wird die Erstellung eines solchen bootfähigen USB-Sticks zum Kinderspiel. Alle bekannten Linux Distributionen, verschiedene BSD Derivate sowie spezielle Live CDs (z.B. Antivir- und Systemrettungsdisks) können mittels UNetbootin mit wenigen Klicks auf einen USB Stick gebracht werden.

Nach der Auswahl der gewünschten Distribution und des zu nutzenden USB-Sticks lädt UNetbootin alle benötigten Dateien automatisch herunter und erstellt den bootfähigen USB-Stick. Auch eigene ISO-Dateien – z.B. von anderen Linux Distributionen – kann man auswählen und auf den Stick speichern. Möglich ist auch die Auswahl eines benutzerdefinierten Kernels.

UNetbootin ist bei den meisten Linux Distributionen bereits als Paket vorhanden. Auch für Windows ist das Programm verfügbar.

Weitere Informationen zu Linux auf dem USB-Stick:
Pendrivelinux.com
Live USB Stick mit Ubuntu Boardmitteln

• Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
• Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
• Eingeben der Firewallregeln in ein Dokumentationssystem
• Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
• Keine Dokumentation

Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.

Bei PdfMod handelt es sich um eine einfache Applikation zum Bearbeiten von PDF Dateien. Mit der Gnome Applikation können beispielsweise einzelne PDF Seiten exportiert, entfernt oder rotiert werden. Weitere Funktionen finden sich auf der offiziellen Homepage.

Da es derzeit kein offizielles Ubuntu Paket für Ubuntu Jaunty gibt, müssen wir PdfMod aus den Quellen kompilieren. Zuerst benötigen wir einige Abhängigkeiten und bereiten das System vor:

[code language="css"]
sudo aptitude install build-essential intltool mono-gmcs
sudo ln -s /usr/bin/gmcs2 /usr/bin/gmcs
[/code]

PdfMod hat als Abhängigkeit die C# Library Hyena, die wie folgt heruntergeladen und nach /usr/local installiert werden kann:

[code language="css"]
wget http://ftp.gnome.org/pub/GNOME/sources/hyena/0.1/hyena-0.1.tar.gz
tar xzvf hyena-0.1.tar.gz
cd hyena-0.1/
./configure --prefix=/usr/local
make && sudo make install
[/code]

PdfMod wird ebenfalls heruntergeladen und konfiguriert:

[code language="css"]
wget http://ftp.gnome.org/pub/GNOME/sources/pdfmod/0.6/pdfmod-0.6.tar.gz
tar xzvf pdfmod-0.6.tar.gz
cd pdfmod-0.6/
./configure --prefix=/usr/local
[/code]

Leider gibt es bei der aktuellen Version noch einen Bug, der folgenden Fehler beim make Aufruf erzeugt:

[code language="css"]
cp: cannot stat `@expanded_libdir@/hyena/Hyena.dll': No such file or directory
cp: cannot stat `@expanded_libdir@/hyena/Hyena.Gui.dll': No such file or directory
[/code]

Hierbei hilf folgender sed Aufruf, der die fehlerhaften Zeilen ersetzt:

[code language="css"]
sed -i 's/@expanded_libdir@/${expanded_libdir}/g' config.status
[/code]

Danach wird PdfMod wie folgt kompiliert und installiert:

[code language="css"]
make && sudo make install
[/code]

Nun ist PdfMod installiert und kann mittels pdfmod aufgerufen werden. Ubuntu 9.10/Karmic Benutzer können sich die Kompilierorgie übrigens sparen – es gibt fertige Pakete im PPA.

Auf dem DNS Server Markt tummeln sich viele verschiedene Implementierungen – für einen einfachen rekursiven DNS Server eignet sich der PowerDNS Recursor. Bei den meisten Distributionen sollte ein Paket pdns-recursor über die jeweilige Paketverwaltung installierbar sein. Unter Ubuntu oder Debian lässt sich der Recursor wie folgt installieren:

[code language="css"]aptitude install pdns-recursor[/code]

Generell sollte nun bereits lokal ein DNS Server laufen, den man nun mit einer einfachen Anfrage prüfen kann:

[code language="css"]dig @localhost www.adminlife.net[/code]

Kommt hier eine Antwort, ist der Nameserver funktionsbereit. Nun sollte er noch in die /etc/resolv.conf eingetragen werden. Folgende Zeile wird an den Anfang der Datei eingefügt:

[code language="css"]nameserver 127.0.0.1[/code]

Fertig ist der eigene Nameserver, der nicht mehr durch den Provider zensiert werden kann. Weitere Einstellungen, wie z.B. die IP-basierte Zugriffskontrolle, lassen sich in der gut kommentierten Datei /etc/powerdns/recursor.conf einstellen.

Die Abfrage läuft nun wie folgt:

Lokal stellt der Resolver eine rekursive DNS Anfrage an den ebenfalls lokal installierten caching-only Nameserver. Dieser stellt Anfragen an die zuständigen Nameserver im Netz, nachdem er diese von den root DNS Servern durch iterative Anfragen ermittelt hat.

Mehr zum Thema DNS:
Infos zur Namensauflösung @Wikipedia
DNS @Wikipedia
Anleitung zum Umstellen auf freie DNS Server
PowerDNS Recursor Dokumentation

Zuerst empfiehlt sich das Update von Perl und davon abhängiger Ports mittels portupgrade:

[code language="css"]portupgrade -rR perl[/code]

Danach starten wir das Upgrade Script:

[code language="css"]perl-after-upgrade[/code]

Dieses Script zeigt uns an, wie viele Ports von Perl abhängen. Um die Änderungen an den Ports auch durchzuführen, muss das Script mit dem Parameter -f ausgeführt werden:

[code language="css"]perl-after-upgrade -f[/code]

Nun sollten alle Perl Programme auf dem System einwandfrei mit der neu installierten Perl Version laufen. Weitere Infos hat Dru Lavigne bei O’Reilly veröffentlicht.

Das Auswertungstool ist bei allen gängigen Distributionen als Paket verfügbar und kann mit den üblichen Paketmanagern installiert werden. Ohne weitere Parameter vermutet sarg die Squid Logdatei unter /var/log/squid/access.log und möchte seine HTML Ausgabe nach /var/www/squid-reports/ schreiben. Dies kann man aber problemlos übersteuern:

[code language="css"]sarg -o /absolute/path/to/outputdir -l access.log[/code]

Nach dem Aufruf findet sich eine übersichtliche HTML Statistik im outputdir. Diese zeigt unter anderem eine trafficbasierte Auswertung von Proxybenutzern und besuchten Webseiten an. Schnell lässt sich herausfinden welche Seiten am häufigsten besucht wurden, welcher Benutzer den meisten Traffic verursacht hat oder welche Dateien runtergeladen wurden.

SARG ist optimal für die tägliche Auswertung der Squid Logfiles mittels eines Cronjobs geeignet. Weitere Anwendungsmöglichkeiten und Parameter verrät die Manpage oder sarg --help.

SARG Homepage

Das BIOS Upgrade kann direkt aus dem Systembetrieb durchgeführt werden. Dazu muss zuerst das Paket libsmbios-bin installiert werden:

[code language="css"]# aptitude install libsmbios-bin[/code]

Anschließend müssen wir die System ID herausfinden.

[code language="css"]# sudo getSystemId
Libsmbios: 0.12.1
System ID: 0x01DD
Service Tag: DT6WLB1
Express Service Code: 30063287773
Product Name: Dell DM061
BIOS Version: 2.3.2
Vendor: Dell Inc.
Is Dell: 1
[/code]

Den Wert bei System ID notieren und dann die aktuelle BIOS Version (höchste Versionsnummer) bei Dell runterladen. In dem BIOS Ordner befindet sich eine Datei bios.hdr, die wir zum Upgrade benötigen.

[code language="css"]# sudo dellBiosUpdate -u -f ./bios.hdr
Supported RBU type for this system: (MONOLITHIC)
Using RBU v2 driver. Initializing Driver.
Setting RBU type in v2 driver to: MONOLITHIC
Prep driver for data load.
Writing RBU data (4096bytes/dot): ............................
..............................................................
.......................
Notify driver data is finished.
Activate CMOS bit to notify BIOS that update is ready on next boot.
Update staged sucessfully. BIOS update will occur on next reboot.
[/code]

Der Rechner muss nun neu gestartet werden. Nach dem Systemneustart sollte der Lüfter wieder normal arbeiten. Weitere Infos finden sich im Dell Linux Wiki.

Zur Prüfung des eigenen Nameservers bzw. des Nameservers des Providers auf diese Schwachstelle, hat das DNS-OARC einen extra DNS Dienst zur Verfügung gestellt, der einem Auskunft über das Verhalten des genutzten DNS Servers gibt. Abgefragt wird der Dienst mittels des dig Clients aus der BIND Familie:

Um den auf dem aktuellen System eingestellten DNS Resolver zu prüfen, reicht folgender Befehl:

[code language="css"]dig +short porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"217.237.150.202 is POOR: 27 queries in 4.8 seconds from 26 ports with std dev 160.37"[/code]

Dieser DNS Server ist von der Schwachstelle betroffen. T-Online muss also noch was an seinen DNS Servern tun.

Um andere DNS Server zu prüfen, geben wir diese einfach mit einem vorangestellten @ an:

[code language="css"]dig +short @my.nameserver.net porttest.dns-oarc.net TXT
z.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"212.11.11.11 is GOOD: 226 queries in 799.3 seconds from 226 ports with std dev 18383.92"[/code]

Der nun getestete Nameserver verhält sich schon besser – die Quellports werden zufällig vergeben, so dass ein Schutz vor der weitreichenden DNS Schwachstelle bestehen dürfte.

via

Da mein Adminhandy kein HSDPA kann und mein Kollege kürzlich einfach so eine neue PCMCIA-UMTS Karte bestellt hat, stand ich neulich vor der Aufgabe, das Ding unter Linux zum Laufen zu bekommen – was sich als nicht ganz trivial herausstellte.
Zuerst habe ich die Karte einfach in den PCMCIA-Slot meines Laptop geknallt und siehe da: es tat sich sogar etwas! Ein neues Gerät wurde erkannt! Die LED der Karte blinkte freudig! Es wird doch wohl nicht etwa auf Anhieb klappen? Ein neues USB-Storage Device wurde gefunden! Ääääh? Neugierig habe ich die 1. Partition (FAT) gemountet und siehe da, sie ist völlig leer. Nach einiger Recherche bin ich dann zu folgenden Ergebnissen gekommen:

• die Karte wird erstmal als OHCI USB Mass Storage Device erkannt (ja, über PCMCIA, ja, das geht!), der Windows Treiber “switcht” dann um und sie ist plötzlich ein über USB angebundenes Serial Device
• Das Ding wird auch “GlobeTrotter GT MAX 3.6″ geschimpft

So, jetzt wollen wir das Ganze mal zum Laufen bringen.

Falls man die nötigen Module nicht im Kernel hat, geht man per “make menuconfig” in die Kernel Konfiguration. Dort wird dann folgendes aktiviert:

[code language="css"]
-> Device Drivers -> USB support (USB_SUPPORT [=y])
-> USB Serial Converter support (USB_SERIAL [=y])
->USB driver for GSM and CDMA modems (NEW)
[/code]
außerdem noch:
[code language="css"]
-> Device Drivers
-> USB support (USB_SUPPORT [=y])
-> Support for Host-side USB (USB [=y])
[/code]

Nun compiliert man den ggfs. den Kernel neu und rebootet. Dann die Karte hereinstecken und man sieht im dmesg:

[code language="css"]Apr 24 12:47:02 d400 ohci_hcd 0000:02:00.1: OHCI Host Controller
Apr 24 12:47:02 d400 ohci_hcd 0000:02:00.1: new USB bus registered, assigned bus number 6
Apr 24 12:47:02 d400 ohci_hcd 0000:02:00.1: irq 11, io mem 0x38001000
Apr 24 12:47:02 d400 usb usb6: configuration #1 chosen from 1 choice
Apr 24 12:47:02 d400 hub 6-0:1.0: USB hub found
Apr 24 12:47:02 d400 hub 6-0:1.0: 1 port detected
Apr 24 12:47:02 d400 usb usb6: New USB device found, idVendor=1d6b, idProduct=0001
Apr 24 12:47:02 d400 usb usb6: New USB device strings: Mfr=3, Product=2, SerialNumber=1
Apr 24 12:47:02 d400 usb usb6: Product: OHCI Host Controller
Apr 24 12:47:02 d400 usb usb6: Manufacturer: Linux 2.6.24-mm1 ohci_hcd
Apr 24 12:47:02 d400 usb usb6: SerialNumber: 0000:02:00.1
Apr 24 12:47:05 d400 usb 6-1: new full speed USB device using ohci_hcd and address 2
Apr 24 12:47:05 d400 usb 6-1: configuration #1 chosen from 1 choice
Apr 24 12:47:05 d400 usb 6-1: New USB device found, idVendor=05c6, idProduct=1000
Apr 24 12:47:05 d400 usb 6-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
Apr 24 12:47:05 d400 usb 6-1: Product: USB MMC Storage
Apr 24 12:47:05 d400 usb 6-1: Manufacturer: Qualcomm, Incorporated
Apr 24 12:47:05 d400 usb 6-1: SerialNumber: 000000000002[/code]

Zum “Switchen” der Karte braucht man usb_modeswitch, nehmt die aktuelle Version 0.9.4beta2, die “stabile” Version 0.9.3 hat teils Probleme mit udev und funktioniert bei mir (udev-119, Kernel 2.6.25-r1) nicht! Das Entpacken funktioniert wie üblich, configure ist nicht nötig, zum Compilieren reicht in simples gcc -l usb -o usb_modeswitch usb_modeswitch.c oder man nimmt einfach gleich compile.sh, welches danach noch strip’pt.
Unter Gentoo gibt es hier ein fertiges ebuild, die Installation funktioniert wie folgend beschrieben:

[code language="css"]mkdir -p /root/OVERLAY/sys-apps/usb_modeswitch/files
wget http://bugs.gentoo.org/attachment.cgi?id=150886 -O \
/root/OVERLAY/sys-apps/usb_modeswitch/usb_modeswitch-0.9.4_beta2.ebuild
wget http://bugs.gentoo.org/attachment.cgi?id=150887 -O \
/root/OVERLAY/sys-apps/usb_modeswitch/files/91-usb_modeswitch.rules.udev-ge-106
wget http://bugs.gentoo.org/attachment.cgi?id=150889 -O \
/root/OVERLAY/sys-apps/usb_modeswitch/files/91-usb_modeswitch.rules.udev-lt-106
PORTAGE_OVERLAY="/root/OVERLAY"
cd /root/OVERLAY/sys-apps/usb_modeswitch
ebuild usb_modeswitch-0.9.4_beta2.ebuild digest merge[/code]

Hoffentlich ist das bald auch in der Portage, man hat ja immer alles gerne aus einem Guss! Nach dem Ausführen von usb_modeswitch solltet ihr dann so etwas sehen:

[code language="css"]Apr 24 12:49:19 d400 usb 6-1: USB disconnect, address 2
Apr 24 12:49:21 d400 usb 6-1: new full speed USB device using ohci_hcd and address 3
Apr 24 12:49:21 d400 usb 6-1: configuration #1 chosen from 1 choice
Apr 24 12:49:21 d400 usb 6-1: New USB device found, idVendor=0af0, idProduct=6701
Apr 24 12:49:21 d400 usb 6-1: New USB device strings: Mfr=1, Product=2, SerialNumber=4
Apr 24 12:49:21 d400 usb 6-1: Product: Globetrotter HSDPA Modem
Apr 24 12:49:21 d400 usb 6-1: Manufacturer: Option N.V.
Apr 24 12:49:21 d400 usb 6-1: SerialNumber: Serial Number
Apr 24 12:49:21 d400 usbcore: registered new interface driver usbserial
Apr 24 12:49:21 d400 drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
Apr 24 12:49:21 d400 usbcore: registered new interface driver usbserial_generic
Apr 24 12:49:21 d400 drivers/usb/serial/usb-serial.c: USB Serial Driver core
Apr 24 12:49:21 d400 drivers/usb/serial/usb-serial.c: USB Serial support registered for GSM modem (1-port)
Apr 24 12:49:21 d400 option 6-1:1.0: GSM modem (1-port) converter detected
Apr 24 12:49:21 d400 usb 6-1: GSM modem (1-port) converter now attached to ttyUSB0
Apr 24 12:49:21 d400 option 6-1:1.1: GSM modem (1-port) converter detected
Apr 24 12:49:21 d400 usb 6-1: GSM modem (1-port) converter now attached to ttyUSB1
Apr 24 12:49:21 d400 option 6-1:1.2: GSM modem (1-port) converter detected
Apr 24 12:49:21 d400 usb 6-1: GSM modem (1-port) converter now attached to ttyUSB2
Apr 24 12:49:21 d400 usbcore: registered new interface driver option
Apr 24 12:49:21 d400 drivers/usb/serial/option.c: USB Driver for GSM modems: v0.7.1[/code]

Nun kann man die Karte über /dev/ttyUSB0 wie ein normales AT-Modem benutzen und seine ppp-chat-Scripte damit laufen lassen, ihr findet eins z.B. im Gentoo-Wiki. Man sollte diese ggfs. nach seinen eigenen Bedürfnissen erweitern/abändern. Ich benutze:

[code language="css"]# /etc/ppp/peers/umtscard
/dev/ttyUSB0
connect '/usr/sbin/chat -v -f /etc/ppp/peers/umtscard-chatscript-connect'
disconnect '/usr/sbin/chat -v -f /etc/ppp/peers/umts-chatscript-disconnect'
defaultroute
noipdefault
460800
usepeerdns
nopcomp
local[/code]
[code language="css"]# /etc/ppp/peers/umtscard-chatscript-connect
TIMEOUT 10
ECHO ON
ABORT '\nBUSY\r'
ABORT '\nERROR\r'
ABORT '\nNO ANSWER\r'
ABORT '\nNO CARRIER\r'
ABORT '\nNO DIALTONE\r'
ABORT '\nRINGING\r\n\r\nRINGING\r'
'' \rAT
TIMEOUT 30
OK ATZ
OK AT&F
OK AT+CPIN="XXXX"
OK AT_OPSYS=3,2
TIMEOUT 60
OK 'AT+cgdcont=1,"IP","surfo2"'
OK ATD*99***1#
CONNECT[/code]
[code language="css"]# /etc/ppp/peers/umts-chatscript-disconnect
ABORT "BUSY"
ABORT "ERROR"
ABORT "NO DIALTONE"
SAY "\nSending break to the modem\n"
"" "\K"
"" "\K"
"" "\K"
"" "+++ATH"
"" "+++ATH"
"" "+++ATH"[/code]

Mit pon umtscard gehts dann in die Weiten des Internets!

Wer mag, kann das “Umswitchen” der Karte auch automatisch beim Einstecken durch udev vornehmen lassen, wie das geht, schaut ihr am Besten direkt auf der Homepage von usb_modeswitch nach.

Eine Warnung zum Schluss: Seid mit den APNs vorsichtig und kontrolliert sie genaustens – ihr könnt euch sonst eine echt horrende Rechnung bescheren!

Ein installierter Apache wird vorausgesetzt, die restlichen Komponenten werden wie folgt nachinstalliert:

[code language="css"]aptitude install apache2-dev libmysqlclient-dev patch[/code]

Nun laden wir Quellcode und Patch von der Entwicklerseite herunter, entpacken das heruntergeladene Paket und wechseln in den neu erstellten Ordner:

[code language="css"]wget http://heanet.dl.sourceforge.net/sourceforge/modauthmysql/mod_auth_mysql-3.0.0.tar.gz
wget http://dl.adminlife.net/apache22.diff
tar xzf mod_auth_mysql-3.0.0.tar.gz
mv apache22.diff mod_auth_mysql-3.0.0/
cd mod_auth_mysql-3.0.0[/code]

Nun wird der Patch angewandt, der eine Funktion mit der in Debian Etch enthaltenen Apache 2.2 Version garantiert:

[code language="css"]patch -p1 <apache22.diff[/code]

Nun bauen wir das Modul mit apxs2 und installieren dieses:

[code language="css"]apxs2 -c -L/usr/lib/mysql -I/usr/include/mysql -lmysqlclient -lm -lz mod_auth_mysql.c
apxs2 -i mod_auth_mysql.la[/code]

Nun bauen wir uns noch eine Debian-typische .load Datei, um das Modul in Apache zu laden und aktivieren das Modul mit einem Softlink:

[code language="css"]echo "LoadModule mysql_auth_module /usr/lib/apache2/modules/mod_auth_mysql.so" > /etc/apache2/mods-available/mod_auth_mysql.load
ln -s /etc/apache2/mods-available/mod_auth_mysql.load /etc/apache2/mods-enabled/mod_auth_mysql.load[/code]

Eine Konfiguration kann wie folgt aussehen:

[code language="css"]<directory /var/www/www.my-vhost.com>
AuthName "VIP only"

AuthType Basic
AuthBasicAuthoritative Off
AuthGroupFile /dev/null
AuthUserFile /dev/null
AuthMySQLEnable On
AuthMySQLHost localhost
AuthMySQLUser authuser
AuthMySQLPassword geheim
AuthMySQLDB auth
AuthMySQLUserTable user
AuthMySQLNameField username
AuthMySQLPasswordField password
AuthMySQLPwEncryption md5

AuthMySQLUserCondition "active = 1"

AuthMySQLAuthoritative On
require valid-user
</directory>[/code]

Weitere Konfigurationsparameter finden sich in der zugehörigen README.

Wichtig: Das Modul arbeitet mit der threadbasierten Version von Apache (apache2-mpm-worker) nicht korrekt zusammen. Tut euch und euren Usern einen Gefallen und nutzt die klassische Prefork Variante vom Apache (apache2-mpm-prefork), um sporadischen Fehlern bei der Nutzung von mod_auth_mysql aus dem Weg zu gehen.

[code language="css"]wget -m -k -K -E http://www.yoursite.com[/code]

Hiermit wird eine Kopie von der angegeben URL in dem lokalen Ordner www.yoursite.com erstellt. Dabei wird bei dynamischem Content die Dateiendung .html hinzugefügt sowie alle internen Verlinkungen und Pfade angepasst.

Die Bedeutung der verwendeten Parameter im Einzelnen:

-m Optionen für das Spiegeln (-r -N -l inf --no-remove-listing)
-k konvertiert die Links innerhalb der HTML Dokumente
-K Sicherung der Originaldateien vor Konvertierung (Dateiendung .orig)
-E Anhängen der .html Endung

Mehr Optionen und eine genauere Beschreibung liefert man wget.

Folgender Code wird beim vHost eingetragen, dessen Bilder geschützt werden sollen:

[sourcecode language="css"]
$HTTP["referer"] != "http://www.adminlife.net" {
url.access-deny = ( ".jpg", ".jpeg", ".png", ".gif" )
}
[/sourcecode]

Ab sofort werden Bilder nur noch angezeigt, wenn der Referrer http://www.adminlife.net entspricht.

Wem das zu radikal ist, der kann mit regulären Ausdrücken weitere Subdomains oder Hosts erlauben. Im folgenden Beispiel werden alle Google Seiten sowie alle meine Domains mit Subdomains erlaubt.

[sourcecode language="css"]
$HTTP["referer"] !~ "^($|(http|https)://.*\.(google\.*|adminlife\.(net|de|org)))" {
url.access-deny = ( ".jpg", ".jpeg", ".png", ".gif" )
}
[/sourcecode]

Nach der Installation auf einer der beiden Festplatten können wir im laufenden Betrieb das RAID definieren. Dazu müssen wir jedoch zuerst den Sicherheitsschutz der Festplatte im Kernel deaktivieren:
[sourcecode language="css"]# sysctl kern.geom.debugflags=16
kern.geom.debugflags: 0 -> 16[/sourcecode]

Danach können wir die Platte mit dem Betriebssystem unserem RAID Verbund hinzufügen:

[sourcecode language="css"]# gmirror label -v -b round-robin gm0 /dev/ad0
Metadata value stored on /dev/ad0[/sourcecode]

Mittels des Parameters -b round-robin wählen wir den Round-Robin Algorithmus zum Lesen und Schreiben der Daten im RAID Verbund. Weitere Verfahren finden sich in gmirror(8). Die frisch erstellten RAID Devices finden sich unter /dev/mirror/ wieder.
Damit das nötige GEOM Kernel Modul geladen wird und unser RAID 1 beim Bootvorgang erkannt wird, fügen wir folgende Zeile in die loader.conf ein:

[sourcecode language="css"]# echo geom_mirror_load="YES" >> /boot/loader.conf[/sourcecode]

Zusätzlich müssen noch die Einträge in der fstab angepasst werden:

[sourcecode language="css"]# sed -i.bak ‘s%ad%mirror/gm%’ /etc/fstab[/sourcecode]

Hierdurch werden Einträge wie /dev/ad0s1a zu /dev/mirror/gm0s1a.
Nun ist es an der Zeit das System neu zu starten. Beim Bootvorgang sollte nun der GEOM Kernel Treiber geladen werden und Meldungen wie diese erscheinen:

[sourcecode language="css"]GEOM_MIRROR: Device gm0 created (id=2125638583).
GEOM_MIRROR: Device gm0: provider ad0 detected.
GEOM_MIRROR: Device gm0: provider ad0 activated.
GEOM_MIRROR: Device gm0: provider mirror/gm0 launched.
GEOM_MIRROR: Device gm0 already configured.
Mounting root from ufs:/dev/mirror/gm0s1a[/sourcecode]

Wieder im laufenden System hängen wir die zweite Platte ins RAID ein, da ein RAID 1 mit nur einer Festplatte wenig Sinn macht:

[sourcecode language="css"]# gmirror insert gm0 /dev/ad2
GEOM_MIRROR: Device gm0: provider ad2 detected.
GEOM_MIRROR: Device gm0: rebuilding provider ad2.[/sourcecode]

Die Synchronisierung des RAID Verbunds wird gestartet. Den aktuellen Status können wir uns mit gmirror anschauen:

[sourcecode language="css"]# gmirror list
Geom name: gm0
State: DEGRADED
Components: 2
Balance: round-robin
Slice: 4096
Flags: NONE
GenID: 0
SyncID: 1
ID: 2125638583
Providers:
1. Name: mirror/gm0
Mediasize: 10262568448 (9.6G)
Sectorsize: 512
Mode: r6w5e2
Consumers:
1. Name: ad0
Mediasize: 10262568448 (9.6G)
Sectorsize: 512
Mode: r1w1e1
State: ACTIVE
Priority: 0
Flags: DIRTY
GenID: 0
SyncID: 1
ID: 3986018406
2. Name: ad2
Mediasize: 10262568448 (9.6G)
Sectorsize: 512
Mode: r1w1e1
State: SYNCHRONIZING
Priority: 0
Flags: DIRTY, SYNCHRONIZING
GenID: 0
SyncID: 1
Synchronized: 1%
ID: 1946262342[/sourcecode]

Sobald der Rebuild Vorgang abgeschlossen ist, erscheint folgende Meldung:

[sourcecode language="php"]GEOM_MIRROR: Device gm0: rebuilding provider ad2 finished.
GEOM_MIRROR: Device gm0: provider ad2 activated[/sourcecode]

Unser System ist nun mit einem voll funktionierenden Software-RAID 1 abgesichert. Zur Überwachung empfehle ich dieses Nagios Plugin, um bei einer defekten Festplatte schnell reagieren zu können.

via

Letztes Wochenende war ein Videoabend auf einem HDTV angesagt. Zu dieser Gelegenheit wollte ich mal den HDMI Ausgang meines Dell XPS M1330 Notebooks unter Ubuntu Gutsy testen. Dies funktionierte auch ziemlich gut mit der eingebauten nVidia GeForce 8400M GS. Es wurde ein zweiter Bildschirm in der xorg.conf eingerichtet, der dem HDMI Ausgang zugeordnet wurde. Durch die folgende Option wurde die Auflösung des angeschlossenen Fernsehers automatisch erkannt:

[sourcecode language="php"]Option "metamodes" "DFP-1: nvidia-auto-select +0+0"[/sourcecode]

Leider funktioniert die digitale Audioausgabe über HDMI mit dem bei Ubuntu mitgelieferten Kernel noch nicht, so dass ich auf die alte analoge Variante zurückgreifen musste. Hierbei kam es jedoch zu einer Verzögerung zwischen Bild und Ton von +300ms. Dies lässt sich aber mit mplayer problemlos einstellen, so dass dem sorglosen Filmgenuß in HD Qualität nichts mehr im Wege stand. Interessierten XPS M1330 Besitzern sowie Besitzern eine nVidia Grafikkarte mit HDMI Ausgang stelle ich meine xorg.conf zum Download.

[sourcecode language="css"]# dd if=/dev/sda of=/dev/sdb &
[1] 8512[/sourcecode]

kann man das Signal USR1 (Signal Nummer 10) mit kill an den dd Prozess schicken:

[sourcecode language="css"]# kill -USR1 8512
17798625+0 Datensätze ein
17798624+0 Datensätze aus
9112895488 Bytes (9,1 GB) kopiert, 272,58 Sekunden, 33,4 MB/s[/sourcecode]

So hat man den Kopiervorgang im Blick und kann die ungefähre Dauer abschätzen.

[sourcecode language="css"]title FreeBSD
root (hd0,3,a)
kernel /boot/loader[/sourcecode]

Im obigen Beispiel ist FreeBSD auf der vierten Partition der Master ATA Festplatte des primären IDE Channels installiert. Unter Linux wäre dies dementsprechend die Partition hda3 und unter FreeBSD das Slice ad0s4. Das root-Dateisystem von FreeBSD befindet sich auf der ersten Partition ad0s4a. Aufgerufen wird nicht direkt der Kernel, wie bei Linux üblich, sondern der FreeBSD Loader.

[sourcecode language="css"]instsrv.exe dienst_name C:\pfad\zur\service.exe[/sourcecode]

Schon wird der Dienst installiert und kann im Dienstemanager angepasst werden. Zusätzlich lassen sich auch weitere Einstellungen in der Registry unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dienst_name machen.

Löschen kann man einen Service wie folgt:

[sourcecode language="css"]instsrv.exe dienst_name remove[/sourcecode]

Da lob ich mir doch mein LINUX/*NIX – da geht das bedeutend einfacher mit Bordmitteln.

Download instsrv.exe

Um ein solches selbstsigniertes Zertifikat mit OpenSSL mit einer Gültigkeitsdauer von einem Jahr für die Subdomains von domain.tld zu erstellen, geht man wie folgt vor:

[sourcecode language="css"]openssl req -new -x509 -keyout cert.pem -out cert.pem -days 365 -nodes[/sourcecode]
[sourcecode language="css"]Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Germany
Locality Name (eg, city) []:meineStadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Firma
Organizational Unit Name (eg, section) []:Abteilung
Common Name (eg, YOUR name) []:*.domain.tld
Email Address []:webmaster@domain.tld[/sourcecode]

Man erhält die Datei cert.pem, die das soeben erzeugte Zertifikat enthält. Dieses kann man nun problemlos in verschiedensten Programmen für alle Subdomains unterhalb von domain.tld nutzen.

Links:
TLS/SSL bei Wikipedia

Nebem diesem Paket sollten wir zwei weitere Pakete installieren, um unseren Kernel zu konfigurieren:

aptitude install kernel-package build-essential libncurses5-dev

Hat man zusätzlich build-essential mit notwendigen Programmen zum Übersetzen von Quellcode und libncurses5-dev zur übersichtlicheren Konfiguration des Kernels installiert, macht man sich an das Herunterladen eines aktuellen Kernels auf www.kernel.org. Hat man seinen Wunschkernel gefunden, lädt man diesen runter und entpackt ihn z.B. nach /usr/src/ und linkt die Kernelsources dann traditionell nach /usr/src/linux:

tar xjvf linux-2.6.xx.tar.bz2 -C /usr/src
ln -s /usr/src/linux-2.6.xx /usr/src/linux

Nun kopieren wir die Kernelkonfiguration des mitgelieferten Debian Kernels in das Verzeichnis, in dem die eben entpackten Kernelquellen liegen. Dies hat den Vorteil, dass wir von einer funktionierenden Kernelkonfiguration ausgehen können.

cp /boot/config-`uname -r` /usr/src/linux/.config

Nun geht es ans Konfigurieren. Zuerst gehen wir die alte Konfiguration durch und überprüfen dabei neue Features, die wir in den Kernel aufnehmen wollen oder nicht. Danach sollte man auf jeden Fall noch einmal einen Blick in die Konfiguration werfen und möglichen Ballast wie nicht genutzte Treiber und Features rauswerfen.

cd /usr/src/linux
make oldconfig
make menuconfig

Nun können wir den Kernel kompilieren und dabei die *.deb Pakete für Debian erstellen.

make-kpkg buildpackage --revision 20071014 --initrd

Mit dem Parameter buildpackage geben wir an, dass wir alle Pakete bauen lassen wollen:

• linux-doc
• linux-headers
• linux-image
• linux-manual
• linux-source

make-kpkg --targets gibt einen Überblick über die möglichen Ziele. Mit --revision geben wir die Revision des Debian Paketes an. Hierdurch verliert man nicht den Überblick, auch wenn man mehrere Kernelpakete der gleichen Version baut. Um die benötigte initial ramdisk zu erstellen, fügen wir den Parameter --initrd hinzu. Benötigen wir keine Module und bauen alles fest in den Kernel ein, kann man auf die RAM-Disk verzichten. Weitere nützliche Optionen von make-kpkg finden sich in der zugehörigen man-Page.

Nachdem der Kernel kompiliert ist und alle Pakete erstellt worden sind, finden sich diese unter /usr/src wieder. Die *.deb-Pakete lassen sich wie gewohnt installieren:

dpkg -i linux-(doc|headers|image|manual|source)-2.6.xx_rev_arch.deb

Um nur den Kernel zu installieren, reicht das Paket linux-image-2.6.xx_rev_arch aus. Dabei werden alle benötigten Dateien nach /boot kopiert, die RAM-Disk erstellt und update-grub ausgeführt. Hierbei kann jedoch eine Zeile in der /boot/grub/menu.lst fehlen, die nachgetragen werden muss um eine Kernel Panic bei benötigter RAM-Disk zu verhindern:

initrd          /boot/initrd.img-2.6.xx

Nun sollte man einen Neustart wagen und überprüfen ob alles wunschgemäß funktioniert. Mit uname -r sollte man die neue Kernelversion angezeigt bekommen.

Auf diese Art und Weise erhält man einen aktuellen Kernel für sein Debian System, der vom Paketsystem erkannt und somit nicht durch ein (Kernel-)Update beeinträchtigt wird. Natürlich ist man für Updates des Kernels in diesem Fall selber zuständig und muss Kernelpatches bei Bedarf in Eigenregie auf die gleiche Art und Weise einspielen.

Warning only 896MB will be used.
Use a HIGHMEM enabled kernel.
896MB LOWMEM available.

HIGHMEM, aha! Also habe ich schnell per make menuconfig in die Kernel Konfiguration geschaut und folgendes aktiviert:

-> Processor type and features -> High Memory Support -> 4GB

Nach kurzer Compilierzeit und einen Neustart wird nun der weitere RAM (abzüglich 128MB für die onboard Grafik) auch erkennt.

Unison ist sowohl auf Linux als auch auf Windows und Mac OS zu Hause und kann Datenbestände betriebssystemübergreifend synchronisieren. Ähnlich wie bei rsync werden beim Datenabgleich zweier Systeme nur die Daten übertragen, die sich wirklich geändert haben. So werden beispielsweise bei einer Logdatei, an deren Ende fortlaufend neue Einträge geschrieben werden, nur die neu angehängten Daten übertragen, anstatt die komplette Datei neu zu transferieren. Dies spart Zeit und Bandbreite, insbesondere beim Abgleich über das Internet.

Als Übertragungsprotokoll kann neben einer sicheren SSH-Verbindung auch eine unverschlüsselte Socket-Verbindung genutzt werden. Die Socket-Verbindung macht im eigenen LAN bei großen Dateien aufgrund der besseren Performance Sinn, über das Internet sollte man jedoch eine SSH-Verbindung bevorzugen.

Unison kann Verzeichnisse und Dateien direkt per Kommandozeilenaufruf oder mit voreingestellten Profilen synchronisieren. Im folgenden Beispiel mache ich Gebrauch von den Profilen, durch welche die tägliche Arbeit mit Unison deutlich vereinfacht wird. Profile legt Unison unter ~/.unison mit der Dateiendung *.prf ab. Ein einfaches Profil namens default.prf könnte wie folgt aussehen:

[sourcecode language="css"]# System A
root = /home/matthias
# System B
root = ssh://192.168.0.50//home/matthias

path = home
path = work[/sourcecode]

Zuerst definiert man das lokale Wurzelverzeichnis sowie das entfernte Pendant auf dem Zielsystem. Im obrigen Fall also (m)einen Heimatordner. Mit der Variable path werden diejenigen Verzeichnisse unterhalb des root-Verzeichnisses angegeben, die letztendlich auf den Systemen abgeglichen werden sollen.

Der Aufruf von Unison mittels

[sourcecode language="css"]unison default[/sourcecode]

startet nun den Synchronisierungsprozess. Dabei muss auf dem Zielsystem ebenfalls eine Version von Unison installiert sein. Es wird auf beiden Systemen eine Unison Archivdatei erstellt, die Hashwerte von den vorhandenen Dateien enthält. Daraufhin beginnt der Abgleichprozess. Sollte es sich um den ersten Lauf von Unison handeln, werden alle vorhandenen Dateien zwischen System A System B kopiert, so dass auf beiden Systemen alle Dateien verfügbar sind.

Werden nun sowohl auf A als auch auf B Dateien geändert, hinzugefügt oder entfernt kann man einen erneuten Aufruf von Unison starten. Das Programm erkennt die Änderungen auf beiden Systemen und schlägt die Standardaktionen (erstellen, löschen, ändern) vor. Startet man Unison mit dem Parameter -auto werden Standardaktionen immer durchgeführt. Nur bei Konflikten wird der Eingriff des Benutzers verlangt. Ein Konflikt besteht, wenn dieselbe Datei auf beiden Systemen verändert wurde. Ist dies eine einfache Textdatei, so erlaubt Unison jedoch das interaktive Mergen der Datei.

Unison bietet viele weitere Parameter, die sich im offiziellen Handbuch nachlesen lassen.

Links:
Unison Homepage

Im folgenden Beispiel haben wir ein RAID1 mit den Laufwerken /dev/sda und /dev/sdb. Die Festplatten sind in drei primäre Partitionen unterteilt:

[sourcecode language="css"]/dev/sdX1 /boot
/dev/sdX2 swap
/dev/sdX3 /[/sourcecode]
Folglich haben wir 2 RAID Arrays (Swap im RAID1 macht wenig Sinn):
[sourcecode language="css"]/dev/md0 /boot
/dev/md1 /[/sourcecode]

In unserem Beispiel fällt die zweite Festplatte – /dev/sdb – aus. Um einen Ersatz einzubauen, nehmen wir zuerst die defekte Platte aus dem laufenden RAID Array:

[sourcecode language="css"]mdadm /dev/md0 -r /dev/sdb1
mdadm /dev/md1 -r /dev/sdb3[/sourcecode]

Danach können wir die defekte Platte austauschen (evtl. muss das System heruntergefahren werden). Nach dem Wechsel müssen wir das Partitionslayout auf die Ersatzplatte spielen. In unserem Beispiel ist dies recht einfach, da wir keine erweiterten Partitionen haben:

[sourcecode language="css"]dd if=/dev/sda of=/dev/sdb bs=512 count=1[/sourcecode]

Hiermit kopieren wir den MBR (Größe = 512 Byte) auf die neue Festplatte. Handelt es sich bei dem Festplattenschema um ein Konstrukt mit erweiterteten Partitionen, müssen diese zusätzlich einzeln angelegt werden. Hierzu schauen wir uns mit fdisk das Partitionsschema an:

[sourcecode language="css"]fdisk -ul /dev/sda[/sourcecode]

Wir merken uns die Startwerte der erweiterteten Partitionen und übergeben diesen Wert an die Parameter skip und seek von dd:

[sourcecode language="css"]dd if=/dev/sda of=/dev/sdb count=1 skip=STARTWERT seek=STARTWERT[/sourcecode]

Nachdem wir das Partitionslayout komplett übernommen haben, teilen wir dies brav dem Kernel mit:

[sourcecode language="css"]blockdev –-rereadpt /dev/sdb[/sourcecode]
Jetzt können wir mit dem Rebuild des RAIDs beginnen:
[sourcecode language="css"]mdadm /dev/md0 -a /dev/sdb1
mdadm /dev/md1 -a /dev/sdb3[/sourcecode]
Den Status kann man jederzeit aus der Datei /proc/mdstat auslesen, z.B. mit
[sourcecode language="css"]watch -n1 cat /proc/mdstat[/sourcecode]
Nun erstellen wir noch den Swapspace auf neuen Festplatte:
[sourcecode language="css"]mkswap /dev/sdb2[/sourcecode]
und hängen den Swapspace ins laufende System ein:
[sourcecode language="css"]swapon /dev/sdb2[/sourcecode]
Schon ist unser RAID wieder voll einsatzbereit.