Nach einigem git bisect’en ergab sich vorhin:

Bisecting: 0 revisions left to test after this (roughly 0 steps)

[1992de83e375acc789daf66b7b72a812a5235b75] USB: qcserial: Enable Diagnostics Monitor and GPS ports on Gobi 2000

Nun muss /dev/ttyUSB1 statt wie bisher /dev/ttyUSB0 genutzt werden. Aber wer liest schon dauernd die LKML oder guckt sich alle Changes vor einem Kernel-Update an?

Achtung: die Western Digital 250 GB Raid Edition Festplatten haben bei mir im Rechenzentrum derzeit eine gefühlte Ausfallquote von 10%. Angeblich ist eine bestimmte Charge von den Ausfällen betroffen, offizielle Angaben gibt es derzeit soweit ich weiß (noch?) nicht.

Unser Lieferant erledigt Garantiefälle für uns recht unbürokratisch – wir schicken nie direkt zu WD, weil wir teils Platten im Vorabaustausch bekommen. Er hat jedenfalls eine größere Menge defekte Festplatten weitergeleitet und nun haben wir für einige Platten als Ersatz 500 GB Modelle bekommen – für lau. Man munkelt, dass aufgrund der extrem hohen Rücklaufzahlen der Bedarf an 250ern derzeit nicht gedeckt werden kann.

Es bleibt spannened. Sobald ich etwas genaueres weiß, werde ich hier was schreiben.

Edit: Falls bei euch in letzter Zeit auch viel ausgefallen ist, schreibt bitte das Alter der Festplatten dazu!


[user@srv2342 ~]$ ls -l /opt/backup
-rw-r--r-- 1 root root 2,6M 09. Apr 20:30 etc-20100409.tgz
-rw-r--r-- 1 root root 2,6M 10. Apr 20:30 etc-20100410.tgz
-rw-r--r-- 1 root root 2,6M 11. Apr 20:30 etc-20100411.tgz
-rw-r--r-- 1 root root 2,6M 12. Apr 20:30 etc-20100412.tgz


Natürlich war auch die /etc/shadow enthalten… john macht damit bekanntlich meist kurzen Prozess.

Beliebt sind scheinbar auch Scripte, die etwas der folgenden Art machen, um Backups zu erstellen und die Rechte korrekt zu setzen:

tar -czf /opt/backup/etc-backup.tgz /etc
chmod 600 /opt/backup/etc-backup.tgz

Hier entsteht eine klassische Race-Condition. Falls der Angreifer die Platten verlangsamt (z.B. per dd) und/oder eine while true Schleife nutzt, die er kurz vor Backupbeginn startet, kann er evtl. Teile oder das gesamte Backup kopieren.

Besser: Global umask 0027 setzen. Falls nicht möglich (z.B. Firmen-Policy), einfach vor dem Aufruf von tar ausführen:

umask 0027
tar -czf /opt/backup/etc-backup.tgz /etc


Backups müssen genauso wie die Originaldaten behandelt werden und gehören nicht nach /tmp oder mit unsicheren Dateirechten sonstwohin.

Tim schlug hier vor, im Vorpost etwas anderes zur Authentifizierung als $USER zu nutzen: id. Auch das ist unsicher, wenn man es falsch macht. Ich benutze hier einfach mal die UIDs statt der Usernamen. Der folgende Code wäre dann die id-Variante, wer findet das Sicherheitsproblem?


#!/bin/bash
if [ "$(id -u)" != "1001" ] && [ "$(id -u)" != "1002" ]
then
echo "Zugriff verweigert."
else
echo OK
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Umgehen kann man es jedoch wieder trivial, man erstelle ~/id:

[stefan@srv2342 ~]$ sh authme.sh
Zugriff verweigert.
[stefan@srv2342 ~]$ echo "echo 1001" > ~/id
[stefan@srv2342 ~]$ chmod +x ~/id
[stefan@srv2342 ~]$ PATH=".:$PATH" sh authme.sh
OK
[stefan@srv2342 ~]$


Wir haben hier PATH so geändert, dass zuerst im aktuellen Pfad nach id Datei gesucht wird – die Datei haben wir grade angelegt und sie gibt aus, was das Script als Antwort sehen möchte. Whoops! ;D

Um die Security awareness etwas zu erhöhen, habe ich überlegt, noch ein paar witzige Schnippsel zu posten! Vielleicht entdeckt ja jemand auch etwas, das er selbst mal gemacht hat!

Hier folgt nun ein sinngemäßer Auszug aus einem Script, das bei einem ISP sehr kritische Aktionen für Domains ausführt:




#!/bin/bash
if [ "$USER" != "franz" ] && [ "$USER" != "karl" ]
then
echo "Zugriff verweigert."
else
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Wichtig ist hier vor allem das Audit Log. Umgehen kann man es jedoch trivial:

USER=franz ./domain-delete.sh [domain]


Leider bedachte der Programmierer nicht, dass $USER natürlich trivial von jedem Shelluser geändert werden kann. Das Audit-Log würde ggfs. sehr unerfreuliche Folgen haben.

Bessere Lösung: sudo benutzen und nur den zwei Usern, die es wirklich benötigen, Rechte auf das Script gewähren.

Lokal ist hier die IP 192.168.0.220, Remote ist 192.168.0.210.

/etc/rc.conf:

ifconfig_em0="inet 192.168.0.220 192.168.0.210"
static_routes="default"
route_default="-net 0.0.0.0 -iface -interface em0"

Ist auf der anderen Seite Linux im Einsatz, so macht man dort:

ip addr add 192.168.0.210 peer 192.168.0.220/32 dev tunX

Natürlich erst, nachdem das neue tun-Interface oben ist (also z.B. im eigenen up-Script).

Hier ein Tipp für Sysadmins, die url_rewrite in Squid nutzen: schaut euch genau an, wie performant eure Scripte sind und benchmarkt diese unbedingt!

Ich hatte die Tage ein Problem mit einem Squid, der ungewöhnlich hohe Load verursachte – es lag an ineffizienter Programmierung des Rewriters. Für eine Hand voll URLs sollte er Umleitungen vornehmen, etwa von ^http://domain/formular auf https://domain/formular.

Das ursprüngliche Script war in BASH programmiert – es verwendete externe Programme wie grep, sed – und war für geringe Bandbreiten (5MBit/s) performant genug. Die Bandbreite stieg jedoch bald auf 20MBit/s, was die Last schon sehr deutlich erhöhte, und es werden voraussichtlich bald ~200MBit/s sein.

Das Script wurde daraufhin in Perl reimplementiert und läuft laut Benchmark um den Faktor 180 (!) schneller. Als Benchmark empfiehlt sich:

[code language="shell"]time tail /var/log/squid/access_combined.log -n 100000 | awk '{print $7}' | /pfad/zum/url_rewriter.pl > /dev/null[/code]

Wenn dort (z.B. bei einem komplizierterem Script) Werte von mehr als 5 Sekunden stehen, sollte man sein Script für hohe Bandbreiten ggfs. überarbeiten und/oder in einer performanteren Sprache reimplementieren, z.B. in C oder für Extremfälle in Assembler.

axel startet mehrere Threads gleichzeitig und kann somit den Download deutlich beschleunigen. Doch dies ist nicht die einzige Funktion von dem Programm. axel kann verschiedene Mirror gleichzeitig nutzen. Möchte man beispielsweise den Linux Kernel 2.6.28 nicht vom langsamen kernel.org Mirror herunterladen, so startet folgender Aufruf den Download der Datei vom be, nl, uk und de Mirror gleichzeitig:

[code language="css"]axel ftp://ftp.{be,nl,uk,de}.kernel.org/pub/linux/kernel/v2.6/linux-2.6.28.tar.bz2[/code]

axel kann aber auch selbständig nach passenden Mirrorservern für eine angegebene Datei suchen. Im folgenden Beispiel sucht axel nach der Datei linux-2.6.28.tar.bz2 auf filesearching.com und nutzt die vier schnellsten Mirror zum Download:

[code language="css"]axel -S4 ftp://ftp.kernel.org/pub/linux/kernel/v2.6/linux-2.6.28.tar.bz2[/code]

Weitere Parameter erlauben u.a. die Downloadgeschwindigkeit zu beschränken sowie die Anzahl der Downloadthreads direkt anzugeben. Für alle gängigen Distributionen sollte axel über den Paketmanager installiert werden können.

Offizielle Homepage von axel

[code language="css"]
+-------------------------------------------------+
| 640x480 800x600 1024x768 1280x1024
----+--------------------------------------------
256 | 0x301=769 0x303=771 0x305=773 0x307=775
32K | 0x310=784 0x313=787 0x316=790 0x319=793
64K | 0x311=785 0x314=788 0x317=791 0x31A=794
16M | 0x312=786 0x315=789 0x318=792 0x31B=795
+-------------------------------------------------+
[/code]

Noch mehr Codes gibt es bei Wikipedia.

Nach der Installation geht folgender Aufruf alle Mirror durch, sucht die schnellsten anhand deren Antwortzeit heraus und schreibt diese in die Datei /usr/local/etc/ports_sites.conf:

[code language="css"]fastest_sites > /usr/local/etc/ports_sites.conf[/code]

Nun fügt man folgende Zeile in die /etc/make.conf ein:

[code language="css"].include "/usr/local/etc/ports_sites.conf"[/code]

Ab sofort werden die gewählten Mirror bei der Installation neuer Ports bevorzugt. Das Script sollte hin und wieder neu ausgeführt werden, da evtl. neue Mirror hinzukommen, alte wegfallen oder sich die Netztopologie ändert.

via

Still und heimlich habe ich mich bereits vor ein paar Monaten von KDE als meiner favorisierten Desktop Umgebung verabschiedet. Gründe gibt es viele – einer ist der Sprung zu KDE 4 und die damit verbundenen Änderungen. Nun bin ich mit Ubuntu bei Gnome gelandet und fühle mich dort wohl. Nur ein passender YaKuake Ersatz musste gefunden werden.

Nach verschiedenen Tests mit anderen YaKuake Alternativen wie tilda oder yeahconsole bin ich relativ schnell beim Guake Terminal gelandet.

Guake kann fast alles, was YaKuake auch kann. Es ist dazu schnell, klein und komplett GTK2, so dass keine zusätzlichen Grafik-Bibliotheken installiert werden müssen. Ab Ubuntu 8.10 gibt es Guake auch im Repository und lässt sich ganz einfach installieren:

[code language="javascript"]aptitude install guake[/code]

Guake Terminal Homepage

Als Betriebssystem werkelt eine angepasste Linux Distribution, die sich mittels funplug relativ einfach anpassen und erweitern lässt. Nach der Anpassung sind die Daten über verschiedenste Protokolle im Netz verfügbar; darunter u.a. NFS, SMB, FTP, UPnP und ein iTunes Server. Es lässt sich sogar Software via ipkg für den NSLU2 installieren. Insgesamt ein super Gerät, das ich durchaus allen NAS-Interessierten weiterempfehlen kann.

Bei der Erstkonfiguration über das Webinterface kam ich jedoch bei der Passwortauswahl ins Grübeln. Das Passwort darf nicht zu lang sein und keine Sonderzeichen enthalten. Es dürfen somit nur Buchstaben und Zahlen vorkommen und dabei müssen 5 bis 8 Zeichen verwendet werden. Warum solche Einschränkungen?

Weitere Infos zu dem ansonsten tollen Gerät finden sich im Wiki des baugleichen – aber weitaus teureren – D-Link DNS323.

Wer sich mal die geographische Verteilung von Spam- und Virenschleudern anschauen möchte, für den ist diese KML Datei von F-Secure sicherlich einen Blick wert.

Mithilfe dieser Datei lassen sich die Standorte von IPs, für die Bot, Phishing, Spam, Malware oder Würmer gemeldet wurden in Google Earth darstellen. Sicherlich nicht allzu ausführlich und auch nicht der Weisheit letzter Schluss, trotzdem ein netter Ansatz.

via

Um herauszufinden, ob eine Seite die HTTP TRACE Methode aktiviert hat, genügt ein einfacher Test mittels

telnet

:

[code language="css"]$ telnet foo.com 80
Trying 127.0.0.1...
Connected to foo.com.
Escape character is '^]'.
TRACE / HTTP/1.1
Host: foo.com
X-Header: test

HTTP/1.1 200 OK
Date: Sat, 19 Jul 2008 14:28:21 GMT
Server: Apache
Transfer-Encoding: chunked
Content-Type: message/http

TRACE / HTTP/1.1
Host: foo.com
X-Header: test
[/code]

Um dem Apachen HTTP TRACE abzugewöhnen, reicht folgende Direktive in der Hauptkonfiguration:

[code language="css"]TraceEnable off[/code]

Nach einem Reload ist HTTP TRACE deaktiviert und XST Angriffe sollten kein Problem mehr darstellen. Diese Einstellung ist einem älteren Lösungsvorschlag mithilfe von mod_rewrite auf jeden Fall vorzuziehen.

Nutzt man einen anderen Webserver, sollte man auch hier über die Abschaltung der unliebsamen HTTP TRACE Methode nachdenken. Übrigens scheint lighttpd noch kein HTTP TRACE implementiert zu haben – es besteht somit auch kein Handlunsbedarf bei dem noch jungen Webserver.

Diese verfügt bei Verwendung von LaTeX über einen riesigen Vorteil im Vergleich zur proprietären Konkurrenz. Dia kann die Grafiken in TeX Dateien exportieren, die über ein einfaches [code language="css"]include[/code] in das Hauptdokument eingefügt werden können. Die Grafiken werden dann von TikZ, einem Grafiksystem für TeX, gezeichnet. Diese Grafiken sind frei skalierbar und von einer sehr hohen Darstellungsqualität. TikZ kann wie folgt eingebunden werden:

[code language="css"]\usepackage{tikz}[/code]

Ich denke diese ersten Schritte mit LaTeX stellen den Beginn einer langen Freundschaft mit dem freien Textsatzprogramm TeX dar. OpenOffice & Co. habe ich jedenfalls schon länger nicht mehr starten müssen …

Da mein Adminhandy kein HSDPA kann und mein Kollege kürzlich einfach so eine neue PCMCIA-UMTS Karte bestellt hat, stand ich neulich vor der Aufgabe, das Ding unter Linux zum Laufen zu bekommen – was sich als nicht ganz trivial herausstellte.
Zuerst habe ich die Karte einfach in den PCMCIA-Slot meines Laptop geknallt und siehe da: es tat sich sogar etwas! Ein neues Gerät wurde erkannt! Die LED der Karte blinkte freudig! Es wird doch wohl nicht etwa auf Anhieb klappen? Ein neues USB-Storage Device wurde gefunden! Ääääh? Neugierig habe ich die 1. Partition (FAT) gemountet und siehe da, sie ist völlig leer. Nach einiger Recherche bin ich dann zu folgenden Ergebnissen gekommen:

• die Karte wird erstmal als OHCI USB Mass Storage Device erkannt (ja, über PCMCIA, ja, das geht!), der Windows Treiber “switcht” dann um und sie ist plötzlich ein über USB angebundenes Serial Device
• Das Ding wird auch “GlobeTrotter GT MAX 3.6″ geschimpft

So, jetzt wollen wir das Ganze mal zum Laufen bringen.

Falls man die nötigen Module nicht im Kernel hat, geht man per “make menuconfig” in die Kernel Konfiguration. Dort wird dann folgendes aktiviert:

[code language="css"]
-> Device Drivers -> USB support (USB_SUPPORT [=y])
-> USB Serial Converter support (USB_SERIAL [=y])
->USB driver for GSM and CDMA modems (NEW)
[/code]
außerdem noch:
[code language="css"]
-> Device Drivers
-> USB support (USB_SUPPORT [=y])
-> Support for Host-side USB (USB [=y])
[/code]

Nun compiliert man den ggfs. den Kernel neu und rebootet. Dann die Karte hereinstecken und man sieht im dmesg:

[code language="css"]Apr 24 12:47:02 d400 ohci_hcd 0000:02:00.1: OHCI Host Controller
Apr 24 12:47:02 d400 ohci_hcd 0000:02:00.1: new USB bus registered, assigned bus number 6
Apr 24 12:47:02 d400 ohci_hcd 0000:02:00.1: irq 11, io mem 0x38001000
Apr 24 12:47:02 d400 usb usb6: configuration #1 chosen from 1 choice
Apr 24 12:47:02 d400 hub 6-0:1.0: USB hub found
Apr 24 12:47:02 d400 hub 6-0:1.0: 1 port detected
Apr 24 12:47:02 d400 usb usb6: New USB device found, idVendor=1d6b, idProduct=0001
Apr 24 12:47:02 d400 usb usb6: New USB device strings: Mfr=3, Product=2, SerialNumber=1
Apr 24 12:47:02 d400 usb usb6: Product: OHCI Host Controller
Apr 24 12:47:02 d400 usb usb6: Manufacturer: Linux 2.6.24-mm1 ohci_hcd
Apr 24 12:47:02 d400 usb usb6: SerialNumber: 0000:02:00.1
Apr 24 12:47:05 d400 usb 6-1: new full speed USB device using ohci_hcd and address 2
Apr 24 12:47:05 d400 usb 6-1: configuration #1 chosen from 1 choice
Apr 24 12:47:05 d400 usb 6-1: New USB device found, idVendor=05c6, idProduct=1000
Apr 24 12:47:05 d400 usb 6-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
Apr 24 12:47:05 d400 usb 6-1: Product: USB MMC Storage
Apr 24 12:47:05 d400 usb 6-1: Manufacturer: Qualcomm, Incorporated
Apr 24 12:47:05 d400 usb 6-1: SerialNumber: 000000000002[/code]

Zum “Switchen” der Karte braucht man usb_modeswitch, nehmt die aktuelle Version 0.9.4beta2, die “stabile” Version 0.9.3 hat teils Probleme mit udev und funktioniert bei mir (udev-119, Kernel 2.6.25-r1) nicht! Das Entpacken funktioniert wie üblich, configure ist nicht nötig, zum Compilieren reicht in simples gcc -l usb -o usb_modeswitch usb_modeswitch.c oder man nimmt einfach gleich compile.sh, welches danach noch strip’pt.
Unter Gentoo gibt es hier ein fertiges ebuild, die Installation funktioniert wie folgend beschrieben:

[code language="css"]mkdir -p /root/OVERLAY/sys-apps/usb_modeswitch/files
wget http://bugs.gentoo.org/attachment.cgi?id=150886 -O \
/root/OVERLAY/sys-apps/usb_modeswitch/usb_modeswitch-0.9.4_beta2.ebuild
wget http://bugs.gentoo.org/attachment.cgi?id=150887 -O \
/root/OVERLAY/sys-apps/usb_modeswitch/files/91-usb_modeswitch.rules.udev-ge-106
wget http://bugs.gentoo.org/attachment.cgi?id=150889 -O \
/root/OVERLAY/sys-apps/usb_modeswitch/files/91-usb_modeswitch.rules.udev-lt-106
PORTAGE_OVERLAY="/root/OVERLAY"
cd /root/OVERLAY/sys-apps/usb_modeswitch
ebuild usb_modeswitch-0.9.4_beta2.ebuild digest merge[/code]

Hoffentlich ist das bald auch in der Portage, man hat ja immer alles gerne aus einem Guss! Nach dem Ausführen von usb_modeswitch solltet ihr dann so etwas sehen:

[code language="css"]Apr 24 12:49:19 d400 usb 6-1: USB disconnect, address 2
Apr 24 12:49:21 d400 usb 6-1: new full speed USB device using ohci_hcd and address 3
Apr 24 12:49:21 d400 usb 6-1: configuration #1 chosen from 1 choice
Apr 24 12:49:21 d400 usb 6-1: New USB device found, idVendor=0af0, idProduct=6701
Apr 24 12:49:21 d400 usb 6-1: New USB device strings: Mfr=1, Product=2, SerialNumber=4
Apr 24 12:49:21 d400 usb 6-1: Product: Globetrotter HSDPA Modem
Apr 24 12:49:21 d400 usb 6-1: Manufacturer: Option N.V.
Apr 24 12:49:21 d400 usb 6-1: SerialNumber: Serial Number
Apr 24 12:49:21 d400 usbcore: registered new interface driver usbserial
Apr 24 12:49:21 d400 drivers/usb/serial/usb-serial.c: USB Serial support registered for generic
Apr 24 12:49:21 d400 usbcore: registered new interface driver usbserial_generic
Apr 24 12:49:21 d400 drivers/usb/serial/usb-serial.c: USB Serial Driver core
Apr 24 12:49:21 d400 drivers/usb/serial/usb-serial.c: USB Serial support registered for GSM modem (1-port)
Apr 24 12:49:21 d400 option 6-1:1.0: GSM modem (1-port) converter detected
Apr 24 12:49:21 d400 usb 6-1: GSM modem (1-port) converter now attached to ttyUSB0
Apr 24 12:49:21 d400 option 6-1:1.1: GSM modem (1-port) converter detected
Apr 24 12:49:21 d400 usb 6-1: GSM modem (1-port) converter now attached to ttyUSB1
Apr 24 12:49:21 d400 option 6-1:1.2: GSM modem (1-port) converter detected
Apr 24 12:49:21 d400 usb 6-1: GSM modem (1-port) converter now attached to ttyUSB2
Apr 24 12:49:21 d400 usbcore: registered new interface driver option
Apr 24 12:49:21 d400 drivers/usb/serial/option.c: USB Driver for GSM modems: v0.7.1[/code]

Nun kann man die Karte über /dev/ttyUSB0 wie ein normales AT-Modem benutzen und seine ppp-chat-Scripte damit laufen lassen, ihr findet eins z.B. im Gentoo-Wiki. Man sollte diese ggfs. nach seinen eigenen Bedürfnissen erweitern/abändern. Ich benutze:

[code language="css"]# /etc/ppp/peers/umtscard
/dev/ttyUSB0
connect '/usr/sbin/chat -v -f /etc/ppp/peers/umtscard-chatscript-connect'
disconnect '/usr/sbin/chat -v -f /etc/ppp/peers/umts-chatscript-disconnect'
defaultroute
noipdefault
460800
usepeerdns
nopcomp
local[/code]
[code language="css"]# /etc/ppp/peers/umtscard-chatscript-connect
TIMEOUT 10
ECHO ON
ABORT '\nBUSY\r'
ABORT '\nERROR\r'
ABORT '\nNO ANSWER\r'
ABORT '\nNO CARRIER\r'
ABORT '\nNO DIALTONE\r'
ABORT '\nRINGING\r\n\r\nRINGING\r'
'' \rAT
TIMEOUT 30
OK ATZ
OK AT&F
OK AT+CPIN="XXXX"
OK AT_OPSYS=3,2
TIMEOUT 60
OK 'AT+cgdcont=1,"IP","surfo2"'
OK ATD*99***1#
CONNECT[/code]
[code language="css"]# /etc/ppp/peers/umts-chatscript-disconnect
ABORT "BUSY"
ABORT "ERROR"
ABORT "NO DIALTONE"
SAY "\nSending break to the modem\n"
"" "\K"
"" "\K"
"" "\K"
"" "+++ATH"
"" "+++ATH"
"" "+++ATH"[/code]

Mit pon umtscard gehts dann in die Weiten des Internets!

Wer mag, kann das “Umswitchen” der Karte auch automatisch beim Einstecken durch udev vornehmen lassen, wie das geht, schaut ihr am Besten direkt auf der Homepage von usb_modeswitch nach.

Eine Warnung zum Schluss: Seid mit den APNs vorsichtig und kontrolliert sie genaustens – ihr könnt euch sonst eine echt horrende Rechnung bescheren!

Letzte Woche traf mich eine riesige Flut an Backscatter Mails und spammte meine Mailbox zu. Tausende Emails von diversen MAILER-DAEMONs, Spam- und Virenscannern durfte ich aus meinem Postfach löschen.

Solche Rückläufer entstehen häufig durch fehlerhaft konfigurierte Mailserver, die eine Unzustellbarkeitsnachricht an den vermeintlichen – natürlich gefälschten – Absender der Spammail schicken, falls der Empfänger auf dem Zielsystem nicht existiert. Das richtige Verhalten besteht darin, die Mail bereits im SMTP Dialog abzuweisen und somit gar nicht erst in die Mailqueue aufzunehmen. Mit Postfix stehen u.a. folgende Möglichkeiten zur Verfügung, um nicht selbst zur Backscatter-Schleuder zu werden:

reject_unverified_recipient
Der verify Daemon überprüft, ob der Empfänger auf dem eigenen System existiert. Dafür muss auf dem Zielsystem VRFY erlaubt sein und nicht die Option disable_vrfy_command gesetzt sein. Doch Obacht: Spammer nutzen gerne VRFY, um echte Email Adressen zu finden. Der Zielhost sollte also nach Möglichkeit nicht öffentlich erreichbar sein und selbstverständlich auf Empfänger prüfen.
Kleiner Nachteil dieser Methode: Ist der Zielhost down, werden Emails generell abgelehnt und nicht in der Mailqueue aufgenommen. Der richtige Ort für diese Option findet sich bei den smtpd_recipient_restrictions.

reject_unlisted_recipient
Mit dieser Option wird die Email nur angenommen, wenn der Empfänger in einer der hier genannten Postfix Maps gelistet ist. Diese Lösung ist performanter als die vorherige, da hier nicht mehrere Systeme angefragt werden müssen. Entweder setzt man die Option bei den smtpd_recipient_restrictions oder als einzelnen Parameter mit smtpd_reject_unlisted_recipient.

Backscatter hat sich zunehmend als Problem herausgestellt, für das es auf Seite der gefälschten Absender kaum praxistaugliche Möglichkeiten zur Gegenwehr gibt. Unzustellbarkeitsnachrichten sind Teil des SMTP RFC und es ist keine gute Idee, solche Bounce Messages generell zu löschen bzw. herauszufiltern. Dennoch sollte man alles versuchen selber unnötige DSN und NDN Nachrichten zu vermeiden.

Links:
Postfix smtpd_recipient_restrictions
Postfix Address Verification README

Ein Spickzettel für vim und eine Übersicht über reguläre Ausdrücke finden sich in älteren Blogeinträgen.

Originalbeitrag des Autors vom awk Spickzettel
Originalbeitrag des Autors vom sed Spickzettel

Ultimate Boot CD

Auf dieser ultimativen Boot CD finden sich unentbehrliche Tools zur System- und Hardwarediagnose: RAM-, CPU- und Festplattenchecks, Programme zur Dateisystemüberprüfung und zum Auslesen von Systeminformationen. Zusätzlich lassen sich Stresstests und Benchmarks durchführen, das System auf Viren überprüfen, Windows Passwörter ändern und minimale DOS und Linux Umgebungen starten.

grml

Diese Linux Live-CD auf Debian Basis bietet alles, was das Sysadmin Herz begehrt. Unter den über 2.500 Programmen finden sich nmap, tcpdump und Wireshark, Amanda und Bacula Client bzw. Server, Dateisystemtreiber für NTFS, SMB uvm., rkhunter und chkrootkit und unzählige weitere Programme, die in einer ausführlichen Liste aufgeführt werden.

FreeSBIE

FreeSBIE ist eine Live-CD auf FreeBSD Basis mit einer kompletten grafischen Gnome-Oberfläche. Dadurch eignet sich die CD optimal, um ein System mit FreeBSD zu retten. Nebenbei gibt es alle wichtigen Tools, die man zu Diagnosezwecken benötigt.

Super Grub Disk

Mit der Super Grub Disk lässt sich der MBR einer Grub oder Lilo Installation reparieren und beinahe automatisch wiederherstellen. Das ganze läuft menügesteuert und benutzergeführt ab, so dass auch ohne Kenntnisse des Bootmanagers oder der installierten Betriebssysteme der Master Boot Record repariert werden kann.

Welche empfehlenswerten Live-CDs gibt es sonst noch? Was fehlt in meiner Sammlung? Was nutzen andere? Ich bin gespannt auf weitere Empfehlungen und Tipps.

Links:
Ultimate Boot CD Homepage
grml Homepage
FreeSBIE Homepage
Super Grub Disk Homepage

Unter serversniff.de findet man ähnliche Dienstleistungen wie bei DNS Stuff. Am Interessantesten finde ich dem Domainreport, der ein sehr informatives und übersichtliches Diagramm über die abgefragte Domainstruktur erstellt. Alle angebotenen Tools sind kostenfrei mit einem Internetbrowser zu nutzen.

via Glorf IT.

[sourcecode language="php"]:charset=UTF-8:\
:lang=de_DE.UTF-8:
[/sourcecode]

Diese beiden Zeilen können entweder der default Login Klasse oder eine neuen Klasse hinzugefügt werden. Nun muss die /etc/login.conf noch in eine Datenbank umgewandelt werden, die schneller verarbeitet werden kann, als eine gewöhnliche Textdatei:

[sourcecode language="php"]cap_mkdb /etc/login.conf[/sourcecode]

Nun kann man auf seinem System mit der UTF-8 Kodierung arbeiten und Probleme beim Dateitransfer zwischen anderen Unicode Systemen wie z.B. Linux vermeiden. Zusätzlich ist die Ländereinstellung nun auf de_DE, so dass Texte der einzelnen Programme auf deutsch erscheinen.

• 10 einfache E-Mail-Tipps
• Wann man E-Mail verwenden sollte und wann nicht
• Wie man E-Mail effektiv einsetzt
• Wie E-Mails professionell aussehen
• Wie du schnellere Antworten auf deine E-Mails bewirkst
• E-Mail-Stress vermeiden
• Weitere Artikel zum Thema E-Mail

Dovecot bringt hierfür eine Lösung mit, die alles automatisch nach Kleinbuchstaben konvertiert. Möchte man den Pfad des Maildirs mit der lowercase Funktion L angeben, kann das so aussehen:

[sourcecode language="css"]mail_location = maildir:/var/mail/%Ld/%Ln[/sourcecode]

L steht für lowercase, d für den Domainpart und n für den Benutzerpart. Der Pfad vom o.g. Benutzer sieht also wie folgt aus: /var/mail/mydomain.de/hans.mustermann. Das Ganze lässt sich auch für die Authentifizierung verwenden:

[sourcecode language="css"]auth_username_translation = %Lu[/sourcecode]

Nun wird der volle Benutzername samt Domainpart (=u) in Kleinbuchstaben gegen die in Dovecot eingestellte Nutzerdatenquelle authentifiziert.

check_swraid (Download):
Das Plugin check_swraid dient zum Monitoring von Linux MD Devices. Mittels einfachem Aufruf von check_swraid wird hierbei /proc/mdstat überprüft. Geschrieben ist das Plugin in Python.

check_geom (Download):
Mit check_geom lassen sich FreeBSD GEOM Devices überwachen. Aufgerufen wird das in Perl geschriebene Plugin mit check_geom . geom class könnte z.B. mirror (=RAID1) oder stripe (=RAID0) sein.

Für Hardware-RAIDs gibt es leider keine solchen generischen Plugins, da jeder Hersteller eigene Tools anbietet, die unterschiedlich aufgerufen werden wollen. Natürlich gibt es für unterschiedliche RAID-Controller auch unterschiedliche Tools bzw. Abfrageparameter. Wieder ein kleiner Pluspunkt für das Software-RAID.

Infizierte Maschinen aus Botnetzen nehmen eine Verbindung zum jeweiligen Mailserver vor und nutzen dem SMTP-Timeout vollkommen aus (default bei Postfix: 300s). Dadurch geht eine SMTP Verbindungs-Slot für ganze 5 Minuten verloren und kann nicht von anderen Clients genutzt werden. Durch diesen DDoS sind die vorhandenen 100 gleichzeitigen smtpd Prozesse von Postfix schnell aufgebraucht. Da es sich um viele verschiedene Clients handelt kann man keine direkten IPs sperren, was also tun, außer die smtpd Prozesse zu erhöhen?

Folgende Einstellungen brachten bei mir Erfolg. Zuerst wird der SMTP-Timeout heruntergeschraubt – warum soll ein Client 300s lang eine Verbindung beibehalten dürfen, ohne Daten zu übertragen?

[sourcecode language="css"]smtpd_timeout = 30s[/sourcecode]

Außerdem braucht ein Client nicht mehr als 20 gleichzeitige Verbindungen.

[sourcecode language="css"]smtpd_client_connection_count_limit = 20[/sourcecode]

Hiermit konnte ich die Verbindungen vorerst bändigen. Ist dies die Rache der Spammer für Greylisting, Tarpitting und Co?