UseDNS no

Danach macht der SSH Server den Reverse Lookup nicht mehr und das Einloggen geht schneller.
Update: Ich habe festgestellt dass DNS mit Iptables nicht erlaubt war, darum war das Login langsamer. Also besser nochmals die Konfiguration prüfen bevor man etwas an der Konfiguration ändert ;-).

Schlussendlich durchläuft der Verkehr diese Punkte: Computer –> SSL-Explorer –> Squid3 –> Privoxy (unerwünschte Inhalte filtern) –> Havp (Virenschutz) –> Internet.

Die Installation ist sehr einfach und die Befehle können 1:1 in die Konsole kopiert werden. Das Tutorial wurde auf einem Debian x86 Squeeze erstellt.

Java installieren

echo 'deb http://ftp.ch.debian.org/debian/ squeeze main non-free contrib' >> /etc/apt/sources.list 
aptitude update 
aptitude install ant build-essential zip unzip sun-java6-bin sun-java6-jre -y

Debian konfigurieren, damit das installierte Java verwendet wird

update-alternatives --config java 
update-alternatives --config javac

SSL-Explorer installieren
SSL-Explorer herunterladen und entpacken

wget http://downloads.sourceforge.net/project/sslexplorer/SSL-Explorer%201.0/1.0.0_RC17/sslexplorer-1.0.0_RC17-src.zip?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fsslexplorer%2F&ts=1329904674&use_mirror=switch
unzip sslexplorer-1.0.0_RC17-src.zip*
mv sslexplorer-1.0.0_RC17 sslexplorer

Ordner erstellen und Datei kopieren (ansonsten schlägt die Installation fehl)

mkdir /usr/lib/jvm/java-6-sun-1.6.0.26/lib/ 
cp sslexplorer/sslexplorer/lib/tools.jar /usr/lib/jvm/java-6-sun-1.6.0.26/lib/

SSL-Explorer installieren

ant install

Wenn diese Zeilen erscheinen, die Addresse öffnen, den SSL-Explorer konfigurieren und die Installation abschliessen.

install:
     [java] Starting installation wizard.....Point your browser to http://192.168.2.20:28080.
     [java]
     [java] Press CTRL+C or use the 'Shutdown' option from the web interface to leave the installation wizard.
     [java] .

SSL-Explorer als Service installieren

ant install-service
chmod 700 /opt/sslexplorer/sslexplorer/install/platforms/linux/sslexplorer
chmod 700 /opt/sslexplorer/sslexplorer/install/platforms/linux/x86/wrapper
/etc/init.d/sslexplorer start

Proxies und Virenschutz installieren

aptitude install squid3 privoxy libclamav-dev clamav clamav-freshclam -y 
cd /opt wget http://archive.ubuntu.com/ubuntu/pool/universe/h/havp/havp_0.92a-2_i386.deb 
dpkg -i havp_0.92a-2_i386.deb

Squid konfigurieren
Squid übergibt den Verkehr nur an Privoxy (127.0.0.1:8118)

echo 'cache_peer 127.0.0.1 parent 8118 0 no-query no-digest no-netdb-exchange default' >> /etc/squid3/squid.conf 
echo 'never_direct allow all' >> /etc/squid3/squid.conf

Squid kann nur von localhost benutzt werden

sed -i 's/http_port 3128/http_port localhost:3128/g' /etc/squid3/squid.conf
/etc/init.d/squid3 restart

Privoxy konfigurieren
Privoxy übergibt den Verkehr an Havp

echo 'forward / 127.0.0.1:3129' >> /etc/privoxy/config
/etc/init.d/privoxy restart

Havp konfigurieren
Havp kann nur von localhost benutzt werden

sed -i 's/# BIND_ADDRESS 127.0.0.1/BIND_ADDRESS 127.0.0.1/g' /etc/havp/havp.config

Den Port von 8080 auf 3129 umstellen

sed -i 's/# PORT 8080/PORT 3129/g' /etc/havp/havp.config
/etc/init.d/havp stop
/etc/init.d/havp start

Den Tunnel im SSL-Explorer konfigurieren
„SSL Tunnels“ –> „Create Tunnel“.
Bei „Name:“ und „Description:“ Proxy eintragen.
„Source Interface“ 127.0.0.1
„Source Port“ 3128
„Destination Host“ localhost
„Destination Port“ 3128
Den Tunnel starten und beim Browser den Proxy localhost:3128 einrichten.

Fertig ist der eigene Proxy mit Filter und Virenschutz über SSL-Explorer.

Weitere Schritte
Dies ist nur die Grundkonfiguration, damit der Proxy läuft. Folgende Schritte könnten zum Beispiel noch vorgenommen werden:

• Proxy im internen Netzwerk verfügbar machen, damit im internen Netzwerk nicht der SSL-Explorer für den Proxy benutzt werden muss
• Regeln erstellen, wer den Proxy benutzen darf
• Filter Regeln in Privoxy ergänzen
• Squid konfigurieren, dass weitere Dienste wie FTP oder SMTP den Proxy nutzen können
• Havp Webseite anpassen, wenn ein Virus gefunden wird
• Vieles mehr!

Schlusswort
Falls die Anleitung bei einem Schritt nicht / nicht mehr funktioniert, einfach einen Kommentar schreiben, ich werde die Anleitung ergänzen.
Die Anleitung darf nicht dazu benutzt werden, Firewalls von Unternehmen zu umgehen.
Danke an Stefan vom IT Blögg. Mit seinem alten Beitrag konnte ich die Grundkonfiguration erstellen. Er hat den alten Beitrag überarbeitet und einen Neuen veröffentlicht.

Als erstes wird apt-mirror installiert

aptitude install apt-mirror

Die benötigten Ordner werden erstellt, sofern man nicht die Standardordner in der Konfigurationsdatei /etc/apt/mirror.list verwenden möchte

mkdir /media/data11/mirror
mkdir /media/data11/mirror/mirror
mkdir /media/data11/mirror/skel
mkdir /media/data11/mirror/var
chown -R apt-mirror:apt-mirror /media/data11/mirror

Danach wird die Konfigurationsdatei /etc/apt/mirror.list angepasst. Ich benötige nur Debian 64 Bit

############# config ##################
#
set base_path    /media/data11/mirror
#
set mirror_path  $base_path/mirror
set skel_path    $base_path/skel
set var_path     $base_path/var
set cleanscript $var_path/clean.sh
# set defaultarch  
# set postmirror_script $var_path/postmirror.sh
# set run_postmirror 0
set nthreads     20
set _tilde 0
#
############# end config ##############

# deb http://ftp.us.debian.org/debian unstable main contrib non-free
# deb-src http://ftp.us.debian.org/debian unstable main contrib non-free

# mirror additional architectures
#deb-alpha http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-amd64 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-armel http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-hppa http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-i386 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-ia64 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-m68k http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-mips http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-mipsel http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-powerpc http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-s390 http://ftp.us.debian.org/debian unstable main contrib non-free
#deb-sparc http://ftp.us.debian.org/debian unstable main contrib non-free

deb-amd64 http://ftp.ch.debian.org/debian squeeze main
deb-src http://ftp.ch.debian.org/debian squeeze main

deb-amd64 http://ftp.ch.debian.org/debian/ squeeze-updates main
deb-src http://ftp.ch.debian.org/debian/ squeeze-updates main

deb-amd64 http://security.debian.org/ squeeze/updates main
deb-src http://security.debian.org/ squeeze/updates main

clean http://ftp.ch.debian.org/debian squeeze main
clean http://ftp.ch.debian.org/debian/ squeeze-updates main
clean http://security.debian.org/ squeeze/updates main

Nun wechselt man zum Benutzer apt-mirror und erstellt den Mirror. Der Mirror wurde bei mir ca. 61GB gross.

su apt-mirror
apt-mirror

Ist der Mirror erstellt, muss er noch mit einem Webserver verfügbar gemacht werden

aptitude install apache2

Danach müssen die Dateien noch verlinkt werden, damit sie über den Webserver erreichbar sind

ln -s /media/data11/mirror/mirror/ftp.ch.debian.org/debian /var/www/debian
ln -s /media/data11/mirror/mirror/security.debian.org/ /var/www/security

Ein Cronjob wurde bei der Installation von apt-mirror schon automatisch angelegt, der Kommentar muss aber noch entfernt werden

root@server:/$ cat /etc/cron.d/apt-mirror
#
# Regular cron jobs for the apt-mirror package
#
0 4    * * *   apt-mirror      /usr/bin/apt-mirror > /var/spool/apt-mirror/var/cron.log

Der lokale Spiegelserver (Mirror) ist jetzt erreichbar unter http://IP/. Wer möchte kann natürlich noch einen DNS Eintrag für diese IP erstellen.

Damit die Server den lokalen Spiegelserver (Mirror) benutzen, muss noch die Datei /etc/apt/sources.list bei den Servern angepasst werden. Diese könnte zum Beispiel so aussehen

root@server:~# cat /etc/apt/sources.list
#deb cdrom:[Debian GNU/Linux 6.0.2.1 _Squeeze_ - Official amd64 NETINST Binary-1 20110628-12:58]/ squeeze main

deb http://IP/debian/ squeeze main
deb-src http://IP/debian/ squeeze main

deb http://IP/security/ squeeze/updates main
deb-src http://mirror.voser.local/security squeeze/updates main

deb http://IP/debian/ squeeze-updates main
deb-src http://IP/debian/ squeeze-updates main

Der lokale Spiegelserver (Mirror) kann jetzt ebenfalls für die Netinstallation von Debian verwendet werden.

Natürlich kann auch mit anderen Tools ein Spiegelserver (Mirror) erstellt werden: Debmirror (Ubuntu, funktioniert natürlich auch für Debian wenn man die Sourcen anpasst), Offizielle Anleitung von Debian. Hier noch eine einfache Anleitung auch mit apt-mirror für Ubuntu: Apt-mirror.

Ich habe mich für apt-mirror entschieden, weil die Einrichtung wirklich sehr einfach und schnell ist. Es spielt nicht so eine wichtige Rolle, welches Tool ihr für den Spiegelserver (Mirro) verwendet, denn schlussendlich laden alle Tools die Packete von den Packetservern herunter ;-).

Heute habe ich eine interessante Unterhalten mit jemandem gehabt. Dabei sind wir schnell vom Broadcast auf die MAC-Adresstabelle eines Switches und davon auf MAC flooding gekommen. Damit man das Ganze versteht hole ich ein wenig aus.

Funktionsweise eines Hubs

Wir nehmen an, dass 4 Computer und 1 Webserver an einem Hub angeschlossen sind. Ein Computer greifft nun auf den Webserver zu. Der Hub erhält vom Computer ein Packet, in welchem die MAC-Adresse des Webservers steht. Da der Hub aber keine MAC-Adresstabelle führt, sendet er das Packet aus allen Ports raus. Mit einem Netzwerksniffer, wie zum Beispiel Wireshark, kann somit der Netzwerktraffic von allen 4 Computern inkl. dem Webserver gesnifft werden. Hubs werden heute nur noch selten eingesetzt, da sie unnötig Netzwerktraffic verursachen, sich angeschlossene Geräte die Bandbreite teilen müssen und sie einfach veraltet sind.

Funktionsweise eines Switches

Wir nehmen an, dass 4 Computer und 1 Webserver an einem Switch angeschlossen sind. Ein Computer greifft nun auf den Webserver zu. Der Switch erhält vom Computer ein Packet, in welchem die MAC-Adresse des Webservers steht. Da er den Webserver noch nicht kennt, sendet er das Packet aus allen Ports raus. Der Webserver meldet sich beim Switch, hey das Packet ist für mich, ich habe diese MAC-Adresse. Jetzt kommt der Unterschied zum Hub. Der Switch trägt jetzt die MAC-Adresse des Webserver und den Port in einer MAC-Adresstabelle ein. Kommt wieder ein Packet, in welchem die MAC-Adresse des Webserver steht, weiss der Switch aus welchem Port er das Packet senden muss. Er sendet das Packet nur noch aus dem richtigen Port und nicht mehr aus allen Ports raus. Somit kann der Netzwerktraffic nicht mehr von einem Gerät, dass am Hub angeschlossen ist, gesnifft werden.

Den Switch zu einem Hub machen

Der Speicherplatz des Switches für die MAC-Adresstabelle ist beschränkt. Ist der Speicher voll, werden die ältesten Einträge gelöscht und die Neuen werden eingetragen. Dabei muss ein Packet wieder mindestens einmal aus allen Ports versendet werden, damit der Switch wieder die Zuordung von MAC-Adresse zu Port hat. Flutet man den Switch mit unsinnigen MAC-Adressen, ist die MAC-Adresstabelle ständig voll und Packete müssen wieder an alle im Netzwerk versendet werden, weil die Zuordung von MAC-Adresse zu Port fehlt. Der Switch wird zu einem Hub. Wie bei einem Hub kann der ganze Netzwerkverkehr gesnifft werden.

Praxis

Tja, da das Gesetz in der Schweiz ebenfalls enger wurde werde ich mich hüten, hier eine Schritt für Schritt Anleitung zu erstellen. Schade, hätte ich gerne gezeigt ^^. Wie man aber einen Switch oder ein LAN mit MAC-Adressen fluten kann findet man sehr schnell im Internet und wie man Packete snifft wissen die meisten Leser dieses Blogs ebenfalls ;-). Hier gibt es ein gutes Video, das zeigt, wie bei einem CISCO Switch ein Angriff abgewehrt werden kann: Cisco Layer 3 Switch MAC Flood Attack.

Vorteile und Nachteile des Angriffs

Vorteile

• Sehr einfach umzusetzen
• Funktioniert in einfachen Netzwerken wie zum Beispiel Heimnetzwerk
• Für Lernzweck geeignet

Nachteile

• Erzeugt starke Last im Netzwerk
• Angriff wird sehr einfach entdeckt
• Teurere Switches haben einen grösseren Speicher für die MAC-Adresstabelle
• Teurere Switches haben diverse Sicherheitsmechanismen um den Angriff abzuwehren

Fazit

Dieser Angriff ist sehr einfach umzusetzen, kann dementsprechend auch sehr einfach erkannt und abgewehrt werden. Flutet man einen Switch mit MAC-Adressen wird dies als Angriff gewertet, also auf keine Fall in einem fremden Netzwerk, sondern nur im eigenen Netzwerk testen.

Ich gehe nach dem Motto, Angriff ist die beste Verteidigung. Nur wenn man Angriffe kennt, kann man diese auch abwehren ;-).

Ich fragte mich, wie upgrade ich mein Debian 5 (Lenny) denn eigentlich richtig auf Debian 6 (Squeeze)? Ich wurde schnell fündig. Debian stellt eine sehr deteillierte Anleitung für das Upgrade zur Verfügung:? Upgrade von Debian 5.0 (Lenny). Der Beitrag orientiert sich darum an dieser Anleitung.

Der folgende Beitrag ist nicht die perfekte Anleitung wie man Debian 5 (Lenny) auf Debian 6 (Squeeze) upgraded, denn jedes System ist anders und es können beim Upgrade je nachdem unterschiedliche Probleme entstehen. Um das Ganze zu vereinheitlichen habe ich Debian 5 (Lenny) frisch auf meinem Citrix XenServer installiert und upgrade es in diesem Beitrag auf Debian 6 (Squeeze). Das Upgrade funktioniert bei einem 0815 System nach diesem Beitrag.

In der Anleitung von Debian wird zum Upgrade apt-get anstatt aptitude empfohlen.

Inhalt

Vorarbeiten
Systemstatus prüfen
Aufzeichnung starten
Quellen anpassen
Minimales System Upgrade
Upgrade des Systems
System aufräumen
Schlusswort

Vorarbeiten

Vom System sollte unbedingt ein Backup erstellt werden. Dabei habe ich einfach die Verzeichnisse /etc, /var, /root, /home und die Datenpartitionen gesichert. Bei einer Neuinstallation könnte ich so das System wieder zum Laufen bekommen.

Das Paket splashy macht Probleme beim Upgrade und sollte darum vor dem Upgrade entfernt werden mit

apt-get purge splashy

Systemstatus prüfen

Das System sollte vor dem Upgrade auf dem aktuellsten Stand sein. Also noch kurz Debian 5 (Lenny) aktualisieren

apt-get update apt-get upgrade Reading package lists... Done Building dependency tree Reading state information... Done 0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Prüfen, ob fehlerhaft installierte Packete vorhanden sind

dpkg --audit

Prüfen, ob es Packete gibt die auf hold gesetzt sind. Diese sollten vor dem Upgrade entfernt werden.

dpkg --get-selections | grep hold

Aufzeichnung starten

Vor dem Upgrade kann man mit

~/upgrade-squeeze.time -a ~/upgrade-squeeze.script

jede Ausgabe auf der Konsole in eine Datei umleiten. Dies hilft später bei der Fehleranalyse und das komplette Upgrade ist an jeder Stelle nachvollziehbar.

Quellen anpassen

In der Datei /etc/apt/sources.list müssen die alten Quellen auskommentiert und die neuen Quellen hinzugefügt werden. Die alte /etc/apt/sources.list sieht so aus:

# deb http://ftp.ch.debian.org/debian/ lenny main deb http://ftp.ch.debian.org/debian/ lenny main deb-src http://ftp.ch.debian.org/debian/ lenny main deb http://security.debian.org/ lenny/updates main deb-src http://security.debian.org/ lenny/updates main deb http://volatile.debian.org/debian-volatile lenny/volatile main deb-src http://volatile.debian.org/debian-volatile lenny/volatile main

Die neue /etc/apt/sources.list sieht so aus:

# deb http://ftp.ch.debian.org/debian/ lenny main # deb http://ftp.ch.debian.org/debian/ lenny main # deb-src http://ftp.ch.debian.org/debian/ lenny main # deb http://security.debian.org/ lenny/updates main # deb-src http://security.debian.org/ lenny/updates main # deb http://volatile.debian.org/debian-volatile lenny/volatile main # deb-src http://volatile.debian.org/debian-volatile lenny/volatile main deb http://ftp.ch.debian.org/debian/ squeeze main deb-src http://ftp.ch.debian.org/debian/ squeeze main deb http://security.debian.org/ squeeze/updates main deb-src http://security.debian.org/ squeeze/updates main

Debian 6 (Squeeze) ist auf http://volatile.debian.org/debian-volatile/dists/ nicht vorhanden, wesshalb ich diese Quelle auch auskommentiert habe.

Die Liste der neuen Packete aktualisieren

apt-get update Get:1 http://ftp.ch.debian.org squeeze Release.gpg [1671B] Ign http://ftp.ch.debian.org squeeze/main Translation-en_US Get:2 http://ftp.ch.debian.org squeeze Release [69.3kB] Get:3 http://security.debian.org squeeze/updates Release.gpg [835B] Ign http://security.debian.org squeeze/updates/main Translation-en_US Get:4 http://security.debian.org squeeze/updates Release [38.4kB] Get:5 http://ftp.ch.debian.org squeeze/main Packages [8631kB] Get:6 http://security.debian.org squeeze/updates/main Packages [26.2kB] Get:7 http://security.debian.org squeeze/updates/main Sources [8049B] Get:8 http://ftp.ch.debian.org squeeze/main Sources [4822kB] Fetched 13.6MB in 5s (2389kB/s) Reading package lists... Done

Wenn alle Quellen schön durchlaufen sind die Quellen ok. Erscheint bei einer Quelle ein Fehler muss diese Quelle noch korrigiert werden.

Prüfen, ob genügend Speicherplatz für das Upgrade zur Verfügung steht

apt-get -o APT::Get::Trivial-Only=true dist-upgrade Reading package lists... Done Building dependency tree Reading state information... Done Calculating upgrade... Done The following packages will be REMOVED: ... The following NEW packages will be installed: ... 207 upgraded, 64 newly installed, 2 to remove and 0 not upgraded. Need to get 139MB of archives. After this operation, 168MB of additional disk space will be used. E: Trivial Only specified but this is not a trivial operation.

Minimales System Upgrade

Das minimale System Upgrade durchführen

apt-get upgrade

Den aktuellen Kernel ausgeben

uname -r 2.6.26-2-686-bigmem

Den neuen Kernel suchen

apt-cache search linux-image-2.6 linux-headers-2.6.32-5-486 - Header files for Linux 2.6.32-5-486 linux-headers-2.6.32-5-686-bigmem - Header files for Linux 2.6.32-5-686-bigmem linux-headers-2.6.32-5-686 - Header files for Linux 2.6.32-5-686 linux-headers-2.6.32-5-amd64 - Header files for Linux 2.6.32-5-amd64 linux-headers-2.6.32-5-openvz-686 - Header files for Linux 2.6.32-5-openvz-686 linux-headers-2.6.32-5-vserver-686-bigmem - Header files for Linux 2.6.32-5-vserver-686-bigmem linux-headers-2.6.32-5-vserver-686 - Header files for Linux 2.6.32-5-vserver-686 linux-headers-2.6.32-5-xen-686 - Header files for Linux 2.6.32-5-xen-686 linux-image-2.6.32-5-486 - Linux 2.6.32 for old PCs linux-image-2.6.32-5-686-bigmem-dbg - Debugging infos for Linux 2.6.32-5-686-bigmem linux-image-2.6.32-5-686-bigmem - Linux 2.6.32 for PCs with 4GB+ RAM linux-image-2.6.32-5-686 - Linux 2.6.32 for modern PCs linux-image-2.6.32-5-amd64 - Linux 2.6.32 for 64-bit PCs linux-image-2.6.32-5-openvz-686-dbg - Debugging infos for Linux 2.6.32-5-openvz-686 linux-image-2.6.32-5-openvz-686 - Linux 2.6.32 for modern PCs, OpenVZ support linux-image-2.6.32-5-vserver-686-bigmem-dbg - Debugging infos for Linux 2.6.32-5-vserver-686-bigmem linux-image-2.6.32-5-vserver-686-bigmem - Linux 2.6.32 for PCs with 4GB+ RAM, Linux-VServer support linux-image-2.6.32-5-vserver-686 - Linux 2.6.32 for modern PCs, Linux-VServer support linux-image-2.6.32-5-xen-686-dbg - Debugging infos for Linux 2.6.32-5-xen-686 linux-image-2.6.32-5-xen-686 - Linux 2.6.32 for modern PCs, Xen dom0 support linux-image-2.6-486 - Linux 2.6 for old PCs (meta-package) linux-image-2.6-686-bigmem - Linux 2.6 for PCs with 4GB+ RAM (meta-package) linux-image-2.6-686 - Linux 2.6 for modern PCs (meta-package) linux-image-2.6-amd64 - Linux 2.6 for 64-bit PCs (meta-package) linux-image-2.6-openvz-686 - Linux 2.6 for modern PCs (meta-package), OpenVZ support linux-image-2.6-vserver-686-bigmem - Linux 2.6 for PCs with 4GB+ RAM (meta-package), Linux-VServer support linux-image-2.6-vserver-686 - Linux 2.6 for modern PCs (meta-package), Linux-VServer support linux-image-2.6-xen-686 - Linux 2.6 for modern PCs (meta-package), Xen dom0 support linux-image-2.6.26-2-686-bigmem - Linux 2.6.26 image on PPro/Celeron/PII/PIII/P4

Neuen Kernel installieren

apt-get install linux-image-2.6.32-5-686-bigmem

Das neue udev Packet installieren

apt-get install udev

Das System muss jetzt neugestartet werden. Nach einem Reboot ist der neue Kernel installiert

uname -r 2.6.32-5-686-bigmem

Upgrade des Systems

Das vollständige System Upgrade durchführen

apt-get dist-upgrade

Grub 2 in den MBR installieren

upgrade-from-grub-legacy rm -f /boot/grub/menu.lst*

Führt man diese beiden Befehl nicht aus, befindet sich meines Wissens immer noch Grub 1 im MBR und das System kann nicht mehr booten. Dies führt im Citrix XenServer zu dieser Fehlermeldung

Using to parse /grub/menu.lst - Traceback (most recent call last): - File "/usr/bin/pygrub", line 746, in ? - raise RuntimeError, "Unable to find partition containing kernel" - RuntimeError: Unable to find partition containing kernel

System aufräumen

Nicht mehr benötigte Packete entfernen

apt-get autoremove Reading package lists... Done Building dependency tree Reading state information... Done The following packages will be REMOVED: libbind9-50 libisccc50 libisccfg50 liblwres50 x11-common 0 upgraded, 0 newly installed, 5 to remove and 0 not upgraded. After this operation, 1,069 kB disk space will be freed. Do you want to continue [Y/n]? Y

Schlusswort

Das Upgrade war erfolgreich und meine VMs sind jetzt auf Debian 6 (Squeeze) aktualisiert. Wenn ihr 100% sicher gehen wollt, dass nichts schief geht, lest euch die Anleitung von Debian durch: Upgrade von Debian 5.0 (Lenny).

Habt ihr das Upgrade auf Debian 6 (Squeeze) schon gewagt?

Subversion Logo

In diesem Beitrag schreibe ich darüber, wie man Subversion (SVN) von A bis Z auf seinem Server einrichtet. Das Tutorial geht quasi von Nichts bis zum ersten externen Subversion (SVN) Checkout. Zudem wird auch Dropbox in den Beitrag miteinbezogen. Der Beitrag kann 1:1 ausprobiert werden.

Inhalt

Was ist Subversion (SVN)?
Eigener Subversion (SVN) Server vs. Dropbox
Die Umgebung
Die Konfiguration des Subversion (SVN) Servers
Erstes Repository anlegen
Die Konfiguration des externen Zugangs
Die Konfiguration des Clients
Der erste externe Checkout
Subversion (SVN) kombiniert mit Dropbox
Schlusswort
Quellen

Was ist Subversion (SVN)?

Subversion (SVN) ist ein Versionsverwaltungssystem für Dateien und Ordner. Für jede Änderung an einer Datei oder an einem Ordner gibt es eine neue Version. Ältere Versionen von Dateien und Ordner können wenn nötig wiederhergestellt werden.

Ich habe mir aus folgenden Gründen einen Subversion (SVN) Server konfiguriert

• Daten sind über HTTPS von praktisch überall erreichbar
• Daten müssen nicht mehr mit USB von PC zu PC kopiert werden weil sie zentral auf dem Server liegen
• Versionsverwaltungssystem. Schluss mit „Ach, auf welchem PC liegt nun die aktuellste Version der Datei?“
• Backup. Auf jedem Client liegt quasi ein Backup der Daten

Eigener Subversion (SVN) Server vs. Dropbox

Über die Pros und Contras gibt es sicher unterschiedliche Ansichten. Ich freue mich auf die Diskussion in den Kommentaren ;-).

Dropbox Pro

• Benötigt keinen eigenen Server
• Wahrscheinlich höhere Verfügbarkeit als eigener Server
• Dateien und Ordner werden ohne weiteres Skrippten automatisch synchronisiert
• Sehr einfache Bedienung für einen Benutzer

Dropbox Contra

• Speicherplatz nur 2GB (bis zu 10GB gratis)
• Daten sind extern gehostet
• Versionen älter 30 Tage können nicht mehr wiederhergestellt werden

Eigener Subversion (SVN) Server Pro

• Mehr Speicherplatz (hängt natürlich vom Server ab)
• Daten sind nicht extern gehostet
• Keine Zeitlimitierung der Versionen
• Man kann selbst ausprobieren und konfigurieren (grösserer Lerneffekt)
• Grösserer Funktionsumfang als Dropbox (erweiterbar)

Eigener Subversion (SVN) Server Contra

• Ein eigener Server wird benötigt der 24h * 7d läuft
• Ausfälle sind wahrscheinlicher
• Ein gewisses Know How muss vorhanden sein

Zusammenfassend hat der eigene Subversion (SVN) Server mehr Ressourcen und Dropbox dafür eine höhere Verfügbarkeit, jedoch sind die Daten mit Dropbox extern gehostet. Mit Subversion (SVN) und Dropbox in Kombination kann man das Maximum erreichen.

Umgebung

Dies ist die Umgebung in diesem Beitrag. Eure Umgebung muss nicht exakt die gleiche sein. Bei Unsicherheiten fragt einfach in den Kommentaren oder schreibt mir.

Externer Zugang

• DynDNS Adresse wie zum Beispiel root1024.dyndns.info

Router

• pfSense
• DNS Forwarding konfigurierbar
• DynDNS konfigurierbar

Server

• Aktuelles Debian
• Apache Webserver
• Subversion

Client

• Windows 7
• Tortoise SVN Client

Die Konfiguration des Subversion (SVN) Servers

Apache / Subversion installieren und für die Adresse konfigurieren
Apache / Subversion installieren

aptitude install subversion apache2 libapache2-svn

Neue Seite von der Default Seite kopieren

cp /etc/apache2/sites-available/default /etc/apache2/sites-available/root1024.dyndns.info

Verzeichnis für die neue Seite erstellen

mkdir /var/www/root1024.dyndns.info
touch /var/www/root1024.dyndns.info/index.html
chown -R www-data:www-data /var/www/root1024.dyndns.info/

In /etc/apache2/sites-available/root1024.dyndns.info werden die Werte ServerName und DocumentRoot angepasst

ServerName root1024.dyndns.info # Deine Adresse
DocumentRoot /var/www/root1024.dyndns.info/ # Pfad zum Verzeichnis der Seite

Die Seite aktivieren

a2ensite /etc/apache2/sites-available/root1024.dyndns.info

und apache neustarten

/etc/init.d/apache2 restart

Nachdem wir im DNS Server einen Eintrag von root1024.dyndns.info –> SVN Server IP eingerichtet haben, ist die Webseite jetzt über http://root1024.dyndns.info erreichbar.
Apache um SSL erweitern
Das SSl Modul von Apache aktivieren

a2enmod ssl

Neue Seite von der SSL-Default Seite kopieren

cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/root1024.dyndns.info-ssl

Das SSL Zertifikat erstellen

mkdir /etc/apache2/ssl
openssl req -new -x509 -days 365 -nodes -out /etc/apache2/ssl/apache.pem -keyout /etc/apache2/ssl/apache.pem
ln -sf /etc/apache2/ssl/apache.pem /etc/apache2/ssl/`/usr/bin/openssl x509 -noout -hash < /etc/apache2/ssl/apache.pem`.0
chmod 600 /etc/apache2/ssl/apache.pem

In /etc/apache2/sites-available/root1024.dyndns.info-ssl werden die Werte ServerName, DocumentRoot und SSLCertificateFile angepasst. Die Zeile SSLCertificateKeyFile wird auskommentiert oder entfernt.

ServerName root1024.dyndns.info
DocumentRoot /var/www/root1024.dyndns.info
SSLCertificateFile    /etc/apache2/ssl/apache.pem
#       SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

Ohne Kommentare sieht die Datei so aus

<IfModule mod_ssl.c>
<VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        ServerName root1024.dyndns.info
        DocumentRoot /var/www/root1024.dyndns.info/
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/root1024.dyndns.info/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>

        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>

        ErrorLog /var/log/apache2/error.log

        LogLevel warn

        CustomLog /var/log/apache2/ssl_access.log combined

        Alias /doc/ "/usr/share/doc/"
        <Directory "/usr/share/doc/">
                Options Indexes MultiViews FollowSymLinks
                AllowOverride None
                Order deny,allow
                Deny from all
                Allow from 127.0.0.0/255.0.0.0 ::1/128
        </Directory>

        SSLEngine on

        SSLCertificateFile    /etc/apache2/ssl/apache.pem

        <FilesMatch "\.(cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>

        BrowserMatch ".*MSIE.*" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
</VirtualHost>
</IfModule>

Die Seite aktivieren

a2ensite /etc/apache2/sites-available/root1024.dyndns.info-ssl

und apache neustarten

/etc/init.d/apache2 restart

Die Webseite ist jetzt unter https://root1024.dyndns.info erreichbar.

Erstes Repository anlegen

Ein neues Repository wird mit

mkdir -p /var/local/subversion/projekt
chown -R www-data:www-data /var/local/subversion/projekt
svnadmin create --fs-type fsfs /var/local/subversion/projekt

angelegt. In den Dateien /etc/apache2/sites-available/root1024.dyndns.info und /etc/apache2/sites-available/root1024.dyndns.info-ssl muss noch der Block

<Location /projekt> # Teil der URL https://root1024.dyndns.info/projekt
	DAV svn
	AuthType Basic # oder Digest
	AuthName "Projekt" # Bereichsname bei der Authentifizierung
	AuthUserFile /etc/apache2/subversion.passwd # Pfad zur Datei mit Benutzern und Passwörtern
	SVNPath /var/local/subversion/projekt # Pfad zum Repository
	Require valid-user # Nur gültige Benutzer haben Zugriff auf das Repository
</Location>

hinzugefügt werden. Der erste Benutzer für Subversion (SVN) wird mit

htpasswd -c /etc/apache2/subversion.passwd Benutzer

erstellt. Jeder weitere Benutzer mit

htpasswd /etc/apache2/subversion.passwd Benutzer

Stefan hat mich noch auf AuthType Digest hingewiesen. Mit dieser Einstellung wird bei der Authentifizierung über HTTP das Passwort nicht im Klartext, sondern verschlüsselt gesendet. So kann das Passwort nicht gesnifft werden. Die übertragenen Daten sind jedoch immer noch unverschlüsselt, weshalb man SSL (HTTPS) nutzen sollte! Mit SSL (HTTPS) werden die Authentifizierung und die übertragenen Daten verschlüsselt, somit reicht wenn über SSL (HTTPS) AuthType Basic.

Die Konfiguration des externen Zugangs

DynDNS

Um den Router aus dem Internet zu erreichen verwendet ihr entweder direkt eure öffentliche IP oder ihr richtet bei DynDNS einen Account und eine Adresse ein. Zweites ist empfohlen, wenn ihr eine dynamische öffentliche IP habt. Der Router leitet später die richtigen Anfragen an den Subversion (SVN) Server weiter.

Nachdem ihr einen Account bei DynDNS erstellt und eine Adresse (Hostname) eingerichtet habt, ist euer Router über die Adresse erreichbar. Dies kann einfach mit nslookup geprüft werden.

nslookup root1024.dyndns.info
Server:  Router
Address:  192.168.0.1

Nicht autorisierende Antwort:
Name:    root1024.dyndns.info
Address:  88.198.47.75

Falls die öffentliche IP wechselt muss der Router DynDNS die neue öffentliche IP mitteilen. Dies muss noch am Router konfiguriert werden. Bei pfSense befindet sich die Konfiguration unter „Services –> Dynamic DNS“. Auf dieser Seite den Bereich „Dynamic DNS client“ aktivieren und die Daten ausfüllen mit Adresse (Hostname) wie zum Beispiel root1024.dyndns.info, User und Passwort.

Nun könnt ihr euren Router vom Internet her über die Adresse (Hostname) immer erreichen, auch wenn die öffentliche IP wechselt.

Firewall Regel

Damit der Router alle Anfragen auf Port 443 an den Subversion (SVN) Server weitergibt, muss im Router noch eine Firewall Regel konfiguriert werden. In pfSense geschieht dies unter „Firewall –> NAT“. In pfSense kann die NAT Regel wie folgt konfiguriert werden:

Firewall Regel

DNS Forwarding

Mit einem älteren Router habe ich das Problem gehabt, dass die Anfrage an die Adresse zum Provider ging und vom Provider an meinen Subversion (SVN) Server. Die Geschwindigkeit war aus unerklärlichen Gründen kleiner als 1KB/s. Der Router hat nicht gemerkt, dass die Adresse auf eine IP im internen Netzwerk zeigt. Solltet ihr ähnliche Probleme haben, leitet die Adresse wie zum Beispiel root1024.dyndns.info an eurem DNS Server gleich an die IP des Subversion (SVN) Servers weiter.

Jetzt ist der Subversion (SVN) Server vom Internet via HTTPS (Port 443) und vom internen Netzwerk via HTTPS (Port 443) und HTTP (Port 80) über die Adresse verfügbar.

Die Konfiguration des Clients

Auf dem Windows Client muss nur ein SVN Client wie zum Beispiel TortoiseSVN (download 32 Bit | download 64 Bit) installiert werden. Die Installation von TortoiseSVN benötigt einen Neustart des Computers.

Der erste externe Checkout

Das Repository sollte von extern über einen Browser erreichbar sein. Funktioniert dies ist der erste externe Checkout mit TortoiseSVN schnell erledigt.

Checkout

Subversion (SVN) kombiniert mit Dropbox

Die SVN Daten können in Dropbox ausgelagert werden für den Fall, dass der eigene Subversion (SVN) Server einmal nicht erreichbar sein sollte. Die Daten können einfach mit rsync oder robocopy synchronisiert werden. Die .svn Ordner können in cmd einfach mit

FOR /F "delims=" %var IN ('dir C:\Users\Benutzer\Desktop\projekt /b /s /a:H .svn') DO rmdir /S /Q %a

und unter Linux mit

find /tmp/projekt/ -name .svn -exec rm -r {} \;

gelöscht werden.

Schlusswort

Alles in Allem bin ich mit meinem privaten Subversion (SVN) Server, den ich schon seit ca. 2 Jahren nutze, sehr zufrieden. Ich hoffe der Beitrag hilft euch weiter bei der Installation und Konfiguration von einem Subversion (SVN) Server. Ich muss noch betonen, dass man mit einem eigenen Subversion (SVN) Server sehr viel mehr Möglichkeiten hat als in diesem Beitrag aufgezeigt werden.

Bei Fragen einfach einen Kommentar schreiben oder das Kontaktformular benutzen. Freue mich wie immer über Kritik und Lob.

Quellen

Ubuntuusers Subversion

Ubuntuusers Apache SSL

Wie lange bloggst du schon und seit wann bist du im uu.de-Planeten aktiv?

Den Blog gibt es seit dem Januar 2009. Bald ist der Blog also 2 Jahre alte. Im uu.de-Planeten bin ich aktiv seit heute :D. Ubuntuusers.de kenne ich jedoch schon seit dem Juni 2008.

Während meiner Informatiklehre musste ich mich mit Linux befassen. Nachdem ich Ubuntu das erste Mal auf meinem Laptop installiert hatte gab es natürlich das eine oder andere Problem und ich war auf das Forum von ubuntuusers.de gestossen. Während dem Linuxunterricht konnte ich mich immer mehr mit Linux anfreunden und habe darum die Prüfungen LPI101 und LPI102 absolviert. Auch heute habe ich noch Freude an Linux weshalb zu Hause ein Citrix XenServer mit mehreren Debians läuft.

Warum betreibst du einen Blog?

Anfangs dokumentierte ich Probleme und deren Lösungen über Informatikthemen im Blog. Ich konnte oft auf Beiträge im Blog zurückgreiffen, wenn ich etwas erneut einrichten musste. Ebenfalls wollte ich die Lösungen und Anleitungen niemandem vorenthalten und publizierte diese darum im Blog.

Bald habe ich mehr Spass am Schreiben und Teilen von Informationen über die Informatik mit Anderen bekommen und so wurde der Blog zu meinem Hobby.

Mit welchem Thema beschäftigt sich dein Blog?

Hauptsächlich mit Themen die mit Informatik zu tun haben. Grob gesagt: Windows, Linux, Netzwerk, Programmierung, Security, Virtualisierung, Server, Client und Programmen.

Wie viele Artikel schreibst du im Monat ungefähr?

Je nachdem wie viel Zeit ich habe und auf wie viele interessante Probleme und IT-News ich stosse sind es ca. 2-3 Beiträge im Monat.

Wann und wo schreibst du deine Artikel?

Die Beiträge schreibe ich meist zu Hause in meiner Freizeit wenn ich gerade Lust und Zeit habe.

Wie kommst du auf neue Ideen für Blogbeiträge?

Neue Blogbeiträge entstehen meist, wenn ich auf ein grösseres Problem stosse und ich dessen Lösung dokumentieren möchte oder wenn ich auf eine gute Information in anderen Blogs oder eine interessante IT-News aufmerksam werde. Manchmal vermisse ich einfach eine Anleitung und schreibe nach Zusammensuchen der Informationen eine eigenes Howto.

Hast du (auf deinen Blog bezogen) irgendwelche Pläne für die Zukunft?  Wenn ja, welche?

Weiterhin gute Beiträge schreiben und Informationen mit Anderen teilen.

Was machst du sonst so in deiner Freizeit?

In meiner Freizeit mache ich Sport, gehe in den Ausgang mit Freunden, blogge und geniesse das Leben. Natürlich beschäftige ich mich auch mit Informatik.