About
Accounts
Groups
Friends
-
Loading…sb77 4 months ago -
Loading…sovielsand 4 days ago -
Loading…Jonathan159 2 days ago -
Loading…Reckon 7 days ago
Click here to check if anything new just came in.
February 01 2012
ps zeigt nur user IDs
Zeigt ps aux nur user IDs anstatt der User, liegt es daran, dass der Username mehr als 8 Zeichen hat.
January 22 2012
DIGIVOX mini II V3.0 aka DigiVox mini deluxe unter Ubuntu 11.10
Ich mag die gnome-shell nicht und daher Ubuntu 11.10 auch nicht besonders. Aber tatsaechlich laeuft mein billig gekaufter DVB-T Stick unter 11.10. Natuerlich nicht ohne die benoetigten Module kompiliert zu haben. Das duerfte aber auch fuer Linuxanfaenger kein Problem sein.
http://linuxtv.org/wiki/index.php/MSI_DigiVox_mini_II_V3.0
https://github.com/ambrosa/DVB-Realtek-RTL2832U-2.2.2-10tuner-mod_kernel-3.0.0
Wenn man dann bei Kaffeine noch folgende Meldung bekommt:
"kaffeine cannot find demux plugin for MRL"
sollte man
apt-get install libxine1-all-plugins
eingeben und Kaffeeine neu starten.
January 20 2012
dstat...auf jeden Fall einen Blick wert
Dstat ist quasi Zusammenfassung der Funktionen von vmstat, iostat, netstat, ifstat und noch etwas mehr. Ueber dstat --list kann man sich eine Liste aller Plugins anzeigen lassen. Ideal um sich aufzeigen zu lassen, welcher Prozess den ungewoehnlich viele Ressourcen verbraucht und welche es sind. Damit man eine nutzbare Anzeige bekommt, muss man die Optionen dementsprechend anpassen. Die Moeglichkeiten sind sehr vielseitig, z.B. dstat -cn --top-cpu -d --load --time. Zudem bietet dstat die Moeglichkeit, die Daten direkt in eine CSV Datei zu schreiben. Hat man z. B. zu ungastlichen Zeiten Auffaelligkeiten auf Maschinen, kann dstat eventuell helfen die Ursache einzugrenzen. Dstat erinnert an nmon, ist aber aus meiner Sicht etwas uebersichtlicher und gezielter auf Prozesse ausgelegt.
December 02 2011
rsync backup
Alle Kinder moegen rsync. Wer es noch etwas mehr moegen will, sollte die Option -b --backup-dir= nutzen.
[/bash]rsync -avh --delete --progress --stats -b --backup-dir=/wtf/is/my/backup/ quelle/ zielserver:/ziel/ 1
Dadurch werden Daten, welche durch neue ersetzt bzw. deleted werden sollen , vorher im backup Ordner abgelegt. Der Backup Ordner, inklusive Pfad, wird dabei automatisch angelegt, bietet also genug Spielraum fuer date&co.
July 22 2011
root Zugriff nur von bestimmten IPs erlauben
Root Zugriff via ssh ist generell zu vermeiden, aber ab und an geht es nicht anders. Dabei hilft dann z. B. ein
AllowUsers root@123.123.123.123/32
in der /etc/ssh/sshd_config oder falls nur keys erlaubt sind ein
from="123.123.123.123" ssh-rsa AAAAB3Nkrickekrackelsagtderdackel...
in die /root/.ssh/authorized_keys. Beides bei Multiusersystemen nicht optimal, aber ausbaufaehig.
July 15 2011
sperr mich ein Baby
Chroot ist gut, so einfach ist das. Multiusersysteme ohne chroot bieten ein grosses Sicherheitsrisiko. Dieses Risiko entsteht in der Regel durch falsch gesetzte Dateirechte. Leider kann mit vertretbaren Mitteln nicht ueberall eine chroot Umgebung aufgebaut werden. Generell sollte man sich immer Fragen: Braucht der Benutzer ueberhaupt eine Shell? Nehmen wir einen standard Webserver mit mehreren virtuellen Webservern und unterschiedlichen Benutzern als Beispiel. Der Benutzer will Daten auf den Webserver packen, die darueber bereitgestellt werden, mehr nicht. Eine Shell ist dabei voellig ueberfluessig und erhoeht nur das Risiko eines potentiellen Einbruchs und der Datenmanipulation (und und und). Falsch gesetzte Dateirechte sind in einer chroot Umgebung nur "halb so schlimm". Nehmen wir z. B. die beliebte
-rw-r--r-- 1 thomas thomas 0 2011-07-15 10:22 config.php
Natuerlich kann und muss der Webserver die Datei lesen koennen, aber der Benutzer Satans101 kann die Datei auch lesen und ein teuflisches Werk damit treiben. Nutzt man chroot, schuetzt man primaer die Benutzer voreinander. Ein Einbruch mit ergattern eines Shell Zugangs und Zugriff auf andere Benutzerdaten ist so nicht ohne weiteres moeglich (ich erspare mir Sachen wie how-to-get-shell-acces-in-no-mans-land). Ein hervorragender Weg ist dabei die sftp chroot Umgebung von ssh zu nutzen. Vorteil ist man muss keine extra Software installieren und nutzt die Moeglichkeiten von ssh. Ganz kurz sieht das in der /etc/ssh/sshd_config etwa so aus:
AllowGroups ssh-allow sftp-allow Subsystem sftp internal-sftp match group sftp-allow ChrootDirectory /user/home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp
Wichtig dabei ist
chown root:root /user/home/username
Das Userhome muss root gehoeren.
Das ssh-allow ist natuerlich nur Beiwerk aber sinnig. Dies ist nur eines der Werkzeuge um die Sicherheit zu erhoehen, tools wie chmod g+s, rkhunter, iwatch, aide, tiger, clamav, limits.conf, quota, fail2ban, open_basedir, portchange, diverse selbst geschrieben Skripte usw. helfen dabei auch weiter.
Ganz grob einige Vorteile von croot mit sftp dabei
- Benutzer sieht Daten anderer Benutzer nicht
- Benutzer kann keine Prozesse laufen lassen -> Benutzerprozesses fallen sofort auf
- Geklaute Accounts haben nur einen begrenzten Nutzen fuer Einbrecher
- Unerfahrene Benutzer irren nicht durch das gesamte Dateisystem (ja tatsaechlich)
- ...
Nachteile
- sind zu vernachlaessigen
Chroot im Zusammenhang mit sftp nutze ich nun seit ueber 2 Jahren mit mehreren 100 Benutzern und meine Erfahrungen sind durchweg positiv. Der optimale client dabei ist sshfs. Programme wie fireftp, filezilla, sftp und winscp gehen natuerlich auch. Empfehlen kann ich auch eine strickte Trennung der Dienste auf unterschiedliche Systeme, aber wem erzaehl ich das, weiss man doch alles.
May 23 2011
Terminator
Erst irgendwann im Linux Magazin davon gelesen, dann schreibt noch der Haiko was dazu. Also habe ich mal terminator getestet. Gefaellt mir sehr gut und hilft den Ueberblick zu behalten.
April 10 2011
Tag 0
So im Linuxhotel angekommen...Zimmer anders als erwartet, Anlage wird morgen angeschaut. Wlan ist auf jeden Fall bei mir im Zimmer an der unteren Grenze. Da sind wir mal gespannt was die naechsten Tage so bringen.
February 09 2011
share me baby
Dateien tauschen die zu gross sind um sie einfach per mail zu verschicken? Keine Lust einen One-Click-Hoster bzw. Filehoster zu nutzen? Natuerlich bieten sich da verschiedene Loesungen an, aber eine wirkliche einfache und schicke Loesung bieten folgende Produkte:
Ist schick, einfach und funktioniert. Verschiedene Modi sind moeglich (privat, public usw.). Benutzer koennen Ihre Dateien selbst verwalten und expire Zeiten koennen global und fuer Gruppen definiert werden.
- Access control by groups
- Template Driven
- Internationalization
- Vast Database Support (MySQL, Postgress, Flat file)
- Multiple user authentication backends (database, LDAP, AD)
- Plugins to control file upload/download limits / functionality (password protection, captcha, email, banned IP,...)
- und und und
Findet man alles auf der Seite des Projekts. Das letzte Update ist noch nicht so lang her (Stable version 0.4.2 - 2010.11.20).
Ist in Perl geschrieben und das letzte Update ist anscheinend von 2007. Die Software bietet einige sehr nuetzliche Funktionen wie z. b. Beschraenkung auf bestimmte Domains, optionale Verschluesselung der abgelegten Dateien usw.
- System configuration via password protected Web interface, or direct edit of text configuration files
- Admin defined username/password for Web configuration manager. Password is encrypted
- Admin defined shared file retention period with automatic Holding Area cleanup
- Admin definable limit on the number of notification emails sent to multiple recipients to minimise spam
- Admin optional check of User entered email addresses for valid email servers
- Admin optional virus scanning of uploaded files
- Admin optional restriction of domains able to access PaKnPost Pro
- Admin optional restriction of networks or individual machines able to access PaKnPost Pro
- Admin optional restriction of file-types
- Admin optional limit on uploaded file size
- Admin optional graphical validation code to minimise spam
- Admin optional set User defined username/password protection of Holding Area to further protect shared file
- Admin definable file size limits for encrypting files
- und und und
Meiner Meinung nach bietet PaknPostPro einige sehr nuetzliche Features mehr. Leider wirkt es etwas altbacken und ich bin mir nicht sicher ob das Projekt ueberhaupt noch betreut wird. Eine Benutzerverwaltung wie bei Open-Upload ist auch nicht vorhanden.
Persoenlich tendiere ich eher zu Open-Upload, falls jemand noch bessere Alternativen kennt immer her damit (ausser filez, dass ist doof). Natuerlich gibt es auch kommerzielle Anbieter, die einen das Geld aus der Tasche ziehen wollen, aber warum nicht (falls ueberhaupt noetig) einfach den Quellcode an die Beduerfnisse anpassen?
February 06 2011
Debian und Kerouac
Debian 6.0 ist veroeffentlicht und von "on the road" wird der directors cut veroeffentlicht.
Der Artikel des Herrn Diez kommt schon recht euphorisch rueber. Dabei ist es doch nur ein Buch.
Debian und Kerouac passt aber so was von ueberhaupt nicht zusammen.
Haette ich das nur gewusst bevor ich mit dem Eintrag begonnen habe. Da kommt man nun auch nicht mehr so einfach raus, daher faden wir mal langsam aus...und spielen etwas Musik ueber Aexte und so...
December 13 2010
November 26 2010
tsm und "enth�lt ein oder mehrere nicht erkannte Zeichen und ist ung�ltig"
Da ich, trotz convmv, beim TSM Backup immer noch Probleme mit bestimmten Zeichen in Dateinamen auftauchen, habe ich nun auf pregos Rat hin, das Startskript etwas angepasst. auf der Konsole laeuft das Backup jedenfalls fehlerfrei. de_DE@euro muss natuerlich existieren.
#export LANG=de_DE.UTF-8 #export LC_ALL=de_DE.UTF-8 #export LC_CTYPE=de_DE.UTF-8 export LANG=de_DE@euro export LC_ALL=de_DE@euro export LC_CTYPE=de_DE@euro ...
September 30 2010
xfs recover deleted files
you are so FUCKED...ehrlich jetzt.
August 03 2010
July 26 2010
Kernel Samepage Merging
Hoert sich gut an:
http://www.linux-kvm.com/content/using-ksm-kernel-samepage-merging-kvm
leider im aktuellen stable/lenny Kernel (2.6.26-2-amd64) noch nicht enthalten.
June 23 2010
so einfach
stat Desktop/anonlog.sh File: „Desktop/anonlog.sh“ Size: 1002 Blocks: 8 IO Block: 4096 reguläre Datei Device: 804h/2052d Inode: 1085146 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 1000/ thomas) Gid: ( 1000/ thomas) Access: 2010-06-23 09:28:50.186691906 +0200 Modify: 2010-06-23 09:28:32.086691173 +0200 Change: 2010-06-23 09:28:41.926690653 +0200
Keine IPs mehr im Apache Log
Man kann ja vieles tun um die IPs aus den Access Logs des Apaches zu anonymisieren:
1. die Logs vor dem Schreiben in ein Skript pipen http://www.zendas.de/technik/sicherheit/apache/index.html
2. via Apache Modul mod-removeip http://www.wirspeichernnicht.de/content/view/14/24/
3. Diverse Skripte via cron laufen lassen um die IPs loszuwerden
4. Logformat anpassen
5. Bestimmt noch 42 andere Moeglichkleiten
Hat alles seine Vor- und Nachteile. mod-removeip klingt ja erst einmal gut, leider funktioniert dadurch die IP basierte Zugriffskontrolle nicht mehr, aber immerhin sind auch die IPs im Errolog unkenntlich. Via log-in-Skript-pipen die letzten Ziffern anonymisieren, klingt auch nett, fuehrt nur dazu, dass pro vhost mind. ein extra Prozess laeuft. Wodurch eventuell Dinge wie ulimit -n 2048 noetig werden und es zu einer gewissen Unuebersichtlichkeit bei der Prozessliste kommen kann. Bei ein paar Vhosts sicherlich kein Problem, bei etlichen hundert leider schon. Die IPs mit Hilfe eines Skripts zu vorgegebenen Zeiten zu "saeubern", vielleicht sogar gleich mit logrotate verbinden...auch ok, aber im Nachhinein gefaellt mir auch nicht. Ueber das LogFormat kann man die IPs nicht so richtig anonymisieren, aber man kann einfach aus
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
machen. Schon sind wir die IPs in den Accesslogs los. Funktioniert natuerlich keine logbasierte Zugriffsanalyse mehr und auf den Errorlog IPs sitzen wir immer noch. Errorlogs kann man natuerlich nur im Bedarfsfall aktivieren und ansonsten einfach nach /dev/null schicken.
Alles nicht so einfach. Fuehrt eigentlich zu der Einsicht: Wenn Du keine Logs brauchst, produziere keine.
(Muss, bzw.) Kann man bei last -n 1000 eigentlich den client host auch irgendwie anonymisieren?
March 08 2010
screenlets
Habe ich vor einer gefuehlten Ewigkeit mal ausprobiert, danach nie wieder angeschaut. Bei zwei Monitoren aber eigentlich ganz praktisch. Wieder darauf gekommen bin ich weil es bei freiesMagazin erwaehnt wurde.
aptitude install screenlets
update: Da mich Herr E. drauf aufmerksam gemacht hat: nicht Reispepass sondern Reisepass ist natuerlich gemeint.
March 05 2010
Ftp Client fuer Linux
Wer einen guten FTP Client unter Linux sucht, sollte sich mal Filezilla anschauen. Filezilla kann sftp, ftp mit tls und natuerlich einfaches ftp .
Ach ja, fuer Windows und Mac gibt es den auch, aber Apple Leute wissen eh nicht was ftp & co ist 
.
January 27 2010
mach krach baby
Musicplayer gibt es einige. Auf exaile bin ich gekommen weil ich mocp manchmal zu nervig finde und audacious2 zur Zeit nicht so funktioniert wie es soll. Bisher gefaellt mir exaile, mal abwarten wie es in 2-3 Tagen aussieht.
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
