Tag Archives: linux

DIGIVOX mini II V3.0 aka DigiVox mini deluxe unter Ubuntu 11.10

Ich mag die gnome-shell nicht und  daher Ubuntu 11.10 auch nicht besonders. Aber tatsaechlich laeuft mein billig gekaufter DVB-T Stick unter 11.10. Natuerlich nicht ohne die benoetigten Module kompiliert zu haben. Das duerfte aber auch fuer Linuxanfaenger kein Problem sein.

http://linuxtv.org/wiki/index.php/MSI_DigiVox_mini_II_V3.0

https://github.com/ambrosa/DVB-Realtek-RTL2832U-2.2.2-10tuner-mod_kernel-3.0.0

Wenn man dann bei Kaffeine noch folgende Meldung bekommt:

“kaffeine cannot find demux plugin for MRL”

sollte man

apt-get install libxine1-all-plugins

eingeben und Kaffeeine neu starten.

dstat…auf jeden Fall einen Blick wert

  Dstat ist quasi Zusammenfassung der Funktionen von vmstat, iostat, netstat, ifstat und noch etwas mehr. Ueber dstat –list kann man sich eine Liste aller Plugins anzeigen lassen. Ideal um sich aufzeigen zu lassen, welcher Prozess den ungewoehnlich viele Ressourcen verbraucht und welche es sind. Damit man eine nutzbare Anzeige bekommt, muss man die Optionen dementsprechend anpassen. Die Moeglichkeiten sind sehr vielseitig, z.B. dstat -cn –top-cpu -d –load –time. Zudem bietet dstat die Moeglichkeit, die Daten direkt in eine CSV Datei zu schreiben. Hat man z. B. zu  ungastlichen Zeiten Auffaelligkeiten auf Maschinen, kann dstat eventuell helfen die Ursache einzugrenzen. Dstat erinnert an nmon, ist aber aus meiner Sicht etwas uebersichtlicher und gezielter auf Prozesse ausgelegt.

rsync backup

Alle Kinder moegen rsync. Wer es noch etwas mehr moegen will, sollte die Option -b –backup-dir= nutzen.

rsync -avh --delete --progress --stats -b --backup-dir=/wtf/is/my/backup/ quelle/ zielserver:/ziel/

Dadurch werden Daten, welche durch neue ersetzt bzw. deleted werden sollen , vorher  im backup Ordner abgelegt. Der Backup Ordner, inklusive Pfad, wird dabei automatisch angelegt, bietet also genug Spielraum fuer date&co.

root Zugriff nur von bestimmten IPs erlauben

Root Zugriff via ssh ist generell zu vermeiden, aber ab und an geht es nicht anders. Dabei hilft dann z. B. ein

AllowUsers root@123.123.123.123/32

in der /etc/ssh/sshd_config oder falls nur keys erlaubt sind ein

from="123.123.123.123" ssh-rsa AAAAB3Nkrickekrackelsagtderdackel...

in die /root/.ssh/authorized_keys. Beides bei Multiusersystemen nicht optimal, aber ausbaufaehig.

sperr mich ein Baby

Chroot ist gut, so einfach ist das. Multiusersysteme ohne chroot bieten ein grosses Sicherheitsrisiko. Dieses Risiko entsteht in der Regel durch falsch gesetzte Dateirechte. Leider kann mit vertretbaren Mitteln nicht überall eine chroot Umgebung aufgebaut werden. Generell sollte man sich immer Fragen: Braucht der Benutzer ueberhaupt eine Shell? Nehmen wir einen standard Webserver mit mehreren virtuellen Webservern und unterschiedlichen Benutzern als Beispiel. Der Benutzer will Daten auf den Webserver ablegen, die darüber bereitgestellt werden, mehr nicht. Eine Shell ist dabei voellig unnötig und erhöht nur das Risiko eines potentiellen Einbruchs und der Datenmanipulation (und und und).  Falsch gesetzte Dateirechte sind in einer chroot Umgebung nur “halb so schlimm”. Nehmen wir z. B. die beliebte

-rw-r--r-- 1 thomas thomas 0 2011-07-15 10:22 config.php

Natürlich kann und muss der Webserver die Datei lesen können, aber der Benutzer Satans101 kann die Datei auch lesen und sein teuflisches Werk damit treiben. Nutzt man chroot, schützt man primär die Benutzer voreinander. Ein Einbruch mit ergattern eines Shell Zugangs und Zugriff auf andere Benutzerdaten,  ist so nicht ohne weiteres möglich (ich erspare mir Sachen wie  how-to-get-shell-acces-in-no-mans-land). Ein hervorragender Weg ist dabei die sftp chroot Umgebung von ssh zu nutzen. Vorteil ist man muss keine extra Software installieren und nutzt die Möglichkeiten von ssh. Ganz kurz sieht das in der /etc/ssh/sshd_config etwa so aus:

AllowGroups ssh-allow sftp-allow
Subsystem sftp internal-sftp
Match group sftp-allow
ChrootDirectory /user/home/%u
X11Forwarding no
AllowTcpForwarding no
ForceCommand internal-sftp
Match

Wichtig dabei ist

chown root:root /user/home/username

Das Userhome muss root gehoeren.
Das ssh-allow ist natuerlich nur Beiwerk, aber sinnig. Dies ist nur eines der Werkzeuge um die Sicherheit zu erhoehen, tools wie chmod g+s, rkhunter, iwatch, aide, tiger, clamav, limits.conf, quota, fail2ban, open_basedir, portchange, diverse selbst geschrieben Skripte usw. helfen dabei auch weiter.

Ganz grob einige Vorteile von croot mit sftp dabei

  • Benutzer sieht Daten anderer Benutzer nicht
  • Benutzer kann keine Prozesse laufen lassen -> Benutzerprozesses fallen sofort auf
  • Geklaute Accounts haben nur einen begrenzten Nutzen für Einbrecher
  • Unerfahrene Benutzer irren nicht durch das gesamte Dateisystem (ja tun sie tatsächlich)

Nachteile

  • sind zu vernachlässigen

Chroot im Zusammenhang mit sftp nutze ich nun seit über 2 Jahren mit mehreren 100 Benutzern und meine Erfahrungen sind durchweg positiv. Der optimale client dabei ist sshfs. Programme wie fireftp, filezilla, sftp und winscp gehen natürlich auch. Empfehlen kann ich auch eine strickte Trennung der Dienste auf unterschiedliche Systeme, aber wem erzähl ich das, weiß man doch alles.

links: OpenSSH SFTP chroot() with ChrootDirectory

Tag 0

So im Linuxhotel angekommen…Zimmer anders als erwartet, Anlage wird morgen angeschaut. Wlan ist auf jeden Fall bei mir im Zimmer an der unteren Grenze. Da sind wir mal gespannt was die naechsten Tage so bringen.

share me baby

Dateien tauschen die zu gross sind um sie einfach per mail zu verschicken? Keine Lust einen  One-Click-Hoster bzw. Filehoster zu nutzen? Natuerlich bieten sich da verschiedene Loesungen an, aber eine wirkliche einfache und schicke Loesung bieten folgende Produkte:

Open Upload


Ist schick, einfach und funktioniert. Verschiedene Modi sind moeglich (privat, public usw.). Benutzer koennen Ihre Dateien selbst verwalten und expire Zeiten koennen global und fuer Gruppen definiert werden.

  • Access control by groups
  • Template Driven
  • Internationalization
  • Vast Database Support (MySQL, Postgress, Flat file)
  • Multiple user authentication backends (database, LDAP, AD)
  • Plugins to control file upload/download limits / functionality (password protection, captcha, email, banned IP,…)
  • und und und

Findet man alles auf der Seite des Projekts. Das letzte Update ist  noch nicht so lang her (Stable version 0.4.2 – 2010.11.20).

PaknPostPro


Ist in Perl geschrieben und das letzte Update ist anscheinend von 2007.  Die Software bietet einige sehr nuetzliche Funktionen wie z. b. Beschraenkung auf bestimmte Domains, optionale Verschluesselung der abgelegten Dateien usw.

  • System configuration via password protected Web interface, or direct edit of text configuration files
  • Admin defined username/password for Web configuration manager. Password is encrypted
  • Admin defined shared file retention period with automatic Holding Area cleanup
  • Admin definable limit on the number of notification emails sent to multiple recipients to minimise spam
  • Admin optional check of User entered email addresses for valid email servers
  • Admin optional virus scanning of uploaded files
  • Admin optional restriction of domains able to access PaKnPost Pro
  • Admin optional restriction of networks or individual machines able to access PaKnPost Pro
  • Admin optional restriction of file-types
  • Admin optional limit on uploaded file size
  • Admin optional graphical validation code to minimise spam
  • Admin optional set User defined username/password protection of Holding Area to further protect shared file
  • Admin definable file size limits for encrypting files
  • und und und

Meiner Meinung nach bietet PaknPostPro einige sehr nuetzliche Features mehr. Leider wirkt es etwas altbacken und ich bin mir nicht sicher ob das Projekt ueberhaupt noch betreut wird. Eine Benutzerverwaltung wie bei Open-Upload ist auch nicht vorhanden.

Persoenlich tendiere ich eher zu Open-Upload, falls jemand noch bessere Alternativen kennt immer her damit (ausser filez, dass ist doof). Natuerlich gibt es auch kommerzielle Anbieter, die einen das Geld aus der Tasche ziehen wollen, aber warum nicht (falls ueberhaupt noetig) einfach den Quellcode an die Beduerfnisse anpassen?

Debian und Kerouac

Debian 6.0 ist veroeffentlicht und von “on the road” wird der directors cut veroeffentlicht.

Der Artikel des Herrn Diez kommt schon recht euphorisch rueber. Dabei ist es doch nur ein Buch.
Debian und Kerouac passt aber  so was von ueberhaupt nicht zusammen.
Haette ich das nur gewusst bevor ich mit dem Eintrag begonnen habe. Da kommt man nun auch nicht mehr so einfach raus, daher faden wir mal langsam aus…und spielen etwas Musik ueber Aexte und so…

tsm und “enth�lt ein oder mehrere nicht erkannte Zeichen und ist ung�ltig”

Da ich, trotz  convmv,  beim TSM Backup immer noch Probleme mit bestimmten Zeichen in Dateinamen auftauchen, habe ich nun auf pregos Rat hin, das Startskript etwas angepasst. auf der Konsole laeuft das Backup jedenfalls fehlerfrei. de_DE@euro muss natuerlich existieren.

#export LANG=de_DE.UTF-8
#export LC_ALL=de_DE.UTF-8
#export LC_CTYPE=de_DE.UTF-8

export LANG=de_DE@euro
export LC_ALL=de_DE@euro
export LC_CTYPE=de_DE@euro
...