Zeigt ps aux nur user IDs anstatt der User, liegt es daran, dass der Username mehr als 8 Zeichen hat.
Schlagwort: linux
DIGIVOX mini II V3.0 aka DigiVox mini deluxe unter Ubuntu 11.10
Ich mag die gnome-shell nicht und daher Ubuntu 11.10 auch nicht besonders. Aber tatsaechlich laeuft mein billig gekaufter DVB-T Stick unter 11.10. Natuerlich nicht ohne die benoetigten Module kompiliert zu haben. Das duerfte aber auch fuer Linuxanfaenger kein Problem sein.
http://linuxtv.org/wiki/index.php/MSI_DigiVox_mini_II_V3.0
https://github.com/ambrosa/DVB-Realtek-RTL2832U-2.2.2-10tuner-mod_kernel-3.0.0
Wenn man dann bei Kaffeine noch folgende Meldung bekommt:
„kaffeine cannot find demux plugin for MRL“
sollte man
apt-get install libxine1-all-plugins
eingeben und Kaffeeine neu starten.
dstat…auf jeden Fall einen Blick wert
Dstat ist quasi Zusammenfassung der Funktionen von vmstat, iostat, netstat, ifstat und noch etwas mehr. Ueber dstat –list kann man sich eine Liste aller Plugins anzeigen lassen. Ideal um sich aufzeigen zu lassen, welcher Prozess den ungewoehnlich viele Ressourcen verbraucht und welche es sind. Damit man eine nutzbare Anzeige bekommt, muss man die Optionen dementsprechend anpassen. Die Moeglichkeiten sind sehr vielseitig, z.B. dstat -cn –top-cpu -d –load –time. Zudem bietet dstat die Moeglichkeit, die Daten direkt in eine CSV Datei zu schreiben. Hat man z. B. zu ungastlichen Zeiten Auffaelligkeiten auf Maschinen, kann dstat eventuell helfen die Ursache einzugrenzen. Dstat erinnert an nmon, ist aber aus meiner Sicht etwas uebersichtlicher und gezielter auf Prozesse ausgelegt.
rsync backup
Alle Kinder moegen rsync. Wer es noch etwas mehr moegen will, sollte die Option -b –backup-dir= nutzen.
rsync -avh --delete --progress --stats -b --backup-dir=/wtf/is/my/backup/ quelle/ zielserver:/ziel/
Dadurch werden Daten, welche durch neue ersetzt bzw. deleted werden sollen , vorher im backup Ordner abgelegt. Der Backup Ordner, inklusive Pfad, wird dabei automatisch angelegt, bietet also genug Spielraum fuer date&co.
root Zugriff nur von bestimmten IPs erlauben
Root Zugriff via ssh ist generell zu vermeiden, aber ab und an geht es nicht anders. Dabei hilft dann z. B. ein
AllowUsers root@123.123.123.123/32
in der /etc/ssh/sshd_config oder falls nur keys erlaubt sind ein
from="123.123.123.123" ssh-rsa AAAAB3Nkrickekrackelsagtderdackel...
in die /root/.ssh/authorized_keys. Beides bei Multiusersystemen nicht optimal, aber ausbaufaehig.
sperr mich ein Baby
Chroot ist gut, so einfach ist das. Multiusersysteme ohne chroot bieten ein grosses Sicherheitsrisiko. Dieses Risiko entsteht in der Regel durch falsch gesetzte Dateirechte. Leider kann mit vertretbaren Mitteln nicht überall eine chroot Umgebung aufgebaut werden. Generell sollte man sich immer Fragen: Braucht der Benutzer ueberhaupt eine Shell? Nehmen wir einen standard Webserver mit mehreren virtuellen Webservern und unterschiedlichen Benutzern als Beispiel. Der Benutzer will Daten auf den Webserver ablegen, die darüber bereitgestellt werden, mehr nicht. Eine Shell ist dabei voellig unnötig und erhöht nur das Risiko eines potentiellen Einbruchs und der Datenmanipulation (und und und). Falsch gesetzte Dateirechte sind in einer chroot Umgebung nur „halb so schlimm“. Nehmen wir z. B. die beliebte
-rw-r--r-- 1 thomas thomas 0 2011-07-15 10:22 config.php
Natürlich kann und muss der Webserver die Datei lesen können, aber der Benutzer Satans101 kann die Datei auch lesen und sein teuflisches Werk damit treiben. Nutzt man chroot, schützt man primär die Benutzer voreinander. Ein Einbruch mit ergattern eines Shell Zugangs und Zugriff auf andere Benutzerdaten, ist so nicht ohne weiteres möglich (ich erspare mir Sachen wie how-to-get-shell-acces-in-no-mans-land). Ein hervorragender Weg ist dabei die sftp chroot Umgebung von ssh zu nutzen. Vorteil ist man muss keine extra Software installieren und nutzt die Möglichkeiten von ssh. Ganz kurz sieht das in der /etc/ssh/sshd_config etwa so aus:
AllowGroups ssh-allow sftp-allow Subsystem sftp internal-sftp Match group sftp-allow ChrootDirectory /user/home/%u X11Forwarding no AllowTcpForwarding no ForceCommand internal-sftp Match
Wichtig dabei ist
chown root:root /user/home/username
Das Userhome muss root gehoeren.
Das ssh-allow ist natuerlich nur Beiwerk, aber sinnig. Dies ist nur eines der Werkzeuge um die Sicherheit zu erhoehen, tools wie chmod g+s, rkhunter, iwatch, aide, tiger, clamav, limits.conf, quota, fail2ban, open_basedir, portchange, diverse selbst geschrieben Skripte usw. helfen dabei auch weiter.
Ganz grob einige Vorteile von croot mit sftp dabei
- Benutzer sieht Daten anderer Benutzer nicht
- Benutzer kann keine Prozesse laufen lassen -> Benutzerprozesses fallen sofort auf
- Geklaute Accounts haben nur einen begrenzten Nutzen für Einbrecher
- Unerfahrene Benutzer irren nicht durch das gesamte Dateisystem (ja tun sie tatsächlich)
- …
Nachteile
- sind zu vernachlässigen
Chroot im Zusammenhang mit sftp nutze ich nun seit über 2 Jahren mit mehreren 100 Benutzern und meine Erfahrungen sind durchweg positiv. Der optimale client dabei ist sshfs. Programme wie fireftp, filezilla, sftp und winscp gehen natürlich auch. Empfehlen kann ich auch eine strickte Trennung der Dienste auf unterschiedliche Systeme, aber wem erzähl ich das, weiß man doch alles.
Terminator
Erst irgendwann im Linux Magazin davon gelesen, dann schreibt noch der Haiko was dazu. Also habe ich mal terminator getestet. Gefaellt mir sehr gut und hilft den Ueberblick zu behalten.
share me baby
Dateien tauschen die zu gross sind um sie einfach per mail zu verschicken? Keine Lust einen One-Click-Hoster bzw. Filehoster zu nutzen? Natuerlich bieten sich da verschiedene Loesungen an, aber eine wirkliche einfache und schicke Loesung bieten folgende Produkte:
Ist schick, einfach und funktioniert. Verschiedene Modi sind moeglich (privat, public usw.). Benutzer koennen Ihre Dateien selbst verwalten und expire Zeiten koennen global und fuer Gruppen definiert werden.
- Access control by groups
- Template Driven
- Internationalization
- Vast Database Support (MySQL, Postgress, Flat file)
- Multiple user authentication backends (database, LDAP, AD)
- Plugins to control file upload/download limits / functionality (password protection, captcha, email, banned IP,…)
- und und und
Findet man alles auf der Seite des Projekts. Das letzte Update ist noch nicht so lang her (Stable version 0.4.2 – 2010.11.20).
Ist in Perl geschrieben und das letzte Update ist anscheinend von 2007. Die Software bietet einige sehr nuetzliche Funktionen wie z. b. Beschraenkung auf bestimmte Domains, optionale Verschluesselung der abgelegten Dateien usw.
- System configuration via password protected Web interface, or direct edit of text configuration files
- Admin defined username/password for Web configuration manager. Password is encrypted
- Admin defined shared file retention period with automatic Holding Area cleanup
- Admin definable limit on the number of notification emails sent to multiple recipients to minimise spam
- Admin optional check of User entered email addresses for valid email servers
- Admin optional virus scanning of uploaded files
- Admin optional restriction of domains able to access PaKnPost Pro
- Admin optional restriction of networks or individual machines able to access PaKnPost Pro
- Admin optional restriction of file-types
- Admin optional limit on uploaded file size
- Admin optional graphical validation code to minimise spam
- Admin optional set User defined username/password protection of Holding Area to further protect shared file
- Admin definable file size limits for encrypting files
- und und und
Meiner Meinung nach bietet PaknPostPro einige sehr nuetzliche Features mehr. Leider wirkt es etwas altbacken und ich bin mir nicht sicher ob das Projekt ueberhaupt noch betreut wird. Eine Benutzerverwaltung wie bei Open-Upload ist auch nicht vorhanden.
Persoenlich tendiere ich eher zu Open-Upload, falls jemand noch bessere Alternativen kennt immer her damit (ausser filez, dass ist doof). Natuerlich gibt es auch kommerzielle Anbieter, die einen das Geld aus der Tasche ziehen wollen, aber warum nicht (falls ueberhaupt noetig) einfach den Quellcode an die Beduerfnisse anpassen?
Debian und Kerouac
Debian 6.0 ist veroeffentlicht und von „on the road“ wird der directors cut veroeffentlicht.
Der Artikel des Herrn Diez kommt schon recht euphorisch rueber. Dabei ist es doch nur ein Buch.
Debian und Kerouac passt aber so was von ueberhaupt nicht zusammen.
Haette ich das nur gewusst bevor ich mit dem Eintrag begonnen habe. Da kommt man nun auch nicht mehr so einfach raus, daher faden wir mal langsam aus…und spielen etwas Musik ueber Aexte und so…
tsm und „enth�lt ein oder mehrere nicht erkannte Zeichen und ist ung�ltig“
Da ich, trotz convmv, beim TSM Backup immer noch Probleme mit bestimmten Zeichen in Dateinamen auftauchen, habe ich nun auf pregos Rat hin, das Startskript etwas angepasst. auf der Konsole laeuft das Backup jedenfalls fehlerfrei. de_DE@euro muss natuerlich existieren.
#export LANG=de_DE.UTF-8 #export LC_ALL=de_DE.UTF-8 #export LC_CTYPE=de_DE.UTF-8 export LANG=de_DE@euro export LC_ALL=de_DE@euro export LC_CTYPE=de_DE@euro ...
xfs recover deleted files
you are so FUCKED…ehrlich jetzt.
Kernel Samepage Merging
Hoert sich gut an:
http://www.linux-kvm.com/content/using-ksm-kernel-samepage-merging-kvm
leider im aktuellen stable/lenny Kernel (2.6.26-2-amd64) noch nicht enthalten.