Valles Blog

Ich denke jeder kann mich verstehen, dass ich mich lieber gerne selbst davon überzeuge, was das Richtige ist und was nicht. Das gilt natürlich auch für Gentoo auf Servern. Ich zitiere da mal einen kleinen Satz aus dem Chat, der erst vor wenigen Tagen von Marcel geschrieben wurde.

marcel: Bei Gentoo ist nach einem Update erstmal das halbe System kaputt

Gestern Abend habe ich dann das erste Gentoo-Update auf meinem Root-Server gemacht. Jetzt mal ganz davon abgesehen, dass ich wirklich überrascht war, dass das Update auf diesem nichtmal einem Monat altem Server über 3 Stunden gedauert hat, war es doch fast ein Update, wie es im Buche steht. Gut, es kann schlimmer kommen, aber immerhin gehen alle meine Python-Scripte nicht mehr. Das kann schon ganzschön ärgerlich sein, denn das waren nicht wenige. Jetzt schlage ich mich gerade mit dem Programm “python-updater” rum, welches mir hier wegen irgendwelchen amd64-Keywords ein Ohr kaut.

Tja, was lernen wir wohl daraus? Nächstes mal auf jeden Fall wieder Debian. apt-get update && apt-get upgrade, 20 Sekunden warten und alle Updates sind gemacht. Wenn ich es mir da recht überlege, sind mir die Vorteile von Gentoo dann doch egal. Ich denke allerdings auch, dass ich es mal probiert haben muss. Auch wenn jeder sagt, dass Gentoo nicht das Richtige sei, ist es doch besser für mich, es mal am eigenen Leib erlebt zu haben. Aus Fehlern lernt man eben doch am besten.

Update: So, Problem behoben. Einfach entsprechendes Paket in /etc/portage/package.keywords eintragen. Trifft sich gut, denn jetzt kommt Dr. House auf RTL.

Endlich habe ich mal ein schönes Programm zum Überwachen der Performance eines Computers gefunden. Das Programm nennt sich collectd. Der Collectd selbst, speichert nur die Daten in regelmäßigen Abständen (Ich glabe es sind 15 Sekunden per default) in mehrere Dateien. Diese Dateien sind im so genannten Round Robin Database-Format. Mit Hilfe des Prorgamms rrdtool kannn man dann relativ einfach eine graphische Darstellung dieser Daten erstellen. Das rrdtool in Aktion kann man hier sehen. Dazu mal ein kleiner Beispiel-Code, der mir einen Graphen über den Verlauf des Load-Averages der letzten 24 Stunden erstellt.

Man kann jetzt damit also recht detailiert seine Graphen erstellen lassen. Ich habe mir dazu gleich ein ganzes Shell-Script geschrieben, dem ich einen Parameter mitgebe, der angibt, von welchem Zeitpunkt an bis jetzt der Graph erstellt werden soll. Das Script könnt ihr euch (mit einer PHP-Datei zur Anzeige auf einem Webserver) nach Bedarf gerne einmal runterladen. Collectd And Rrdtool (1.54 KB)

Es ist da: Mein kleines Spielzeug. *g* Wie erwartet kann man damit eine Menge lustiger Sachen anstellen. Die Software dafür lässt sich sogar sehr leicht selbst programmieren. Nichtmal ASM wird dafür benötigt. Eine tolle Gelegenheit um meine C-Kentnisse ein wenig zu erweitern. Falls es noch was interessantes dazu zu berichten gibt, werde ich mich umgehend wieder melden.

Gerade eben habe ich mir nun ein neues Spiel für meinen Nintendo DS bei Amazon bestellt. Nunja, Spiel ist falsch. In Wirklichkeit handelt es sich um dieses hübsche Teil hier. Damit soll es möglich sein, beliebige Programme (genannt Homebrews) auf dem DS auszuführen, ohne dabei immer wieder ein neues Spiele-Modul kaufen zu müssen. Dabei stehen die verschiedensten Homebrews zur Auswahl: Ein MP3-Player, ein Internet-Browser, ein Mini-Linux oder tausende kostenlose Spiele. Durch das eingebaute WLAN des Nintendo DS lässt sich also auch im Internet surfen. Mal sehen, was das Ding so taugt. Ich freue mich auf jeden Fall drauf.

Auch wenn ich dieses Programm schon längere Zeit benutze, ist es mir jetzt doch noch einen Eintrag wert, denn nach der Neuinstallation meines Servers fiel auch die Installation von fail2ban an. Die Funktionsweise von fail2ban ist einfach beschrieben: Das Programm läuft im Hintergrund und liest in bestimmten Abständen bestimme Log-Dateien von diversen Servern (SSH, WWW, FTP) aus. Findet es dort Einträge, die auf Fehlgeschlagene Login-Versuche hindeuten werden diese gezählt. Diese Einträge werden via Regular Expressions gefiltert. Sobald eine bestimmte, konfigurierbare Anzahl an fehlgeschlagenen Login-Versuchen stattgefunden hat, führt das Programm eine Aktion aus. Meistens ist dies ein Eintrag in der Firewall zum sperren der IP.

Und was bringt uns das ganze? Man kann damit sehr effektiv Bruteforce-Angriffe verhindern. Wer nicht weiß, was Bruteforce ist: Bei einem Bruteforce-Angriff werden alle möglichen Passwörter bei einem Login probiert; solange, bis das richtige gefunden ist. Besonders bei kürzeren Passwörtern ist ein solcher Schutz sehr sinnvoll.

Die Installation des ganzen ist dank Debians großem Paket-Repertoire auch ein Kinderspiel. Zuerst den Daemon mit folgendem Befehl installieren.

Dann ins Verzeichnis /etc/fail2ban/ wechseln, wo sich fail2bans Konfigurationsdateien befinden. Dort gibt es 4 relevante Dateien und Ordner. Im Ordner action.d sind Dateien, welche bestimmte Aktionen bei einem Bann vom Server und dem Löschen eines Banns definieren. Dabei sind mehrere verschiedene Firewall-Typen bereits als Beispiel angegeben. Die meisten werden wohl iptables benutzen.

Im Verzeichnis filter.d befinden sich - wie der Name auch schon andeutet - die Filterdateien für die Logs. Auch dort sind schon Beispiele vorgegeben, zum Beispiel für proftpd, ssh oder dem Apache. Meht Beispiele gibt es mit ls.

In der Datei fail2ban.conf befindet sich eine globale Konfiguration, welche einige Grundsätzliche Einstellungen des Servers beinhaltet. Zumindest bei mir kann man diese Datei so lassen wie sie ist. (Dennoch lohnt sich ein Blick natürlich immer. )

Die jail.conf beinhaltet nun den interessanten Teil des Daemons. Hier wird im Format einer Ini-Datei angegeben, welche Log-Dateien ausgelesen werden sollen, welche Filter dafür zutreffen, welche Aktionen zutreffen, wieviele Fehlversuche bei einem Login möglich sind und so weiter… Besonders toll an dieser Datei ist, dass die bekanntesten Services schon drin stehen. Das Vorgehen nun ist einfach. Man sucht sich den zu schützenden Dienst heraus und ändert in der Ini das enabled = false auf enabled = true. Anschließend muss der fail2ban-Server noch die Einstellungen neu laden.

Wer Interesse an fail2ban gefunden hat, dem kann ich noch ein paar Dinge empfehlen, die man sich angucken könnte. So liefert fail2ban einen Clienten aus, mit dem man den Server einfach steuern kann; dieser nennt sich, wie bereits oben erwähnt fail2ban-client. (man fail2ban-client) Zwar nicht direkt mit fail2ban verbunden, aber auch recht interessant ist ein iptables-Modul namens “recent”. Auch einen Blick wert, vielleicht schreibe ich auch darüber mal was…

Aufgrund eines heise.de-Artikels habe ich mich mal kurzer Hand mit ARP-Spoofing, auch ARP-Poisoning, beschäftigt. Folgendes Szenario: Ich habe einen Router, an diesem Router hängt ein 8-Port Switch. An diesem wiederum hängen alle meine Rechner. Opfer war in diesem Fall meine Windows XP Maschine. Angreifer eine Gentoo-Kiste. Mittels ARP-Spoofing kann man nun das Opfer so manipulieren, dass Pakte über die Gentoo-Kiste, statt direkt an den Router gesendet werden. Das kann man dann dazu missbrauchen, den Traffic zu manipulieren, oder wichtige Passwörter auszuspähen. Der Vorgang ging erstaunlich einfach. Nach kurzer Einrichtung der Gentoo-Kiste als Gateway ging mit folgendem Befehl alles wie von selbst.

Und schon ging der gesamte Traffic des Windows-Rechners über die Gentoo-Kiste. Das könnte man mit Hilfe eines Traffic-Sniffers (Wireshark, tcpdump) dazu ausnutzen, um während unverschlüsselten HTTP-Verbindungen Passwörter auszulesen, oder Daten während des Up- oder Downloads zu modifizieren. Um sich vor solchen Angriffen zu schützen gibt es nur wenige Möglichkeiten, allerdings keine wirklich gute oder einfache. Am besten ist wohl eine physikalische Abtrennung zweier Netzwerke. Wenn nur ein Rechner im Netzwerk ist (oder zumindest kein Angreifer in das Netzwerk gelangt), kann eigentlich nichts passieren. Ansonsten wäre noch die Möglichkeit eines statischen ARP-Caches, die ich hier aber nicht näher erläutere.

Vor lauter Langeweile habe ich mich nun mal dazu entschlossen Fedora 9 zu testen. Fedora 9 ist mittlerweile schon ein paar Wochen lang draußen und gehört zu den ersten Distributionen, die von Haus aus SELinux unterstützen. Um mir diese Technik mal auf komfortable Art anzuschauen, habe ich mir Fedora ausgesucht. Fedora wird entweder als DVD oder als ein 6-CD Pack ausgeliefert. Leider muss man wirklich alle CDs runterladen, ich habe zumindest keine Netzwerkinstallation gefunden. DVD kam leider auf Grund mangelnder Hardware nicht in Frage. Die gesamte Installation ist im einem gut aussehenden, modernen Style und bedarf nur wenigen Klicks zum fertigen System. Der erste Schritt, das Kopieren der Daten auf die Festplatte, hat bei mir leider recht lange gedauert, allerdings hielt sich auch das noch in Maßen. Nach der Installation folgt zunächst die Einrichtung. Nach den allgemein üblichen Lizenzhinweisen, der Erstellung eines neuen Benutzers und das Setzen der Zeit kam ich dann auch endlich zum neuen Desktop.
Erste Eindrücke sind soweit positiv: Gutes Design, einfache Tools zur Administration des Systems. Sogar der Firefox präsentierte sich in der Version 3 Beta 5. Beim zweiten Blick allerdings fällt eine nur teilweise Übersetzung auf. Hier Englisch - Da Deutsch. Das wundert mich sehr, denn sowas sollte doch beim Bug-Testing eigentlich auffallen? Nungut, ich denke sowas behebt sich mit der Zeit.

Für heute erstmal genug Fedora, die nächsten Tage gehts weiter.

So, jetzt habe ich es endlich geschafft. *g* Ich wollte mit Python ein Scoreboard des Apache-Moduls mod_cband auslesen. Nach etlicher Sucherei und intensiver Einarbeitung in die mod_cband Source habe ich hier folgende Lösung zu präsentieren:

Ich hoffe jemanden damit geholfen zu haben.

Da mir in den letzten Tagen etwas langweilig war, habe ich mich mal kurzer Hand dazu entschlossen, Ubuntu 8.04 mal zu testen und meine Meinung hier abzugeben. Ich bin nach-wie-vor der Meinung, Ubuntu ist das beste Linux, dass man einem Anfänger antun kann. Es ist einfach einfach und so ziemlich alles funktioniert einfach. Wenn ich ein Video auf YouTube mit dem Flashplayer anschauen möchte, dann bekomme ich unter meinem dennoch heiß-geliebten Debian erstmal einige Probleme. Aber unter Ubuntu funktioniert es nach einer kleinen Installation eines Paketes sofort. Dieses Paket habe ich auf Debian vergeblich gesucht, bis ich den Flashplayer dann manuell installiert habe, was aber auch nicht zwingend zum Erfolg führte.

Schade finde ich allerdings, dass Ubuntu in der neuen Version sehr wenige auffällige Änderungen vollzogen hat. Ich hätte mir gerne einen neuen Style gewünscht, oder noch andere Dinge, die einem bei einer neuen Installation sofort auffallen. War leider nicht der Fall. Und ich muss auch ganz ehrlich zugeben, dass ich den Unterschied zwischen Ubuntu 7.10 (“Gutsy Gibbon”) und 8.04 nicht erkannt hätte. Schade.

Wenn also jemand von euch da draußen darüber nachdenkt, sich vielleicht mal Ubuntu zu besorgen, dann kann ich es euch nur bedingt empfehlen. Wenn ihr bereits viel Erfahrung mit Linux gesammelt habt, ist Ubuntu nicht so wirklich das Richtige. Mir fehlt irgendwie einer der wichtigsten Gründe, warum ich Linux überhaupt benutze: Nämlich der Spaß daran, es selber zu machen. Man hat unter Linux so viele Wahlmöglichkeiten,  man kann sein System so gestalten, wie man es gerne hätte. Unter Ubuntu funktioniert es alles schon. Es ist fertig und man muss es nurnoch benutzen. Das ist nicht mein Ziel - nicht das, was mir Spaß macht. Wenn man aber ein Linux-Einsteiger ist und gerne in die Materie reinschnüffeln will, dann kann ich Ubuntu sehr empfehlen. Es vermeidet das, was ich suche.

Solltet ihr jemals einen Webserver mit MySQL aufsetzen, dann macht euch vorher mit dem Programm logrotate vertraut. Ich habe heute rund Zehn Gigabyte an Logs gelöscht. Darunter MySQL-Logs unter /var/lib/mysql oder Zugriffs-Logs und Fehler-Logs vom Apachen. (Bei mir unter /var/www) Auch der Mailserver scheint gerne viel Speicher zu belegen. Zwar hat Debian bei den meisten Programmen standardmäßig Logrotate mit ins Spiel gebracht, allerdings habe ich auch viele Log-Dateien verschoben, sodass man mit der Zeit Unmengen davon hat. Wer seine MySQL-Logs leeren will, der sollte mal als MySQL-User root folgendes ausführen: