Kategorie-Archiv: good to know

Aufgehangene SSH-Verbindung beenden

Wenn sich eine SSH-Verbindung aufhängt, weil z.B. der Host rebootet wird und die Verbindung nicht richtig geschlossen wird, kann man durch Eingabe von ~. die Verbindung clientseitig beenden und damit wieder auf seiner Shell landen.Mehr Infos dazu gibt es in der Manpage von ssh oder auch hier: https://www.freebsd.org/cgi/man.cgi?query=ssh#ESCAPE_CHARACTERS

Sun JRE unter Ubuntu 10.10

Canonical hat in der aktuellen Ubuntu-Version die Javapakete standardmäßig entfernt. Man wird gebeten, die freie Laufzeitumgebung aus dem OpenJDK-Projekt zu verwenden. Die Pakete der originalen Sun-JRE lassen sich dennoch recht einfach nachinstallieren:

sudo echo "deb http://archive.canonical.com/ubuntu maverick partner" >> /etc/apt/sources.list.d/canonical-partner.listsudo apt-get updatesudo apt-get install sun-java6-jre sun-java6-plugin

Freunde der GUI (hier Gnome) gehen folgendermaßen vor:

  • Im Gnome-Menü unter System/Systemverwaltung die Synaptic-Paketverwaltung starten.
  • Im Programmenü auf Einstellungen/Paketquellen klicken.
  • Den Tab Andere Software auswählen.
  • Häkchen bei Canonical-Partner setzen.
  • Nach einem Klick auf Schließen in der Menüleiste auf Neu laden klicken.
  • Jetzt lassen sich die Pakete sun-java6-jre und sun-java6-plugin über die Paketverwaltung installieren

ARP-Cache unter Linux vergrößern

Die Ursachen von Verbindungsabbrüchen in einem größeren LAN zu finden ist schwierig, in meinem Fall war die ARP-Tabelle des Routers voll. Auf Debian-Systemen ist sie standardmäßig auf 1024 Einträge begrenzt. Ist der Adressraum des Netzwerks größer, könnte jemand allein durch einen Ping-Scan die ARP-Tabelle des Routers füllen. Wenn das passiert, ist im Kernel-Log folgende Meldung zu lesen.

Dec 16 09:08:19 router kernel: [14468939.388404] Neighbour table overflow.
26929c6019f0dbd33ff2c1d241e335b9001

Um die Optionen dauerhaft zu speichern, sollten sie in die sysctl.conf eingetragen werden.

net.ipv4.neigh.default.gc_thresh2=32768net.ipv4.neigh.default.gc_thresh3=65536

Kurztipp: selbstsigniertes OpenSSL-Zertifikat mit einem Befehl

Es gibt Befehle, die man nicht oft genug nutzt, um sie aus dem Kopf zu wissen, aber doch in schöner Regelmäßigkeit nutzen muss.Dazu gehört es für Testzwecke oder interne Systeme auch das Erstellen von selbstsignierten SSL-Zertifikaten. Damit geschützte Systeme sind genau so gesichert wie welche mit gekauften Zertifikaten, nur dass der Browser eine Fehlermeldung anzeigt, weil der Aussteller unbekannt ist. Für interne Zwecke also meistens durchaus ausreichend.

Urban Legend beseitigt: Mehrfaches Überschreiben ist sicherer

Dass Festplatten nicht ungesäubert an fremde Personen weitergegeben werden sollten, hat sich ja nun bei fast allen rumgesprochen. Lange hielt und hält sich die Meinung, dass das Überschreiben nur ausreichend ist, wenn man es mehrfach durchführt. Es gibt sogar Standards mit festgelegten Reihenfolgen und Häufigkeiten.Da der Forensikexperte Craig Wright dies nicht so recht glauben wollte, fertigte er im letzten Jahr dazu eine Studie an. Das Ergebnis: Bereits einfaches (aber komplettes) Überschreiben genügt, um die Wiederherstellung der Daten zu verhindern.

Netzneutralität vs. Wirtschaftlichkeit vs. Freiheit

Noch immer fällt es vielen von uns als Experten schwer, den Normalbürger (Eltern, Geschwister, Bekannte) über die Gefahren der neuen Gesetzgebungsinitiativen bzw. der Providerbestrebungen verständlich zu informieren.Der “Elektrische Reporter” – ein Magazin des ZDF – hat sich der Problematik angenommen und mit lockeren Erklärungen und Bildern das Thema schön anschaulich dargestellt.Zeigt dies also den Unwissenden auf dass sie die Probleme verstehen.

Kurztipp: usermod und die zusätzlichen Gruppen

Gerade stellte sich mir das Problem: Ein Script soll beim Anlegen eines Users und einer Gruppe den Web-User (www-data) der neuen Gruppe hinzufügen. Das funktionierte auch wie gewünscht:

usermod -G user123 www-data

Das Problem: Der Benutzer www-data ist nun zwar Mitglied der Gruppe user123, hat allerdings in allen anderen Gruppen “vergessen”, dass er dazu auch gehören sollte. Das sollte natürlich nicht passieren, denn der Aufruf soll ja nur ergänzend und nicht ersetzend sein. Ein Blick in die Manpage zeigt die einfache Lösung, die ich leider bisher übersah:

usermod -G user123 -a www-data

Der Parameter -a hängt die neue Gruppe an die bisherigen an und erhält damit die Gruppenzugehörigkeiten.

Private Shell-Kommando Hitliste

Wo alle am Jahresende gerade so in Bilanz-Stimmung waren, lief mir etwas interessantes über den Weg: Ein Einzeiler, der aus der bash-history ein Best-of extrahiert. Und das geht so:

	history | awk '{a[$2]++ } END{for(i in a){print a[i] " " i}}' | sort -rn | head

Meine Top 10 aus der aktuellen bash:

52 l
50 htpasswd
50 cd
35 tail
29 exit
28 mc
27 /etc/init.d/apache2
19 grep
18 chown
16 rm

via: http://www.marianoiglesias.com.ar: My top 10 commands for July, 2008

Update auf WordPress 2.7DE und wp_sticky-Plugin-Probleme

Die Installation von WordPress 2.7 DE lief zunächst – wie gewohnt – ohne Probleme. Ein nötiges Datenbankupgrade war auch in Sekunden erledigt.

Leider wurde aber in WP2.7 eine Funktion is_sticky eingeführt, die dazu führte, dass ein Plugin für “sticky posts” (Artikel, die immer oben auf der 1. Seite stehen) einen Fehler verursachte. Ein Löschen oder Verschieben des Plugins macht WP erst wieder nutzbar.

Nun scheint es so, dass das Plugin nicht mehr benötigt wird, aber die (sehr versteckte) Einstellung in der Artikelbearbeitung zerstört mein Template aus mir noch unbekannten Gründen.

Wordpress 2.7-Stickies zerstören Blog-Layout "Insomnia"
Wordpress 2.7-Stickies zerstören Blog-Layout "Insomniac"

Da ich die neue Kernfunktion aber lieber nutze als das mittlerweile aktualisierte Plugin werde ich bis zur Lösung des Templateproblems keine Stickies einsetzen (und Euch damit nicht mehr Willkommen heißen) können.

Ein paar Worte zum – schon wieder – aktualisierten Design des Backends:  Mir gefällt es sehr viel beser als die Vorversion und man hat wieder ein paar mehr sinnvolle Funktionen zur Verfügung (z.B. QuickPress).

Alles in allem ist – schon allein wegen der Sicherheitsupdates die sicherlich in diesen Release einflossen – das Upgrade zu empfehlen.

Links:

Updates strengestens empfohlen

Nur mal eine kleine Erinnerung: Eigentlich ist es eine Selbstverständlichkeit, jedoch selbst bei großen Hostern leider nicht die Regel: Regelmäßige Updates von Standardsoftware.

Gerade das MySQL-Verwaltungstool phpmyadmin wird fleißig weiterentwickelt und vor allem regelmäßig von Sicherheitslücken befreit. Da viele Anwendungen (wie auch dieser Blog) sich auf die MySQL-Datenbank verlassen, ist eine Sicherheitslücke an dieser Stelle extrem gefährlich.

Updates strengestens empfohlen weiterlesen

Amavis/Spamassassin: Änderung der ixHash-Server

Bei dem Nachschauen einer Konfigurationseinstellung stieß ich auf die Nachricht, dass sich bereits vor einer Weile die Server des ixHash-Projektes geändert haben und dadurch die Hash-Abfragen bis zur Anpassung der Config nicht mehr funktionieren.

[…]

As mentioned a few weeks ago, the domains ‘nospam.login-solutions.de’
and ‘nospam.login-solutions.ag’ will reach EOL in the near future. They
are being replaced by the single DNS zone ‘generic.ixhash.net’

[…]

Auf der in der Mail (siehe Linklist) genannten URL gibt es eine aktualisierte Beispielkonfiguration für die ixhash.cf.

Links:

  • iXHash-Projektseite @ Sourceforge.net
  • Erklärung des Projektes auf der iX-Homepage
  • iXhash in Spamassassin einbinden
  • SpamAssassin-Mailinglist: Important info for iXhash users
  • Beispielkonfiguration für ixhash.cf (Spamassassin-Modul)
  • Kurztipp: Besser suchen in der Konsole

    Man kennt das: Man sucht eine Variable oder einen bestimmten String und weiß partout nicht, in welcher der 10.000 Dateien sich diese/r befindet.

    Auf der Konsole hat man grep zur Verfügung. Beim Studium der manpage von dem Tool fiel mir Parameter –color auf, den ich seit dem ständig nutze. Er bewirkt, dass der Suchbegriff innerhalb der Zeile farbig markiert wird, sodass er leichter zu entdecken ist. Sehr praktisch.

    Beispiel:

    grep --color -r "Suchbegriff oder regulärer Ausdruck" /etc

    Mittels eines Eintrags in der .bashrc im eigenen $HOME-Verzeichnis kann man auch grep dazu bringen, jedes Mal den Suchbegriff zu markieren.

    Manuell eintragen…

    alias grep='grep --color'

    …oder gleich direkt an die Datei anfügen:

    echo -n "alias grep='grep --color'" >> ~/.bashrc

    Kennt ihr noch mehr sinnvolle Parameter? Immer her damit!

    Anti-Spam-Blacklist ORDB ist am Ende

    Wer Spam bekämpft findet in Realtime-Blacklists ein gutes Hilfsmittel zum Aussperren bekannter Spamserver. Leider ist die Wirksamkeit nur so gut wie die Blacklist selbst. Die schon länger inaktive ORDB (Open Relay Database) wird noch immer von vielen Mailservern abgefragt und das obwohl sie schon längere Zeit keine Einträge mehr enthält.

    Um auch den letzten Mailserver-Admin davon zu überzeugen, dass die Liste nichts mehr bringt, haben sie die Betreiber dazu entschlossen, nun jede Anfrage als Hit zu beantworten. Die Folge: Mailserver, die keine Gewichtung in den Blacklists haben weisen jede Mail ab. Anwender von policyd und anderen erhalten zwar eine höhere Spamwahrscheinlichkeit, aber die Mails werden nicht grundsätzlich abgelehnt.

    Die Bitte der Betreiber und auch die logische Schlussfolgerung: Entfernt ordb.org aus Euren Mailservern – es hat keinen Nutzen!

    Die Standardconfig von policyd-weight enthält die ordb übrigens nicht.  Generell rate ich auch zu dem Einsatz eines gewichteten Blacklistings – mehr dazu in diesem älteren Beitrag.

    Artikel: Anti-Spam-Blacklist ORDB listet alles @ heise online

    Pidgin: Kodierungsprobleme lösen

    Seit meinem Umstieg von Trillian Basic, über PSI zu Pidgin habe ich das Problem gehabt, dass ich viele Sonderzeichen wie Umlaute usw. nicht richtig empfangen konnte und teilweise die Nachrichten gar nicht angezeigt werden konnten, da die Fehlermeldung:

    (Es gab einen Fehler beim Empfang dieser Nachricht. Entweder haben Sie und XXX unterschiedliche Kodierungen gesetzt oder XXX hat einen fehlerhaften Client.)

    Diese Nachricht erschien immer, wenn ein anderer Pidgin-User mir eine Nachricht mit Umlauten sendete – sehr nervig für beide Seiten, wenn immer auf Umlaute geachtet werden muss.

    In einem Forum fand ich den Hinweis auf eine fehlerhafte GTK-Version, welche mit der aktuellen Pidgin 2.4.0 gebundelt wurde. Daher deinstallierte ich nur das GTK for Windows ( 2.12.8 Rev A ) und ersetzte es mit einer älteren Version ( 2.12.1 Rev B) von der Sourceforge-Seite von Pidgin.

    Ergebnis: Umlaute werden wieder fehlerfrei angezeigt und alle sind glücklich.

    Links:

    PS: Vielen Dank an Elisabeth für den ersten Hinweis.

    Schneller DNS-Check

    Gerade nach einer DNS-Umstellung oder einem Providerwechsel will man sicher sein, dass alles korrekt aufgelöst wird und vor allem die eMails dort ankommen, wo sie sollen. Dafür gibt es eine kleine Hilfe auf www.checkdns.net.

    Gibt man im Formular einen Domainnamen ein, prüft der Schweizer Anbieter, ob die zur Domain gehörenden Nameserver online und synchronisiert sind, ob ein Webserver auf www.* läuft und ob die eingetragenen Mailserver zum Empfang bereit sind.

    Comeback der Bootsektor-Viren(?)

    Wie TecChannel.de berichtet wurde ein RootKit entdeckt, welches sich auf einem Vista-System als Virus im MasterBootRecord einnistete. Es war zwar nur begrenzt lauffähig, zeigt aber die Machbarkeit.

    Das Gefährliche an dieser Art Schädling ist, dass das System des Nutzers beim Start in eine virtuelle Umgebung verschoben wird und somit sämtliche Hardware-Aufrufe (z.B. Virencheck auf der HDD) durch die Abstraktionsschicht des Viruses gesendet werden müssen. Der Virus hat also viel größere Chancen, sich versteckt zu halten.

    Link:

    Comeback der Bootsektor-Viren @ TecChannel.de

    Vishing? Nie gehört!

    Den an sicherheitsrelevanten Applikationen (Homebanking etc.) Interessierten sollte der Begriff Phishing ja schon mal untergekommen sein. Aber als ich in diesem Heise-Artikel von Vishing las, musste ich doch erstmal stutzen, denn diese Bezeichnung hatte ich noch nie gehört. Vielleicht, weil ich keinen VoIP-Anschluss habe?!

    Nun bin ich also etwas schlauer… und Ihr auch 😉

    Links:

    Phishing @ heise online

    Vishing @ wiki

    Windows-Shortcuts für Konsolenfreaks

    Als Linux-Konsolen-Anhänger ist man es oft unter Windows Leid sich durch die immer gleichen Dialoge zu klicken, um die eine Einstellung an dem PC zu ändern. Auch wenn ich oft nicht verhindern kann, dass ich “das Häkchen” dann letzten Endes in der GUI setzen muss, so suche ich doch stets Möglichkeiten den Weg dahin zu verkürzen.

    Im MCSEBoard habe ich dafür eine wunderbare Aufstellung aller Befehle gefunden, die man schnell mittes Start->Ausführen (bzw. WIN+R) starten kann.

    MCSEboard.de: Konsolenbefehle für Windows XP und Server 2003