Schlagwort-Archiv: (be)merkenswert

Aufgehangene SSH-Verbindung beenden

Wenn sich eine SSH-Verbindung aufhängt, weil z.B. der Host rebootet wird und die Verbindung nicht richtig geschlossen wird, kann man durch Eingabe von ~. die Verbindung clientseitig beenden und damit wieder auf seiner Shell landen.Mehr Infos dazu gibt es in der Manpage von ssh oder auch hier: https://www.freebsd.org/cgi/man.cgi?query=ssh#ESCAPE_CHARACTERS

Debian-Paketlisten sichern und wiederherstellen

Für den Umzug auf neue Hardware möchte ich meine installierten Pakete auch auf dem neuen System installieren. Dazu sichere ich die Paketlisten mit dpkg. Dabei geht allerdings die Information verloren, ob ein Paket manuell oder aufgrund von Abhängigkeiten automatisch installiert wurde. Mit apt-mark lässt sich diese Information ebenfalls speichern.Paketliste sichern:

dpkg --get-selections > packages.listapt-mark showauto > packages_auto.lstapt-mark showmanual > packages_manual.lst

Paketliste wiederherstellen:

dpkg --set-selections < packages.listapt-get -u dselect-upgradeapt-mark auto `cat packages_auto.lst`apt-mark manual `cat packages_manual.lst`

Kurztipp: Mit Bash neuste Datei(en) in einem Verzeichnis finden

In meinem Fall möchte ich den aktuellsten MySQL-Dump ermitteln.

ls -tl /var/backups/mysql/*.sql.gz|head -n1|awk '{print $8}'

Um z.B. die drei aktuellsten Dateien zu finden, verwendet man head -n3.

Sun JRE unter Ubuntu 10.10

Canonical hat in der aktuellen Ubuntu-Version die Javapakete standardmäßig entfernt. Man wird gebeten, die freie Laufzeitumgebung aus dem OpenJDK-Projekt zu verwenden. Die Pakete der originalen Sun-JRE lassen sich dennoch recht einfach nachinstallieren:

sudo echo "deb http://archive.canonical.com/ubuntu maverick partner" >> /etc/apt/sources.list.d/canonical-partner.listsudo apt-get updatesudo apt-get install sun-java6-jre sun-java6-plugin

Freunde der GUI (hier Gnome) gehen folgendermaßen vor:

  • Im Gnome-Menü unter System/Systemverwaltung die Synaptic-Paketverwaltung starten.
  • Im Programmenü auf Einstellungen/Paketquellen klicken.
  • Den Tab Andere Software auswählen.
  • Häkchen bei Canonical-Partner setzen.
  • Nach einem Klick auf Schließen in der Menüleiste auf Neu laden klicken.
  • Jetzt lassen sich die Pakete sun-java6-jre und sun-java6-plugin über die Paketverwaltung installieren

Xming – X-Server für Windows

Gerade wollte ich nach langer Zeit mal wieder von einem Windows-System aus eine X-Anwendung auf einem entfernten Linux-System starten. Das war damals mit kostenlosen Lösungen sehr kompliziert (cygwin). Inzwischen hat sich aber einiges getan.Mit Xming lässt sich das ganz einfach realisieren. Einfach installieren und es findet seinen Platz im System-Tray.Nun kann PuTTY gestartet werden und in den Optionen unter Connection/SSH/X11 das X11-Forwarding aktiviert werden. Wenn man sich jetzt mit einem Rechner verbindet, auf dem ein X-Server läuft, kann man ein X-Programm starten (z.B. xcalc), das sich darauf hin in die Windows-Oberfläche einbindet.

Xming in Action

ARP-Cache unter Linux vergrößern

Die Ursachen von Verbindungsabbrüchen in einem größeren LAN zu finden ist schwierig, in meinem Fall war die ARP-Tabelle des Routers voll. Auf Debian-Systemen ist sie standardmäßig auf 1024 Einträge begrenzt. Ist der Adressraum des Netzwerks größer, könnte jemand allein durch einen Ping-Scan die ARP-Tabelle des Routers füllen. Wenn das passiert, ist im Kernel-Log folgende Meldung zu lesen.

Dec 16 09:08:19 router kernel: [14468939.388404] Neighbour table overflow.
07f04265d31c65c1f6d0fb24672f03bd004

Um die Optionen dauerhaft zu speichern, sollten sie in die sysctl.conf eingetragen werden.

net.ipv4.neigh.default.gc_thresh2=32768net.ipv4.neigh.default.gc_thresh3=65536

Kurztipp: selbstsigniertes OpenSSL-Zertifikat mit einem Befehl

Es gibt Befehle, die man nicht oft genug nutzt, um sie aus dem Kopf zu wissen, aber doch in schöner Regelmäßigkeit nutzen muss.Dazu gehört es für Testzwecke oder interne Systeme auch das Erstellen von selbstsignierten SSL-Zertifikaten. Damit geschützte Systeme sind genau so gesichert wie welche mit gekauften Zertifikaten, nur dass der Browser eine Fehlermeldung anzeigt, weil der Aussteller unbekannt ist. Für interne Zwecke also meistens durchaus ausreichend.

Urban Legend beseitigt: Mehrfaches Überschreiben ist sicherer

Dass Festplatten nicht ungesäubert an fremde Personen weitergegeben werden sollten, hat sich ja nun bei fast allen rumgesprochen. Lange hielt und hält sich die Meinung, dass das Überschreiben nur ausreichend ist, wenn man es mehrfach durchführt. Es gibt sogar Standards mit festgelegten Reihenfolgen und Häufigkeiten.Da der Forensikexperte Craig Wright dies nicht so recht glauben wollte, fertigte er im letzten Jahr dazu eine Studie an. Das Ergebnis: Bereits einfaches (aber komplettes) Überschreiben genügt, um die Wiederherstellung der Daten zu verhindern.

Kurztipp: Amavisd-new und Bitdefender for Unices

Nach einem Update auf die 64Bit-Version von Bitdefender for Unices funktionierte die Regex nicht mehr, die Amavisd-new ( hier 2.6.1 auf Debian Lenny) verwendet, um aus dem Virenscanner-Output das Scanergebnis zu lesen.Im Syslog erscheint dazu:

Aug 22 14:11:35 www amavis[26474]: (26474-01) (!!)BitDefender av-scanner FAILED: /usr/bin/bdscan unexpected exit 0, output="BitDefender Antivirus Scanner for Unices v7.90123 Linux-amd64\nCopyright (C) 1996-2009 BitDefender. All rights reserved.\n\nInfected file action: ignore\nSuspected file action: ignore\n/var/lib/amavis/tmp/amavis-20090822T141130-26474/parts/p001  ok\n\n\nResults:\nFolders: 0\nFiles: 1\nPacked: 0\nArchives: 0\nInfected files: 0\nSuspect files: 0\nWarnings: 0\nI/O errors: 0\n" at (eval 86) line 527.

Kurztipp: Java erkennt Timezone nicht richtig unter Debian & Co.

Damit ich es nicht vergesse und andere das Problem vielleicht auch haben:Unter Debian tauchte das Problem auf, dass sämtliche Zeiten nicht der Sommerzeit entsprachen und somit um eine Stunde versetzt waren.Da dies in vielen Fällen (z.B. Logging) zu Problemen führen kann, sollte eine Lösung her.

Globalisierung – nein danke! DNS-Hauptschlüssel geht an VeriSign

Wie die iX berichtet ist eine Entscheidung bezüglich der Betreuung des DNSSEC-Systems gefallen. Das amerikanische Privatunternehmen VeriSign, das bereits als Verwalter der Top-Level-Domains .com und .net sowie als SSL-Zertifizierungsstelle bekannt ist, soll nun auch die Verwaltung der Einzelschlüssel sowie des Root-Schlüssels übernehmen. Ohne die Signierung durch diesen Key ist eine Signierung von Subzonen nicht möglich.Die Entscheidung fiel entgegen der Bedenken der ICANN sowie zahlreicher Experten, die u.a. eine zu große Einflussmöglichkeit der US-amerikanischen Regierung kritisierten.

Suchmaschinen: Wolfram Alpha vs. Google

Bereits als “Google”-Killer gehandelt ist die neue Suchmaschine Wolfram|Alpha von Mathematica-Erfinder Stephen Wolfram mittlerweile in eine “closed beta”-Phase eingetreten.Doch was ist so besonders an dieser Suchmaschine, dass ihr zugetraut wird, Googles Allmacht zu trotzen und an den etablierten Engines vorbeizuziehen?In einem Blog-Eintrag erklärt der “Erfinder” selbst, welches Problem er versucht zu lösen: Die Suchmaschine soll aus der Eingabe erkennen, welches Problem der Benutzer gerade klären will und bereits voraufbereitete Daten anzeigen.

Internetsperren umgehen: Linux-Terminal schlägt Windows-GUI

Dass die angedachten und bereits vom Kabinet abgesegneten DNS-Sperren leicht zu umgehen sind, ist vielen bekannt.Dass es aber innerhalb von Sekunden zu realisieren ist, weiß vielleicht noch nicht jeder meiner Besucher.Anbei zwei Videos, eins für Linux, eines für Windows.UPDATE: Da in der Auflistung ja noch mindestens Mac OSX fehlte, hat Diazepam eine “Anleitung” dafür nachgeschoben und auch sogleich den Thron erobert. (Aufgrund von Suchmaschinen und Feedcrawlern werde ich aber den Postttitel nicht mehr ändern.)

Netzneutralität vs. Wirtschaftlichkeit vs. Freiheit

Noch immer fällt es vielen von uns als Experten schwer, den Normalbürger (Eltern, Geschwister, Bekannte) über die Gefahren der neuen Gesetzgebungsinitiativen bzw. der Providerbestrebungen verständlich zu informieren.Der “Elektrische Reporter” – ein Magazin des ZDF – hat sich der Problematik angenommen und mit lockeren Erklärungen und Bildern das Thema schön anschaulich dargestellt.Zeigt dies also den Unwissenden auf dass sie die Probleme verstehen.

Kurztipp: usermod und die zusätzlichen Gruppen

Gerade stellte sich mir das Problem: Ein Script soll beim Anlegen eines Users und einer Gruppe den Web-User (www-data) der neuen Gruppe hinzufügen. Das funktionierte auch wie gewünscht:

usermod -G user123 www-data

Das Problem: Der Benutzer www-data ist nun zwar Mitglied der Gruppe user123, hat allerdings in allen anderen Gruppen “vergessen”, dass er dazu auch gehören sollte. Das sollte natürlich nicht passieren, denn der Aufruf soll ja nur ergänzend und nicht ersetzend sein. Ein Blick in die Manpage zeigt die einfache Lösung, die ich leider bisher übersah:

usermod -G user123 -a www-data

Der Parameter -a hängt die neue Gruppe an die bisherigen an und erhält damit die Gruppenzugehörigkeiten.

Browser-Statistik.de – weareroot hilft auch

Für Webentwickler, Leute, die die Grabenkämpfe niemals aufgeben wollen, und die Nerds, die einfach immer zu einer Gruppe mit 0,5% gehören wollen: Hier ist eure Wissensquelle!

Browser-Statistik.de zählt über die Einbindung einer Grafik in die eigene Homepage die User-Agents und bietet auf der eigenen Seite einen guten Überblick über die verschiedenen Browser-“Marken” sowie deren einzelnen Versionen. Dabei werden auch die wichtigen Punkte wie Veröffentlichung neuer Versionen in den Verlaufsgrafiken markiert.

Seit gestern zählt auch dieser Blog mit zu den Datenlieferanten. Die Grafik findet Ihr in der Sidebar gaaaaanz unten.

Link:

Erfolgreicher Angriff auf das SSL-Zertifikatsystem

Wie heise Netze berichtet, ist ein Angriff auf das SSL-Zertifikatsystem gelungen. Dieser ermöglicht es, für ein alle gängigen Browser gültiges Herausgeberzertifikat zu erstellen.

Dieses Herausgeberzertifikat ermöglicht es damit signierte, gültige SSL-Zertifikate zu erzeugen mit denen z.B. Man-in-the-Middle-Attacken für Bank-Websites und andere sicherheitskritische Anwendungen durchgeführt werden können.

Die betreffenden Forscher stellten das Demo-Zertifikat zur Verfügung, aber aus Sicherheitsgründen nur mit einem Ablaufdatum von 2004.

Der Angriff beruht auf einer erhöhten Kollisionswahrscheinlichkeit der MD5-Hashfunktion. Daher wird diese Hashfunktion auch nur noch von ca. 30% der sich im Umlauf befindenden Zertifikaten zur Absicherung des sog. Fingerprints verwendet.

Zur Überprüfung, ob die derzeit besuchte Seite von einem “angreifbaren” Zertifikat geschützt wird, existiert eine SSL-Blacklist. Diese wird von von dem Firefox Add-On SSL-Blacklist 4.0 verwendet, um den Benutzer zu warnen. Nach kurzem Test kam mir bisher noch kein problematisches Zertifikat unter. (Das Plugin meldet aber einen Fehler auf der Testseite: https://bad.codefromthe70s.org)

via: heise Netze: 25C3: Erfolgreicher Angriff auf das SSL-Zertifikatsystem.

Private Shell-Kommando Hitliste

Wo alle am Jahresende gerade so in Bilanz-Stimmung waren, lief mir etwas interessantes über den Weg: Ein Einzeiler, der aus der bash-history ein Best-of extrahiert. Und das geht so:

	history | awk '{a[$2]++ } END{for(i in a){print a[i] " " i}}' | sort -rn | head

Meine Top 10 aus der aktuellen bash:

52 l
50 htpasswd
50 cd
35 tail
29 exit
28 mc
27 /etc/init.d/apache2
19 grep
18 chown
16 rm

via: http://www.marianoiglesias.com.ar: My top 10 commands for July, 2008

AVG-Update macht XP-PCs unbrauchbar

Es gibt Fehler, die darf es eigentlich nicht geben. So zum Beispiel der, der kostenlosen (immer noch ?) Antivirenlösung passierte. Durch die Erkennung eines False-Postives, also einer versehentlichen und falschen Virenerkennung, in der user32.dll wird diese in die Quarantäne geschoben und damit unbrauchbar gemacht. Danach ist ein Einloggen in das Windows-System (XP) nicht mehr möglich.

Der Fehler ist nur durch eine manuelle Wiederherstellung der Datei mittels Windows-CD zu beheben.

Peinliche Sache…

via: TecChannel.de: AVG-Update macht XP-PCs unbrauchbar

Link: Lösung von AVG | Topic #1574 / 1579