WE ARE ROOT

Damit ich es nicht vergesse und andere das Problem vielleicht auch haben:

Unter Debian tauchte das Problem auf, dass sämtliche Zeiten nicht der Sommerzeit entsprachen und somit um eine Stunde versetzt waren.

Da dies in vielen Fällen (z.B. Logging) zu Problemen führen kann, sollte eine Lösung her.

weiterlesen…

Ich hab es leider verpasst, aber berichtenswert auf Geek-Niveau ist es ja trotzdem:

$ date -d @1234567890
Sa 14. Feb 00:31:30 CET 2009

via: heise Security: 14.02.09 – 1234567890

Gerade stellte sich mir das Problem: Ein Script soll beim Anlegen eines Users und einer Gruppe den Web-User (www-data) der neuen Gruppe hinzufügen. Das funktionierte auch wie gewünscht:

usermod -G user123 www-data

Das Problem: Der Benutzer www-data ist nun zwar Mitglied der Gruppe user123, hat allerdings in allen anderen Gruppen “vergessen”, dass er dazu auch gehören sollte. Das sollte natürlich nicht passieren, denn der Aufruf soll ja nur ergänzend und nicht ersetzend sein. Ein Blick in die Manpage zeigt die einfache Lösung, die ich leider bisher übersah:

usermod -G user123 -a www-data

Der Parameter -a hängt die neue Gruppe an die bisherigen an und erhält damit die Gruppenzugehörigkeiten.

Debian Lenny soll aller Voraussicht am nächsten Wochenende (14. Februar 2009) vom Status testing in stable gehoben werden. Die derzeit aktuelle Version Debian Etch wird damit in den Status  oldstable wechseln.

Mit dieser Veränderungen ist auch eine Änderung der Paketbasis verbunden. Wer nämlich in der Paketverwaltung APT (Tools apt bzw. aptitude) einfach nur auf den stable-Zweig verweist, wird ab der Statusänderung plötzlich statt mit Etch-Paketen mit Lenny-Paketen versorgt.Dies führt dazu, dass nahezu alle installierten Pakete veraltet sein werden und nach einem Upgrade schreien.

weiterlesen…

Gerade fand ich wieder einmal ein Juwel auf german-bash.org das ich gern mit Euch teilen will. Ein Wannabe-Serveradmin braucht wohl Hilfe mit seinem MySQL-Server und bekommt, was er verdient:

<SargoDarya>du hast mir gerade nicht nur die Daten von MySQL sondern von dem root server gegeben <SargoDarya>ich könnt jetzt den Server übernehmen das ist schon klar oder?
<Chris> jaa **
<SargoDarya> Merks dir für die Zukunft. Ich bin so nett und lösch heute mal ausnahmsweise nur den \var ordner
<Chris> oO…..
<SargoDarya> der \etc lächelt mich auch so ein wenig an.
<Chris>höre auf :/
<SargoDarya> war nur nen joke
<Chris> gut.. …

<Chris> DU HAST IHN GELÖSCHT!!!
<SargoDarya> Ich konnt nicht widerstehen

Wer so sorglos mit seinen wichtigsten Daten umgeht, hat wohl diese Lektion verdient.

Einen verspäteten Rückblick der ganz besonderen Art liefert uns der das Online-Portal tecchannel.de. Die “besten Server-Artikel 2008” werden auf der Seite kostenlos zum Download als PDF angeboten (jeweils rechts in der Sidebar). Alternativ kann man sich auch den Beitrag online auf der Seite durchlesen.

Die Themen im Überblick:

• Test: Erste 6-Core-CPU von Intel
• Test: AMD Opteron 2384 – neue CPU-Generation Shanghai
• Profi-Virtualisierung kostenlos: VMware Server unter Linux
• Workshop: VMware Converter in der Praxis
• Microsoft Hyper-V, Herausforderer in Sachen Virtualisierung
• Workshop: XenServer 5 Installation und Konfiguration
• Green IT: Strom sparen in Serverräumen durch optimales Energiemanagement
• Virtualisierung: Ratgeber für die Migration von Servern
• So richten Sie Ubuntu Server 8.04 inklusive Webmin ein
• Mercury: Schlanker Mailserver für Windows

Wie man sieht, nimmt es TecChannel mit dem Begriff “Server” nicht ganz so genau und streut die Themen sehr über alles, was mit Servern zu tun hat. Vielleicht ist ja trotzdem (oder gerade deswegen) für jemanden etwas Interessantes dabei.

Viel Spaß beim Stöbern.

Link: TecChannel.de: Top Server-Artikel 2008

Wo alle am Jahresende gerade so in Bilanz-Stimmung waren, lief mir etwas interessantes über den Weg: Ein Einzeiler, der aus der bash-history ein Best-of extrahiert. Und das geht so:

	history | awk '{a[$2]++ } END{for(i in a){print a[i] " " i}}' | sort -rn | head

Meine Top 10 aus der aktuellen bash:

52 l
50 htpasswd
50 cd
35 tail
29 exit
28 mc
27 /etc/init.d/apache2
19 grep
18 chown
16 rm

via: http://www.marianoiglesias.com.ar: My top 10 commands for July, 2008

So stellt sich ein Linux-Geek wohl das ideale Date vor…

who | grep – i blonde | talk
cd home ;wine; talk; touch; unzip; strip; gasp;
finger; mount; fsck; more; yes; gasp; unmount;
make clean; sleep .

Nun wird so mancher wohl leicht erröten, wenn er das nächste Mal auf der Konsole eine Datei entpackt…

Danke an Chris für dieses Posting

Heute war ich mal wieder auf dem Optimierungstripp und wollte endlich mal erreichen, dass die von dem Inhouse-Linux-Server abgesendeten Mails (von Cronjobs usw.) nicht immer mit dem Namen des ausführenden Users erscheinen, sondern mit etwas aussagekräftigerem. Weiterhin werde ich der Vollständigkeit halber gleich auch noch erklären, wie man die Absenderadresse so umschreibt, dass man lokalen Usern mit lokaler Domain wie root@server3 (welche aus dem Internet nicht erreichbar wären) auch vernünftig antworten kann.

weiterlesen…

Als Sysadmin hat man so einige -vermeintlich einfache- Probleme, die dann im Detail doch etwas Verrenkungen bedeuten, um sie zu lösen.

Heute galt es herauszufinden, warum die Test-Installation von Open-Xchange nicht laufen will. Ein Blick ins Log ergab, dass der Prozess 256MB Ram anforderte – etwas zuviel für den Testserver mit 256MB abzüglich einer Onboard-Grafikkarte (also 240MB effektiv).

Nun zum nächsten Problem: Wie bekomme ich heraus unter Debian-Linux in der Konsole heraus, welche Art Speicher in welcher Verteilung verbaut ist, ohne den Server auszuschalten und zu öffnen?

weiterlesen…

Da ich hier das Programm bereit empfohlen habe und selbst auch noch nutze, fühle ich mich verpflichtet auf folgendes hinzuweisen:

Laut heise Netze wurde in Pidgin eine Schwachstelle entdeckt, die

das Chat-Programm zum Absturz zu bringen oder es gar beliebigen Schadcode mit Anwenderrechten ausführen zu lassen

kann.

Der Anwender muss dazu laut Juan Pablo Lopez Yacubian, dem Entdecker der Schwachstelle, einen MSN-Dateitransfer mit einem überlangen Dateinamen annehmen.

Unter Umständen seien auch andere Protokolle wie ICQ betroffen.

Es ist also ratsam, Dateianhänge vorerst nur von vertrauenswürdigen Sendern anzunehmen. Ein Patch ist derzeit noch nicht verfügbar, sollte aber über die Autoupdate-Funktion von Pidgin angeboten werden.

Quelle: heise Netze – Schwachstelle in Instant-Messenger Pidgin

Eine neue Version der Backup-Software duplicity wurde bereits am 05. Mai 2008 veröffentlicht. Es handelt sich scheinbar nur um eine Bugfix-Version.

Mehr Info zum Programm: duplicity-Homepage

Direkter Download: duplicity 0.4.11

weiterlesen…

Immer wieder braucht man ein paar Programme und ist sich nicht mehr über die Syntax bzw. die Möglichkeiten bewusst oder der Name des Tools will partout nicht einfallen. Da kann eventuell diese Auflistung helfen, die alltägliche Tools aus vielen Bereichen kurz beschreibt und so die Wissenslücke hoffentlich wieder schließen kann.

Link: Unix Toolbox

via adminlife.net

Man kennt das: Man sucht eine Variable oder einen bestimmten String und weiß partout nicht, in welcher der 10.000 Dateien sich diese/r befindet.

Auf der Konsole hat man grep zur Verfügung. Beim Studium der manpage von dem Tool fiel mir Parameter –color auf, den ich seit dem ständig nutze. Er bewirkt, dass der Suchbegriff innerhalb der Zeile farbig markiert wird, sodass er leichter zu entdecken ist. Sehr praktisch.

Beispiel:

grep --color -r "Suchbegriff oder regulärer Ausdruck" /etc

Mittels eines Eintrags in der .bashrc im eigenen $HOME-Verzeichnis kann man auch grep dazu bringen, jedes Mal den Suchbegriff zu markieren.

Manuell eintragen…

alias grep='grep --color'

…oder gleich direkt an die Datei anfügen:

echo -n "alias grep='grep --color'" >> ~/.bashrc

Kennt ihr noch mehr sinnvolle Parameter? Immer her damit!

Matthias hat in seinem Blog wieder mal einen guten Tipp gehabt: Spickzettel für awk und sed, Tools die sehr mächtig sind, aber wohl viele von uns zu selten verwenden, um die komplette Syntax intus zu haben.

Also, lieber Matthias, danke für diesen Tipp!

Spickzettel für awk und sed @ adminlife.net

ACHTUNG: Die in diesem Artikel besprochenen Versionen sowohl von ftplicity als auch duplicity sind bereits veraltet. Die grundsätzlichen Erklärungen sind zwar weiterhin valid, aber die Syntax oder Konfigurationsparameter könnten sich geändert haben. Bitte verwendet den Such-Tag “duplicity” bzw. den Such-Tag “ftplicity” und die Kommentare, um aktuelle Informationen zu finden.

So, die neue Version 0.4.6 von duplicity wurde vom Team released (endlich mal kein RC) und auch umgehend von mir installiert und getestet.

Die Installation ist denkbar einfach:

• Bitte vorher ein eventuell installiertes Distributions-Paket deinstallieren, damit es keine Konflikte mit der Paketverwaltung gibt. Eigenhändig installierte Vorversionen müssen aber nicht entfernt werden.
• Download der Files:
  

  cd downloads # Beispielpfad
  wget http://savannah.nongnu.org/download/duplicity/duplicity-0.4.6.tar.gz

  Entpacken

  tar -xzf duplicity-0.4.6.tar.gz

• In das Verzeichnis wechseln.
  

  cd duplicity-0.4.6

• Version bauen und installieren
  

  python setup.py build
  python setup.py install

• Fertig.

Für die Verwender von ftplicity: Wie alle duplicity-Versionen ab 0.4.4 funktioniert nur dies mit meiner angepassten Version von ftplicity.

LINK: Zum [duplicity]-changelog…

Der geplagte Sysadmin hat den ganzen Tag soviel zu tun – eines davon ist, die ausstehenden Patches im Auge zu behalten. Üblicherweise werden dazu RSS-Feeds und Mailinglisten abonniert und im Falle von Debian regelmäßig

aptitude update && aptitude dist-upgrade

ausgeführt, um nach Aktualisierungen der Debian-Pakete zu suchen.

Was für selbst compilierte Software nicht so richtig geht, ist für die Debian-Pakete möglich: Die Automatisierung des Checks.

Es gibt einige Admins, denen der manuelle Updatevorgang auch noch zu müselig ist und die das Update (mit Parametern) ebenfalls via cron erledigen. Ich bin allerdings der Meinung, dass dies zu “gefährlich” ist, da es in manchen Fällen vorkommt, dass die geupdateten Dienste nicht mehr starten oder andere Fehler produzieren. Ein waches wachsames Auge des Sysadadmins kann da schon helfen.

Also suchte ich nach einer Möglichkeit zeitnah über neue Pakete und deren Bugfixes informiert zu werden und fand sie:

apticron informiert via Mail, sobald neue Pakete zur Verfügung stehen. Im Zusammenspiel mit dem Perl-Skript apt-listbugs sieht man in der Infomail (und auch bei jedem manuellem Updatevorgang) auch gleich, welche Bugs gefixt wurden und kann so nach Wichtigkeit das Update planen.

So sieht eine Beispielmail dann im Ergebnis aus:

apticron report [Sat, 01 Dec 2007 06:35:14 +0100]
========================================================================

apticron has detected that some packages need upgrading on: 

	fqdn.tld
	[ 123.123.123.123 ]

The following packages are currently pending an upgrade:

	libmysqlclient15off 5.0.32-7etch3
	mysql-client-5.0 5.0.32-7etch3
	mysql-common 5.0.32-7etch3
	mysql-server-5.0 5.0.32-7etch3

========================================================================

Package Details:

Lese Changelogs...
--- Änderungen für mysql-dfsg-5.0 (libmysqlclient15off mysql-client-5.0 mysql-common mysql-server-5.0) ---
mysql-dfsg-5.0 (5.0.32-7etch3) stable-security; urgency=high

  * SECURITY:
    Fix for CVE-2007-5925: The convert_search_mode_to_innobase function in
    ha_innodb.cc in the InnoDB engine in MySQL 5.1.23-BK and earlier allows
    remote authenticated users to cause a denial of service (database crash)
    via a certain CONTAINS operation on an indexed column, which triggers an
    assertion error. (closes: #451235)

 -- Norbert Tretkowski <nobse@debian.org>  Thu, 15 Nov 2007 18:51:30 +0100

mysql-dfsg-5.0 (5.0.32-7etch2) stable-security; urgency=high

  * Security release prepared for the security team by the Debian MySQL
    maintainers. The patches were mostly taken from the Ubuntu project.
  * CVE-2007-2583: The in_decimal::set function in item_cmpfunc.cc in MySQL
    allowed context-dependent attackers to cause a denial of service (crash)
    via a crafted IF clause that results in a divide-by-zero error and a NULL
    pointer dereference. Closes: #426353
  * CVE-2007-2691: MySQL did not require the DROP privilege for RENAME
    TABLE statements, which allows remote authenticated users to rename
    arbitrary tables. Closes: #424778
  * CVE-2007-2692: The mysql_change_db function in MySQL did not restore
    THD::db_access privileges when returning from SQL SECURITY INVOKER
    stored routines, which allowed remote authenticated users to gain
    privileges. Closes: #424778
  * CVE-2007-3780: It was discovered that MySQL could be made to overflow
    a signed char during authentication. Remote attackers could use crafted
    authentication requests to cause a denial of service.
  * CVE-2007-3782: Phil Anderton discovered that MySQL did not properly
    verify access privileges when accessing external tables. As a result,
    authenticated users could exploit this to obtain UPDATE privileges to
    external tables.

 -- Christian Hammers <ch@debian.org>  Tue,  6 Dec 2007 21:54:01 +0100

========================================================================

You can perform the upgrade by issuing the command:

	aptitude dist-upgrade

as root on fqdn.tld

It is recommended that you simulate the upgrade first to confirm that
the actions that would be taken are reasonable. The upgrade may be
simulated by issuing the command:

	aptitude -s -y dist-upgrade
--  apticron

Zu installieren sind beide Tools ganz leicht über aptitude.

Da ich mich mit DKIM im Zusammenhang mit Postfix noch einmal auseinander setzen will, hier mal als Merkzettel 2 Links zu Tutorials bzw. Konfigurationshinweisen…

• amavisd-new documentation bits and pieces
• Sendmail DKIM

Wenn ich das mal mit etwas Zeit umgesetzt habe, kommt hier sicherlich noch eine genauere Beschreibung meinerseits.

Wieder mal ein schönes Kunstwerk zum Schmunzeln…

Quelle: linux-lernen.info (von Chris)