Tag: linux

ich hatte gestern einen server von einem rootkit zu befreien… zumindest nach bestem wissen und gewissen, damit die kiste wieder laeuft und keinen unfug mehr macht. an einer neuinstallation geht da sowieso nichts dran vorbei… sicher ist sicher.

auf jeden fall kann man da auch mal schmunzeln, wenn einem sowas unterkommt:

# lsattr /bin/ls
suS-iadAc--------- /bin/ls

# chattr -suSiadAc /bin/ls

was nur die susi mit dem adac hat…

wens interessiert… das sind flags im ext2 dateisystem. wikipedia schreibt dazu:

Das Flags-Feld enthält einige ext2-spezifische Flags, die nicht beispielsweise durch chmod beeinflusst werden können. Diese Flags können mit dem Programm lsattr gelistet werden und mit chattr geändert werden. Diese Flags erlauben einer Datei besonderes Verhalten, welches über die POSIX-Dateiflags nicht darstellbar ist: Es gibt Flags für sicheres Löschen, Unlöschbarkeit, Kompression, synchrone Updates, Schreibschutz, indizierte Verzeichnisse, Journaling und einiges mehr. Nicht alle Flags werden jedoch vom ext2-Treiber im Kernel umgesetzt.

bei selflinux.org gibts leicht verstaendliche erklaerungen auf deutsch dazu, die ich einfach mal hier reinkopiert hab:

s (Secure Delete)

Wenn das System diese Datei löscht, werden alle Datenblöcke auf dem Datenträger zufällig überschrieben.

u (Undelete)

Wenn eine Anwendung das Löschen der Datei fordert, soll das System die Datenblöcke so “konservieren”, dass das Löschen der Datei auch wieder rückgängig gemacht werden kann. Diese Funktion ist derzeit noch nicht impementiert.

S (Sync)

Wenn eine Anwendung gerade den Schreibprozess durchführt, soll das System alle Änderungen sofort und ungepuffert auf dem physischen Datenträger abspeichern.

i (Immutable)

Das System verbietet jegliche Änderungen an der Datei. Im Falle eines Verzeichnisses können Dateien, die in diesem Verzeichnis bereits existieren, verändert werden. Weder das Löschen noch das Anlegen von Dateien ist möglich.

a (Append Only)

Das System erlaubt das Öffnen dieser Datei nur zum Zwecke der Erweiterung und verbietet explizit allen Prozessen das Überschreiben bzw. Löschen bereits gespeicherter Daten (sinnvoll bei log-Dateien). Ebenfalls untersagt ist das Löschen, Umbenennen, Verschieben und “hartes” Linken der Datei. Wird das Flag auf einem Verzeichnis angewendet, dürfen darin keine Dateien angelegt oder gelöscht werden.

d (No Dump)

Das dump Programm soll diese Datei beim Backup ignorieren.

A (Atime)

Das System soll die “atime” (access time) dieser Datei nicht aktualisieren.

c (Compress)

Das System soll diese Datei “transparent” komprimieren. Beim Schreiben in die Datei wird deren Inhalt komprimiert und erst danach auf dem physischen Datenträger abgelegt, beim Lesen der Datei werden jedoch stets dekomprimierte Daten zurückgegeben. Diese Funktion ist derzeit noch nicht implementiert.

das stand schon lange auf meiner liste der “sachen, die ich unbedingt nachschlagen muss”: die grub konfiguration bei einem software raid1 unter linux. und jetzt bin ich rein zufaellig beim hostbogger drueber gestolpert: “Insbesondere ist es wichtig, sicherzustellen, dass beim Totalausfall eines physikalischen Laufwerks von der nächsten (meist einzigen) anderen, die in diesem Falle dann zur ersten wird, gebootet werden kann.”

• /boot/grub/device.map editieren:

(hd0) /dev/sda
(hd0) /dev/sdb
(hd0) /dev/sd

• in der Grub-Shell

root (hd0,1) # Natürlich die /boot-Partition angeben
setup (hd0)
setup (hd1)
setup (hd)

Das Ganze hat den Hintergrund, dass sich beim Booten mit fehlendem Laufwerk die Nummerierung ändert, aber immer ein hd0 vorhanden ist.

es war mal wieder so weit und ich musste einen vmware server installieren. dank meines eigenen howto’s sollte das eigentlich kein problem sein… dachte ich. die installation hat soweit auch geklappt (mit den beschriebenen tricks). bloss der erste connect mit dem browser nach der oblogatorischen fehlermeldung wegen des zertifikats ins leere. in der datei /var/log/vmware/hostd.log konnte ich massig dann eintraege wie diese finden:

[2010-08-18 21:43:51.807 'Proxysvc' 1076664656 warning] SSL Handshake on client connection failed: SSL Exception:

das war sowohl im firefox, als auch im IE so. langes googlen brachte viele voodoo tricks ans tageslicht, aber darunter auch eine ernsthafter, der dann geholfen hat:

Turns out it is Firefox 3.6, in the update the default setting for SSL 2 is off, easy fix, go to about:config and switch security.enable_ssl2 to true.

nach einem reload hat dann der firefox endlich die loginmaske angezeigt. lustigerweise hats dann auch mit dem internet explorer funktioniert. verstehen muss ich das jetzt nicht…

gefreut hat mich, dass der firefox nun ein “bischen kompatibler” zu sein scheint. den mist, den er beim letzten mal angezeigt hat, macht er jetzt nicht mehr. dafuer tauchen andere kuriositaeten auf:

meine physikalische maschine hat 4GB ram:

und der vmware server sagt mir, dass ich maximal 8GB vergeben kann, weil die kiste sonst zu swappen anfaengt:

hmm… ich wills mal lieber nicht ausprobieren. auf jeden fall scheint erstmal alles zu laufen. die webgui ist gewohnt scheisse und haengt ab uns zu, die remote console funktioniert auch nicht immer beim ersten mal, und manchmal muss man sich einfach ausloggen und wieder einloggen, damit die kleinen merkwuerdigkeiten wenigstens termporaer verschwinden.

und wenn die gui schon merkwuerdig ist, muss sich mein server anscheinend auch noch merkwuerdig verhalten… aus heiterem himmel zeigt mir die ssh session das an:

ich wars nicht. die kiste steht im keller und ich bin drei stockwerke weiter oben. ich gehe mal davon aus, dass niemand in meinem keller war und die kiste ausgeschaltet hat… suspicious…

nachdem mein kleines virtuelles maschinchen fuer dieses blog ja nun komplett frisch gemacht ist, muss es auch wieder ins backup rein. aufgrund des langsam eintretenden platzmangels auf der backup kiste habe ich bei den alten backups mal ein bischen aufraeumen muessen. dabei bin ich noch ueber ein uraltes backup dieses servers gestolpert, dessen verzeichnis “kacka serva hacka” heisst. nachdem das lachen wieder nachgelassen hatte, musste ich erstmal ueberlegen, was das ueberhaupt sein soll. schnell kamen die erinnerungen: ich hatte ein rootkit auf dem server, hab das ding deswegen neu installiert und das kompromittierte backup umbenannt. anscheinend wollte ich noch etwas forensische analyse damit betreiben… habs aber dann wohl vergessen. und jetzt… weg damit.

UPDATE: hehe.. und da ich jeden dreck in google eingebe, hab ich das mit “kacka serva hacka” auch mal gemacht. natuerlich stehe ich da mit diesem posting (zumindest im moment) auf platz eins, aber das schwedische “Department of Information Technology” hat die woerter auch in irgendwelchen wortlisten drin. weiss der geier, was die damit machen… eine verzeichnisebene weiter oben liegen bilder mit “krypto” im namen und so… vielleicht habe ich mit meiner wortkreation eine verschluesselte botschaft ueberliefert? 😉

gestern hab ich noch gross getoent, dass das blog vier jahre alt ist… kurz darauf ist mir wie schuppen von den augen gefallen, dass die installation des servers dann ja noch ein bischen aelter ist. duerfte ein etch gewesen sein und mit den updates hatte ich es auch nicht so genau genommen.

also hab ich kurzerhand mal eine neue virtuelle maschine installiert, darauf ein debian lenny installiert, den ganzen kram rueberkopiert und angepasst und voila… hier sind wir wieder. der betrieb ging sogar nahtlos weiter, da ich einfach eine andere ip genommen habe und anschliessend erst den dns eintrag geaendert habe. die alte maschine laeuft derweil weiter.

sogar die performance ist ein bischen besser geworden. ist aber immernoch das gleiche traegersystem an dem gleichen popeligen dsl anschluss. solange die 1 mio hits im monat ausbleiben (was sie auch machen werden), ist das vollkommen ausreichend 😉

ein neues “virtuelles rechenzentrum” muss her. meine alte spielwiese hat nun 2 jahre auf dem buckel und muss mal neu gemacht werden. ausserdem ist es fuer manche faelle zwingend erforderlich, ein 64 bit betriebssystem als gast installieren zu koennen. also muss auch ein 64 bittiger vmware server her. als basis dient ein debian lenny (5.0.3) in der amd64 variante auf einem intel core2duo.
kam mir erst etwas merkwuerdig vor, dass da “AMD64” steht, aber ein blick in die faq verraet, dass ich richtig bin:

Q: Is this port only for AMD 64-bit CPUs?
A: No. “AMD64” is the name chosen by AMD for their 64-bit extension to the Intel x86 instruction set. Before release, it was called “x86-64” or “x86_64”, and some distributions still use these names. Intel refers to its AMD64 implementation as “Intel64” previously named “EM64T”. The architecture is AMD64-compatible and Debian AMD64 will run on AMD and Intel processors with 64-bit support. Because of the technology paternity, Debian uses the name “AMD64”.

die anleitung hab ich fuer die nachwelt als page unter den howtos festgehalten.
in den naechsten tagen werde ich auf dieser basis ein paar sachen installieren. darunter windows 2008, exchange 2010, bes 5.0, sql server 2008 und wie die ganzen dinger heissen. vielleicht schreib ich noch ein bischen darueber… vielleicht auch nicht.

…fuer andere die hoelle. die meisten, die perl kennen, moegen es wahrscheinlich. ich habe aber auch den ein oder anderen kollegen, der die skript-/programmiersprache perl absolut nicht leiden kann. fuer die habe ich dieses nette nummernschild geknipst:

opensource projekte leben davon, dass leute ihre erfahrungen teilen und sich gegenseitig helfen. mein kleiner beitrag (neben aktivitaet auf der mailingliste) dazu ist ein howto und eine faq zu openbenno mailarchive. auf der openbenno eigenen webseite gibts zwar auch ein wiki und so ein kram, aber das teil ist schneckenlahm und absolut nicht mein fall. meine seite laesst sich auch prima ueber google finden und vielleicht verlinken die herren von lw-systems die anleitung und die faq auf ihrer webseite.

das phpjournal hat openbenno nun schon aelter gemacht, als es ist:

01.01.1970… an irgendwas erinnert mich das datum 😉

die firma lw-systems hat ihre loesung zur emailarchivierung “benno” als openbenno unter der GPL veroeffentlicht. an dieser stelle erstmal ein lob fuer diesen schritt. bisher ist im opensource bereich nicht wirklich viel dazu zu finden. ich hab das teil erstmal installiert und es in in vielen ueberfluessigen stunden krampfhaft zum laufen gebracht (ich sag nur: “java”). die auf der webseite verfuegbare installationsanleitung ist sehr knapp gehalten. anfangs dachte ich, dass sie ziemlich ausfuehrlich waere, aber ein stueck weiter unten wurde es immer spartanischer. ansonsten sucht man vergebens eine dokumentation in irgendeiner form. das soll dann wohl die open-source-community nachholen 😉
die mailingliste funktioniert auch noch nicht… man kann sich zwar auf der mailman webseite registrieren, aber das wars dann auch schon. mails an den listen-owner blieben bisher unbeantwortet. da das teil quasi frisch ist, gibt es auch noch nicht viele informationen dazu im internet. aber die leute von lw-systems tummeln sich wenigstens bei den kommentaren zu der pressemitteilung. ein eigenes forum (ihbäh), eine funktionierende mailingliste oder wiki waeren da sicher besser geeignet. vielleicht war die ins netz gestreute pressemitteilung etwas uebereifrig.
auf openbenno.org steht geschrieben: “Das kommerzielle Produkt Benno MailArchiv bietet neben dem Support durch den Hersteller LWsystems GmbH & Co. KG die gesetzeskonforme und revisionssichere E-Mail-Archivierung.” hmm… also noch ein bischen forschen, ob das ueberhaupt den gewuenschten zweck erfuellt. bei pro-linux.de gibts folgendes in den kommentaren zu lesen:

[…]
> gibt es eigentlich irgentwo eine Gegenüberstellung der Funktionen und Features von Benno und OpenBenno?

Zunächst einmal ist beides funktionsidentisch. Naturgemäß entwickeln wir kundenspezifische Anpassungen und Erweiterungen, die nicht Bestandteil von Open Benno MailArchiv sind. Desweiteren werden Funktionalitäten entstehen, die bspw. auf kostenpflichtigen Dienstleistungen Dritter beruhen können bzw. werden (bspw. Notare usw.). Diese Funktionen werden Add-ons für spezielle Anforderungen sein. Hier werden sich Funktionsunterschiede zwischen Open Benno MailArchiv und Benno MailArchiv ergeben.

[…]

> Wie stellt Benno die Revisionssicherheit der Archivierten Mails sicher?

In aller Kürze gesagt: durch die üblichen Verfahren und Wege, insbes. Hashwerten, Prüfsummen, Konsistenzprüfungen, usw. Wir werden in der nächsten Zeit bzgl. Architektur usw. noch div. Paper bzw. Informationen auf der openbenno.org Seite veröffentlichen.

[…]

> Moin, die News unter OpenBenno sagt: “Das kommerzielle Produkt Benno MailArchiv bietet
> neben dem Support durch den Hersteller LWsystems GmbH & Co. KG die gesetzeskonforme und
> revisionssichere E-Mail-Archivierung.”
>
> Daraus würde ich folgern, dass die freie Version dies _nicht_ enthält. Die Meldung hier wäre also zu korrigieren?!

Zunächst einmal sind beide Varianten funktionsidentisch. Wir bieten letztlich Mehrwerte, die wir durch unsere QA usw. sicherstellen können. Wir schließen nicht aus, dass man mit Open Benno MailArchiv gesetzeskonforme E-Mailarchivierung herstellen kann, übernehmen dafür aber keine Gewähr (können wir auch nicht).

…na dann warten wir einfach mal ab. ich hoffe, dass die angelegenheit mal etwas an fahrt gewinnt. momentan laeuft hier ein import mit 37GB emails um mal zu sehen, wie das ding damit umgehen kann. wenn ich mir den fortschritt ansehe, wird das aber mindestens noch zwei tage dauern. in zwischenzeit konnte ich mir das webinterface etwas ansehen. seeeehr spartanisch, aber scheint fuers erste zu funktionieren. probleme hats mit dem finden von emails, die nicht direkt an den angelegten benutzer ging, sondern an mailinglisten. (ok, das werden meistens keine finanzrechtlich relevanten emails sein, aber ich wuerde die trotzdem gerne im archiv finden.)
die user sind in einer sqlite datenbank abgelegt, was ich dann praktischerweise auf mysql umbauen muss, da bei mir dort alle noetigen informationen inkl. alias adressen abgelegt sind. doppelte userverwaltung muss ja nicht sein. die anpassung des userinterfaces gestaltet sich fuer nicht-java-kompatible gehirne auch nicht einfach. ich habs zumindest vergeblich versucht.
chick, wenns nun sowas als opensource gibt. ich haette auch gerne gleich die installationsanleitung korrigiert und erweitert, aber erstens ist die in einem wordpress veroeffentlicht und zweitens komme ich nicht mit dem schneckenlahmen wikiersatz auf deren webseite klar. vielleicht werde ich die erstmal hier veroeffentlichen… inklusive aller fallstricke, die man erstmal muehevoll rausfinden muss. und falls ich es noch nicht erwaehnt hatte: ich mag java nicht.

UPDATE: mittlerweile kann man sich auch bei der mailingliste anmelden. aber ausser ein paar leuten von lw-systems und mir scheint noch niemand regisitriert zu sein. das wird sich hoffentlich bald aendern.