Vorbereitung auf die Prüfung LPI-102

Ein Variable als Zahl deklarieren: declare -i zahl

Ein Variable radonly markieren: declare -r wichtig=Linux

Darüberhinaus kann declare alle definierten Funktionen ausgeben: declare -f

Backslash (\): Maskierung des darauffolgenden Zeichens (Dollar ist mit betroffen)

Simple Ticks ('): Zwischen zwei solcher Zeichen gesetzter Text wird maskiert (Dollar ist mit betroffen)

Double Sticks: Maskierung verschiedener Zeichen wie Leerzeichen, das Dollarzeichen ist aber nicht mit betroffen!

Die Parent-PID: PPID

BSP:   echo "Mein Eltenprozess: $PPID"

Die aktuelle PID des Programmes/Skripts: $

BSP:   echo "Mein eigener Prozess: $$"

Den letzten Hintergrundprozess: !

BSP: sleep 60 & echo "Mein letzter bash-Job: $!"

Schleifen (for, while, until, select)

Verzweigungen (if / case)

GFX-Card identifieren: lspci | egrep VGA|3D

Welche Xorg-Treiber geladen wurde: grep \.so$ /var/log/Xorg.0.log (Dateinamen mit z.B. "vesa", "intel" oder "nvidia")

Aus welchen Komponenten besteht ein X-Window-System?
  --> eine anschaulich Grafik finden Sie unter http://www.answers.com/topic/x-window-system

Experiment: Was ist der X-Server?

Als root durchzuführen
     a) Unter CentOS:  init 3
     b) Unter Debian (bei Vervendung eins Display-Managers):  Auf tty1 (STRG + ALT + F1)    /etc/init.d/gdm3  stop    alt:    /etc/init.d/kdm  stop

Ein Window-Manager ist Basis jedes Desktops, so hat z.B. KDE als Standard-Fenstermanager kwin

Ein Windowmanager bringt KEINE Zubehörprogramme mit

Ein Desktop unterstützt Kommunikation zwischen Zubehör-Apps

Ein Desktop setzt auf einheitliche Libs (KDE = qt) -→ einheitliches Look & Feel von Apps

Benutzernanme: root

Heimatverzeichnis von "root": /root

Oberster Einhängepunkt des Dateisystems: /

Beispielnutzer "tux":

ACHTUNG: Hier könnte in Spalte 2 ein mit "crypt" verschlüsseltes Passwort stehen - was schlecht ist! - weshalb man die Datei in eine Shadow-System umwandeln sollte: Kommando: pwconv (Wieder zurückverwandeln: pwunconv)

Beispielnutzer "tux":

In Spalte 2 steht das verschlüsselte Passwort, wobei es sich aus drei Teilen sammensetzt:

Danach folgen 6 Spalten für die Passwort-Alterung:

Das 9. und letzte Feld ist reserviert für spätere Nutzung

chage -W 7 -M 14 anna

Lässt der Benutzer die Warnungen (hier: 7 Tage) unbeachtet und ist die maximale Alterung
des Passwortes erreicht (hier: 14 Tage), kann er sich nicht mehr einloggen,
ohne sein Passwort sofort zu ändern.

chage -W 7 -M 14 -I 17 anna

Dieses Beispiel baut auf dem obigen auf; hier wird aber nach weiteren 3 Tagen
sein Password inaktiv gesetzt und er muss den Administartor um Hilfe bitten.

chage -W 7 -M 14 -E 2015-03-31 anna

Das Beispiel ist ähnlich dem ersten, hier wir aber ein absoluter Endpunkt für die
Kontogültigkeit festgelegt (Befristeter Vertrag). Die Meldung lautet wie im zweiten
Beispiel "Ihr Konto ist abgelaufen. Wenden Sie sich an den Systemadministrator"

Beispielnutzer "tux":

Sie gibt es nicht immer, sie wird gebraucht, um sich mit newgrp <GROUP> in eine neue Gruppe temorär zu bewegen, die in dem Moment zur primären Gruppe wird (Neue Dateien erhalten automatisch diese Gruppen-ID)

Ähnlich der /etc/shadow speichert sie Passwörter, die dann mit dem Kommando gpasswd gesetzt werden.

useradd: mit -D werden Default-Einstellungen ausgegeben: z.B. $HOME, $SHELL, primäre Gruppe, die beim Neuanlegen von Benutzern verwendet werden soll, dabei wird die folg.Datei ausgegeben: /etc/default/useradd

Eine weitere Datei, die sich um Verientsellungen kümmert, ist die /etc/login.defs sie beinhaltet mehr die Account-Alterung.

-k /home/tux Die Befüllung des neuen HOME-Orders geschieht nicht mit den Files von /etc/skel; die Quelle ist jetzt ein sauberes, angepasstes Vorlage-Userverzeichnis

-d /opt/users/moritz Anstelle die Voreinstellungen von /etc/default/useradd zu benutzen, soll das Heimatverzeichnis Dank der Option -m an der angegebenen Stelle entstehen

-m Das HOME-Verzeichnis an angegebener Stelle erzeugen, den Inhalt des Vorlage-Userverzeichnisses einkopieren und dem Nutzer übereignen

-s /bin/bash Als Login wird die Bash verwendet

-g users Dem Benutzer die primäre Gruppe "users" zuweisen

-c Moritz Müller Das Kommentarfeld befüllen.

pwconv (Konvertieren der /etc/passwd mit Passwörten zu einer Version OHNE Passwörter, wobei sie in die /etc/shadow ausgelagert werden.)

pwunconv (Umkehrung: wieder zu EINER Datei zurückkehren, /etc/shadow wird gelöscht)

pwck (Prüfen der Passwort-Dateien)

grpck (Prüfen der Gruppen-Dateien)

grpconv (Ähnlicher Vorgang wie pwconv)

grpunconv (Ähnlicher Vorgang wie pwunconv)

whoami

who am i

who (Siehe auch uptime, Logdatei: /var/run/utmp) Merkhilfe: whuuuu → uptime → /var/ruuuun -→ uuutmp

w

last (Wer hat sich zuletzt von wo eingeloggt, Logdatei: /var/log/wtmp) Merkhilfe: lllast → /var/lllog → wwwtmp (w kommt nach u = last) Last kennt eine Option -o: → "Read an old-type wtmp file"

lastb (Bad logings loggen, Log-Datei: /var/log/btmp) Merkhilfe: lllast → /var/lllog → bbbtmp = bad temp

Der cron-Daemon läuft i.d.R. immer, er überwacht /var/spool/cron/crontabs

Die systemweite Config-Datei /etc/crontab bindet weitere Verzeichnisse ein, in denen Skripte mit Zietsteuerungen liegen können, z.B.

Im Unterschied zu User-Crontabs hat die /etc/crontab eine Spalte mehr: Username

Als Standard-Shell wird die einfache /bin/sh verwendet, als Newline-Zeichen ist (%) eingestellt!

Zur Bedeutung der einzelnen Felder siehe man 5 crontab

Systembackup als root einrichten

mkdir /srv/backup
vi /etc/crontab
    (Nach dem Speichern und Beenden wird die Änderung von cron automatisch eingelesen)

Eigene Backups als user planen

Änderungen mit Hilfe eines Skriptes: tzselect

Ausgangspunkt für Zeitzonen: /usr/share/zoneinfo

Änderungen mit Hilfe von SymLinks oder direktem Kopieren der Binärdateien (als root!):

Ausgabe der Standardeinstellungen (Nutzerabhängig!): locale

Ausgabe der verfügbaren Lokalisierungen: locale -a

Spezielle Variablen:

Hinweis: Das althergebrachte Suchen nach Grußbuchstaben in Dokumenten mit funktionert mit LANG="de_DE.UTF-8" nicht mehr, da grep mit UTF-8 u.U. nicht klarkommt, Lösung:

LANG=POSIX grep '^[A-Z].*' textdokument.txt

Nachträgliche Konvertierung von Zeichensätzen in Textdokumenten: iconv, z.B:

echo "Viel Spaß und viel Glück." > sourcefile.txt

file sourcefile.txt    -> sourcefile.txt: UTF-8 Unicode text
iconv -f UTF-8 -t ISO-8859-15 sourcefile.txt -o outputfile.txt

file outputfile.txt    -> outputfile.txt: ISO-8859 text

cat outputfile.txt     -> Viel Spa� und viel Gl�ck.

TIPP: Ausgabe der bekannten Zeichencodes: 'iconv -l'

Konvertieren von Zeichensätzen in Dateinamen: convmv

Siehe auch http://www.heise.de/ct/hotline/Linux-vermatscht-Umlaute-326142.html

Ursache kann falsches Mounten von vfat-Partitionen sein; am besten man beugt vor:

mount -o iocharset=utf8 /dev/sdb1  /mnt

Zweiten Adapter in VirtualBox aktivieren, mit "Internes Netzwerk" verbinden, dabei den Namen "intnet2" vergeben.

Hinweise zur Konfiguration der Ethernet-Karten: Bei CentOS 7 heißen die Schnittstellen, die man mit ifconfig -a identifizieren kann nicht eth0 und eth1, sondern enp0s3 und enp0s8. Die Dateinamen wurden im Beispiel mit ifcfg-nic0 und ifcfg-nic0 bewusst abweichend gewählt; entscheidend ist lediglich, dass eine Übereintimmung der identifizierten Schnittstellennamen mit der Angabe bei DEVICE="" besteht.

Windows konfiguriert die Uhr lediglich nach Localtime (Ortszeit, hier: Berlin)

Unix führt zwei Uhren: Die HW-Uhr läuft nach GMT/UTC, die SW-Uhr liefert bei Anfrage einer Anwendung die Zeit je nach Zeitzone live umgerechnet aus.

Herausfinden, nach welcher Uhr das System läuft: cat /etc/adjtime -→ hier wird entsprechend dem Linux-Standard u.a. "UTC" ausgegeben, das bedeutet:

Software-Uhr: date, rdate, ntpdate

Hardware-Uhr: hwclock

Nur Zeit stellen: date -s 10:20

Zeit und Datum: date 01271012

Zeit und Datum mittels NTP (TCP-Port 123): ntpdate time.fu-berlin.de

Die HW-Uhr nach der SW-Uhr stellen: hwclock --systohc [--utc] [--localtime]

In Ausnahmefällen umgekehrt: hwclock --hctosys

Installation unter Debian: apt-get install ntp (= Server und Client zugleich)

Konfiguration: vi /etc/ntp.conf

Server stoppen, um Uhr an GMT heranführen zu können: service ntp stop

Uhr nach GMT stellen: ntpdate pool.ntp.org

Server starten: service ntp start

Kontrolle der NTP-Queue (Peers ausgeben): ntpq -p (Interessante Spalten: offset, jitter)

Interaktive Kontrollprogramm: ntpdc (help / sysinfo)

Bei Debian bietet der NTP-Server automatisch seinen Dienst im LAN an, zur Überprüfung:

nmap -p 123 -sU 172.16.0.1   (NICHT mit 'localhost' testen)

Konfiguration: vi /etc/ntp.conf

Dienst starten: service ntpd start

Runlevel-Links für automatischen Start erzeugen:

Kontrolle: Siehe oben (ntpq, ntpdc)

Klassischer syslogd

Verbesserter Dienst: syslog-ng

Dienst mit verschlüsselter Kommunikation: rsyslogd

Name der Datei: /etc/syslog.conf

Aufbau der Datei:

tail -f -n30 /var/log/boot.log

tail -f -n30 /var/log/syslog

tail -f -n30 /var/log/messages

logtail

logwatch (Logparser)

sendmail (Sehr flexibel aber auch komplizierte und eher unsicher)

postfix (= Standard Linux-MTA, modular, sicher)

qmail (moduler, sehr sicher)

exim (kleiner, feiner Daemon, Standard Debian-MTA)

DEBIAN: apt-get install postfix (Profil "Internet Site" wählen, DNS-Name: domain.site)

CentOS: rpm -qa | grep post (Ist bereits vorinstalliert)

Meisterdatei: /etc/postfix/master.cf (Einbindung von Spamassissin, ClamAV, == Inetd)

Hauptdatei: /etc/postfix/main.cf (Hauptkonfigdatei)

Wichtige Einstellungen:

Für welche Domaine nehme ich Nachrichten an? ⇒ mydestination

BILDUNG: hostname.domain.tld

Hostname ermitteln: "hostname" → deb7

Im Beispiel:

mydestination = deb7.domain.site, localhost

Aus welchem Netzwerk Anfragen zugelassen werden: ⇒ mynetworks

Im Beipiel:

mynetworks = 172.16.0.0/30 127.0.0.0/8 ...

Soll über einen MX-Record (DNS, via UDP, Port 53) die Mail-Domäne aufgelöst werden? Nein: im einfachsten Falle reicht statische Auflösung in den /etc/hosts-Dateien auf allen beteiligten Rechnern.

Schalter explizit setzen:

disable_dns_lookups = yes

Funktioniert die Namensauflösung?

Konfiguration von Postfix (auf Debian):

Nach Änderungen der /etc/postfix/main.cf nicht vergessen, den MTA neu zu starten:

service postfix reload

Nun müssen beide Systemen Port 25 geöffnet haben: netstat -tln

Von Debian aus: echo Inhalt | mail -s Mailing1 tux@cent7.domain.site

Von CentOS aus: echo Inhalt | mail -s Mailing2 tux@deb7.test.site

Debian (in separaten Fenster): tail -f /var/log/mail.log

CentOS (in separaten Fenster): tail -f /var/log/maillog

Auf beiden Systemen: Ist die ausgehende Queue (/var/spool/mqueue) leer geworden? mailq

Wenn nicht, sofortigen Zustellversuch anstoßen: sendmail -q

Auf beiden Seiten die mbox-Dateien im Empfangsordner betrachten (Zeitstempel!):

ls -ltrc /var/spool/mail/

-rw------- 1 mail    mail 223427 Jan 28 14:39 mail
-rw-rw---- 1 nobody  mail    876 Jan 28 15:09 nobody
-rw-rw---- 1 herbert mail    445 Jan 29 15:12 herbert
-rw-rw---- 1 hubert  mail    455 Jan 29 15:13 hubert
-rw-rw---- 1 tux     mail   7258 Jan 29 16:09 tux

Oder als Nutzer die Mails regulär lesen:

su - herbert
mail

Der portierte BSD-Spooler: lpr/lpd (Line Print Daemon)

Erweiterter BSD-Spooler: lpr-ng (Line Print Next Generation)

CUPS: Common Unix Printing System (von Apple)
-→ spezielles Protokoll: Internet Printing Protocol (IPP, TCP-Port 631)

In erster Linie: Übersetzungprogramm (Filter) von verschiedensten Druckersprachen (z.B. PCL5) ins Unix-Standardausgabeformat PostScript.

AUFGABE: Suche nach Paketen mit "filter" im Namen

apt-cache search filter | egrep -i 'print|druck'

=> Treffer, u.a.: foomatic, foomatic-db-gutenprint, ghostscript-cups

Hardware-Schnittstellen

Warteschlange einsehen: lpq [-l], lpstat

Druckaufträge löschen: lprm, lpr -r

Aufträge verwalten: lpc (interaktives Programm, so kann z.B. mit topq ein Druckauftrag an den Anfange der Warteschlage gestellt werden.), cupsenable, cupsdisable, cupsaccept, cupsreject

Vom alten BSD-Spooler stammend: lpr

Mit CUPS ausgelifert: lp

CUPS

Debian: apt-get install cups
(Metapaket für Komplettsystem, nur der Client: cups-client)

CentOS: yum install cups

Drucker anschließen, und für Autoerkennung einschalten (USB, Netzwerk)

Drucker hinzufügen

Es muss kein CUPS-Daemon installiert sein/laufen, wir brauchen lediglich das Paket "cups-client".

Angabe des CUPS-Servers in der Datei client.conf (eine Art "Zeiger"):

cat /etc/cups/client.conf

ServerName 172.16.0.2

Unmittelbar danach kann die Erreichbarkeit mit lpq oder lpstat -t getestet werden

Drucken kann man z.B. so: pr -o 7 /etc/hosts | lp -d Brother-HL2250

Neuen Drucker im Web-UI- einrichten

URI mitgeben (= der "Zeiger"): http://172.16.0.2:631/ipp/

Passenden Treiber wählen (Wichtig wegen der lokalen Aufbereitung!)

Namen vergeben, speichern…

Layer 7: Beschreibung der Anwendungen (E-Mail, WWW → HTTP (zustandslos), FTP)

Layer 6: Darstellung der Daten, so dass alle Teilnehmer sie verstehen können, Verschlüsselung (SSL)

Layer 5: Kommunikation steuern (VoIP: Sitzung aufbauen, durchführen und abbauen)

Layer 4: Datenströme etablieren → i.d.R. via TCP, (Datenverluste ausgleichen), Portnummern definieren

Layer 3: Logische Adressierung (IP-Adresse), Wegefindung [Datagramm]

Layer 2: Phyische Adressierung (MAC-Adresse), Flusskontrolle [Datenpaket: Frame]

Layer 1: Beschreibung der Übertragungsmedieneigenschaften [keine Datenpakete, Bitstrom]

Definition eines Zugriffsverfahrens CSMA/CD für Shared Media

Mittels Media Access Controll-Adressen (MAC = 48 bit lang) lassen sich Netzwerkknoten adressieren

Es wird immer Bustopologie verwendet (Heute: Logisch Bus, physisch Stern → Switch)

Datenpaketorientierter Transport (Ethernet-Frame) → MTU-Wert: 1500 Byte

Kommandos:

Ausgabe des ARP-Caches: arp -an

ARP-Cache löschen: ip neigh flush all

E-Mail-Kommunikation: 25 (SMTP), 110 (POP3), 143 (IMAP)

WWW: 80 (HTTP), 443 (HTTPS) [Standard-Transportprotokoll ist dabei TCP]

DNS-Namensauflösung: 53 (Domain) [Standard-Transportprotokoll ist dabei UDP]

Network Time Protocol 123 (NTP) [Standard-Transportprotokoll ist dabei UDP]

…

IPv4: Adresslänge = 32 bit

IPv6: Adresslänge = 128 bit

Max. Adressenzahl ein unaufgeteilten einzigen Netzwerk: 2^32 ~ 4 Mrd Hosts

Unterteilung schafft Unternetze, Adressklassen:

http://www.edv-lehrgang.de/adressklassen-in-netzwerken/

http://userpages.uni-koblenz.de/~pidde/lupe/ipaddr.html

http://www.itwissen.info/definition/lexikon/Internet-protocol-IP-IP-Protokoll.html

Telnet: 23

HTTP: 80

HTTPS: 443

IMAP: 143

Samba: 135-139, 445

ssh: 22

NTP: 123

Kommando arp -an

Netzwerkkarte 1 (eth0): <IP-Adresse im LAN> (per DHCP via Bridge)

Netzwerkkarte 2 (eth1): 172.16.0.1 (statisch gesetzt, im internen Netz "intnet")

Temporär zur Laufzeit:

a) echo 1 > /proc/sys/net/ipv4/ip_forward

b) sysctl -w net.ipv4.ip_forward=1

Dauerhaft machen:

vi /etc/sysctl.conf

net.ipv4.ip_forward=1     ## Zeile 28 aktivieren

Zur Laufzeit (Wichtig ist hierbei die Angabe des Outgoing-Interfaces mit -o, oft ppp0, hier: eth0)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

-> Im einfachsten Fall dauerhaft machen, indem man diese Zeile in die Datei

/etc/rc.local

VOR dem 'exit 0' schreibt.

Kontrolle:

iptables -t nat -vnL

Ping zu 172.16.0.1 (= Standard-Gateway)

STD-GW setzen: route add default gw 172.16.0.1

STD-GW fest eintragen: vi /etc/sysconfig/network → GATEWAY=172.16.0.1

Ping zu 8.8.8.8, und zu ix.de (wenn letzteres nicht funktioniert, die /etc/resolv.conf bearbeiten: nameserver 194.25.2.129)

IP-Adressen wurden bereits konfiguriert:

/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/sysconfig/network-scripts/ifcfg-eth1

Netzwerk neu starten:

/etc/init.d/network stop
/etc/init.d/network start

Secure Shell Zugang aktivieren und nutzen

Weitere Software installieren

yum install nmap lynx gpm

service gpm start  (Maus-Unterstützung für die virtuelle Konsole starten)

DHCP kann nativ mittels built-in Funktionen genutzt werden (Solicitations und Advertisements) oder mit einem separaten DHCPv6-Server

Broadcasts wurden abgelöst, anstelle dessen werden Multicasts verwendet ("ein Hallo an alle Router" oder ein "Bitte konfiguriere mich" an alle Hosts)

Unterschiedlich große Bereiche von Unicast-Adressen:

Header: Kleiner, schlanker und flexibler als bei IPv4 (→ schnellere Netze), fester, kleinerer MTU-Wert: 1280 Byte

Mobilität bei wechselnden IP-Adressen in verschiedensten Intranets: nach wie vor umständlich via Home-Agent

Unterstützung von IPsec (= geplante Standard-VPN-Lösung) ist da, muss aber genauso manuell implementiert werden wie bei IPv4

Dual-Stack-Betrieb (IPv4 gleichzeitig mit IPv6): Das neue IPv6 hat Vorrang, d.h. zuerst wird versucht, den angfragten Host per IPv6 aufzulösen, nach kurzem Timeout dann per IPv4

Wie lautet die eingehende Schnittstelle von Debian (putty.exe → LAN-Bridge → eth0)

Wie lautet die IP-Adresse auf eben dieser Schnittstelle? (→ 10.23.18.109)

Zu welcher IP-Adresse soll weitergeleitet werden? (CentOS → 172.16.0.2)

Wie lauten die zu mappenden Portnummern? (222 → 22)

tcpdump -i eth0

tcpdump -i eth0 host 10.23.10.100

tcpdump -i eth0 host 10.23.10.100 and not port 22

tcpdump -i eth0 host 10.23.10.100 and not port 22 -A

tcpdump -i eth0 host lpic1.example.test -w ftp.dump

tcpdump -i eth0 host \(10.23.10.100 or 10.23.18.1 \)

hostname [--fqdn|-f]

domainname [-d] [-f] [-I]

uname [-a] [-n]

/etc/hostname (manchmal: /etc/HOSTNAME) → Definition des Hostnamens (Debian: Ohne Domainname)

/etc/hosts (meist wird der FQDN der Adresse 127.0.1.1 zugeordnet)

/etc/networks

intnet 172.16.0.0
intnet2 192.168.99.0

/etc/resolv.conf

nameserver 127.0.0.1
nameserver 194.25.2.129
nameserver 8.8.8.8
domain test.site

## Alternativ zu "domain":

search de at ch

("domain" und "search" können nicht parallel verwendet werden)

ifconfig

route

Alle Schnittstellen zeigen, auch deaktiviere: ifconfig -a

Schnittstelle deaktivieren: ifconfig eth1 down

Bei ifconfig taucht sie nun nicht mehr auf, daher ifconfig -a verwenden!

Schnittstelle wieder aktivieren: ifconfig eth1 up

Schnittstelle wieder deaktivieren: ifconfig eth1 down

Eine andere Adresse setzen:
ifconfig eth1 209.14.5.88/26 [up]
Dabei wird die Schnittstelle automatisch aktiviert, das Wörtchen up kann weggelassen werden.

IP-Alias setzen (eine Art Unterschnittstelle mit separatem Namen):

ifconfig eth0:0 10.22.33.44/24

ifconfig eth0:0

=> Einsatzmöglichkeit: IP-basierte virtuelle Hosts (Webserver Apache)

Standgateway setzen: route add default gw 10.22.33.1

Standardgateway löschen: route del default

Route ins LAN setzen (auf CentOS in Richtung Win7-Host):

route add -net 10.23.18.0 netmask 255.255.255.0 gw 172.16.0.1

Auf CentOS: route del default

Auf CentOS: route add -net 10.23.18.0 netmask 255.255.255.0 gw 172.16.0.1

Auf dem Debian-Router: iptables -t nat -F (Debian ist nur noch ein reiner Router, NAT ist deaktiviert)

Auch hier kann das Standardgateway entfernt werden: route del default

HINWEIS: Nach wie vor wichtig: cat /proc/sys/net/ipv4/ip_forward # → 1

Auf dem Windows-Hostsystem: route add 172.16.0.0 mask 255.255.255.252 10.23.18.109

Testings von beiden Seiten aus sollte jetzt gehen:

Deaktivierung einer Schnittstelle (z.B. auf DHCP-Lease angeben): ifdown eth1

Aktivierung einer Schnittstelle: ifup eth1

Installation: apt-get update && apt-get -y install dnsmasq

Was ist das? whatis dnsmasq
dnsmasq (8) - A lightweight DHCP and caching DNS server.

Welche Configs gibt es? dpkg -L dnsmasq → /etc/dnsmasq.conf

Welche man-Pages gibt es dazu? apropos dnsmasq → nur dnsmasq

Jeweils einzeln nach den Bits fahnden:

find / -perm -o+t
find / -perm -1000

find / -perm -g+s
find / -perm -2000

find / -perm -u+s
find / -perm -4000

Mit einer einzigen Kommandozeile:

find / -perm -1000   -o   -perm -2000   -o  -perm -4000  \
             2> /dev/null | egrep '/tmp|wall|passwd'  | xargs ls -ld

Debian: 30

CentOS: 28

Slitaz: 12

Verfallszeiten ansehen: chage -l max

Wie sehen die Dateien /etc/shadow und /etc/passwd insbsondere in Bezug auf die Spalte 2 aus?

Nmap hat TCP-Scan voreingestellt, außerdem wird standardmäßig mit Ping die Erreichbarkeit getestet, deshalb diese Optionen (DHCP-Server-Port = 67): nmap -p 50-100 -P0 -sU proxyserver

Für Schnelltest: telnet proxyserver 53

Mittels "netcat" Ports scannen: nc -z -v 127.0.0.1 22

Werkzeug "socket", um Web-Clients (wget, w3m, lync, firefox, …) zu testen: socket -sl 80 (Ein listening Daemon = Server)

Kommando ulimit: Environment-Eigenschaften wie z.B. der Größe von core-Files, Datengröße eines Programmes. Dabei werden Limitierungen unterschieden, die

a) Von einer bash-Umgebung aus gestartet wurden (z.B. maximale Dateigröße mit '-f')
b) Nicht mit einer bash zusammenhängen (z.B. max. Anzahl von User-Prozessen mit '-u') +

Wichtige Optionen: -c <GRÖSSE> = Maximalgröße für Core-Files -d <GRÖSSE> = Maximale Datengröße für Programme -f <GRÖSSE> = Maximale Dateigröße (z.B. 4MB: ulimit -f 4000) -a = Alle gesetzten Limits ausgeben -n <ANZAHL> = Maximale Anzahl von offenen Dateien festlegen -v <GRÖSSE> = Maximale Größe des virtuellen Speichers (z.B. 500MB = 512000kB: ulimit -v 512000, Damit kann allerdings Firefox nicht mehr starten, wie mit top festgestellt, braucht er über 700 MB virtuellen speicher!)

Fragen zur Vertiefung

Historisch wichtig: fuser -mv /mnt

Das "neue" Kommando: lsof

Kommando sudo (= "Vorschalt-Kommando", das dem eingentlichen Kommando vorangestellt wird)

Datei: /etc/sudoers

Kommando zum Bearbeiten der Datei /etc/sudoers: visudo

Der tcpd ist unabhängig von (x)inetd!

Der xinetd benötigt den tcpd nicht, er besitzt eine eigene Zugriffskontrolle

Wenn man den tcpd als Kontrollinstanz für den alten inetd einbinden möchte, macht man dies so:

Hinweise:

Das Sicherheits-Modul pam_nologin (Siehe dazu auch die gleichnamige man-Page) sorgt dafür, dass bei Vorhandensein der Datei /etc/nologin jeder Neulogin von allen Benutzern außer root verhindert wird. Die Datei einfach anlegen:

echo "Wegen Wartungsarbeiten geschlossen." > /etc/nologin

Nach Beendigung der Wartungsarbeiten löscht root einfach diese Datei und alles ist wie vorher.

Auf beiden Seiten ist der eine, selbe Schlüssel hinterlegt

Einsatz bei Pre Shared Key ⇒ WLAN

Schwierige Schlüsselverwaltung

Wichtige Verschlüsselungsverfahren: AES (WPA2 bei WLAN), Blowfish, 3DES

Laut Kerkhoff: Selbst wenn der Algorithmus in die Hände des Feindes fällt, dürfen keine Rückschlüsse auf den Schlüssel gezogen werden können

Das Schlüsselpaar besteht aus dem privaten Schlüssel, der NIEMALS das System verlassen darf, der öffentliche Schlüssel wird weitergegeben

Ablauf einer Verschlüsselung:

Wichtige Verschlüsselungsverfahren: RSA, DH (IKE-Handshake), ECDSA (Unter Mitwirkung der NSA entstanden!), DSA

Risiken: Zu geringe Schlüssellänge (inbesondere bei RSA wichtig), oft kein Schutz gegen Man-In-The-Middle (MITM) Angriffe ⇒ Fingerabruck prüfen!

Anwendungen, die u.a. RSA verwenden: Secure Shell, Pretty Good Privacy (GnuPG)

ssh (ersetzt rlogin und rsh) ⇒ Fernadministration (remote control)

scp (ersetzt rcp) ⇒ remote copy

sftp (ersetzt mit reduziertem Befehlssatz einen klassische ftpd)

Dateiname: /etc/ssh/sshd_config (Wegen dem Daemon ist ein d im Dateinamen)

Eine wichtige Einstellung, die root-Login verbietet: PermitRootLogin no

Falls ein Login mittels eigenen Schlüsselpaaren erzwungen werden soll: PasswordAuthentication no

Festlegen, welche Nutzer Zugriff bekommen sollen: Parameter AllowUsers, DenyUsers, AllowGroups und DenyGroups

Einen Verschlüsselungsalgorithmus nicht mehr anbieten, Zeile löschen: HostKey /etc/ssh/ssh_host_ecdsa_key

Dateiname: /etc/ssh/ssh_config (Ohne d!)

Bequemlichkeitseinstellung (Der Client kann dann -X weglassen): ForwardX11 yes

Festlegen, dass Clients einen anderen als den voreingestellten (einkompilierten) Verschlüsselungsalgorithmus nutzen sollen: HostKeyAlgorithms ssh-rsa-cert-v01@openssh.com,… (s.o.)

Ziele:

Erzeugung eines eigenen Schlüsselpaares auf dem Client (= CentOS) ohne Passphrase für Autologin

ssh-keygen -t rsa  -b 4096  -N ""

Kopieren des Inhaltes von ~/.ssh/id_rsa.pub (Das ist der öffentlicher Schlüssel!) in eine Datei namens ~/.ssh/authorized_keys auf den Server

Tipps fürs Testen:

Schlüssel erzeugen

gpg --gen-key    (Bestätigung am Schluss mit 'F' [fertig])

Public-Key exportieren

gpg --export --armor -o axelPemmann.pub "Axel Pemmann"

Rückrufszertifikat erzeugen

gpg --gen-revoke -o axelPemmann-revoke.crt "Axel Pemmann"

BESSER: Nicht in eine Datei speichern, die verschlüsselt werden müsste, sondern                         ausdrucken!

Öffentlichen Schlüssel auf den FTP-Sever hochladen

Bitte in den Ordner '/HandOuts/PemmannAxel/LPI-102' kopieren.

Oder besser auf einen Keyserver mit `gpg --send-key ...` hochladen.

Fingerprint für spätere Authentizitätsprüfung ausgeben (kontra MITM)

gpg --fingerprint  "Axel Pemmann" > axelPemmann-fingerprint.txt

Schlüssel der Kommunikationspartner importieren

gpg --import gerald.pub

gpg --import maik.pub

gpg --keyserver certserver.pgp.com --recv-key  0x47110815

--> oder suchen via:  http://pgp.mit.edu/

Die importierten Schlüssel prüfen und signieren

gpg --edit-key gerald

gpg> list               (Schlüssel auflisten, optional)
gpg> fpr  gerald        (Fingerabdruck des Partners ausgeben, optional)

<--- SNIP: Per Telefon Fingerprint vegleichen  --->

gpg> sign                (Unterzeichnung (j))
gpg> check
gpg> quit

Eine Datei verschlüsseln

gpg --output datei-richter.txt.gpg  --encrypt --recipient  richter  datei.txt

Entschlüsselung der Datei beim Partner

gpg --decrypt  datei-pemmann.txt.gpg  [--output <DATEINAME>]

Heruntergeladene Dateien verifizieren

gpg --verify source.tar.gz

Verschlüsselung und Archivierung mit gpg-zip (Ganze Verzeichnisse)

gpg-zip --encrypt --output GnuPG.cryptdir --gpg-args "-r axel@pemmann.de" GnuPG/

Entschlüsseln und Entpacken mit gpg-zip

cd /tmp
gpg-zip --decrypt ~/GnuPG.cryptdir

Um die Sicherheit zu verbessern, kann beim Hilfesuchenden ein höherer Port (z.B. 54666) verwendet werden:

ssh -p 54666 -NfL ...

Neben der Verschlüsselung via separatem ssl-Tunnel kann x11vnc mit der Option -ssl auch nativ verschlüsseln, siehe auch:

Leider gibt es bei dyndns.org die dynamische Namensauflösung nicht mehr kostenlos, man kann sich aber bei z.B. bei http://selfhost.de (Steht im Speedport-Router der Telekom mit zur Auswahl) registrieren, dort kostet dieser Dienst nichts.