Stephans Blog

Der Fall kann so schnell passieren. Sudoers ohne visudo editiert , Fehler gemacht und schon kann man nicht mehr root werden .
Ein Workaround:
Beim Booten kann man dem Kernel eine Zusätzliche Option mitgeben
init=/bin/bash
Dann bootet das System in eine passwordlose root-shell.

Beim Grub kann man mit e in das Menü zum Editieren kommen und mit b danach wieder booten.

It can happen so fast- edited /etc/suders without visudo , made a mistake and no root-login was possible.
Some workaround:
You can pass an additinal option to the kernel while booting
init=/bin/bash
With the option the system launches a passwordless rootshell

Within Grub you can edit den menu with e and with b you can boot the computer

Was macht man wenn die downloads zu große Peaks ergeben und der apache2 dadurch in die Knie geht?
Ich durch stöbern im Netz mod_cband enndeckt.
Installiert via
apt-get -s install libapache2-mod-cband
( für Debian/ubuntu). Dann habe ich in den zu bremsenden Host folgende Zeilen hinzgefügt

CBandSpeed 2048kb/s 10 30
# Der Vhost darf nur maximal 2048kb/s Bandbreite nutzen sowie max. 10 Requests und max. 30 offene Verbindungenn
CBandRemoteSpeed 100kb/s 3 3
# Jeder Client darf nur 100kb/s nutzen aufgeteilt in 3 Quests und drei offene Verbindungen


Wer auf einem Rechner verschiedene SSH Keys für verschiedene Ziele verwalten möchte, kann dies mit einer simplen Konfigurationserweiterung tun.
Man erstelle eine Datei
~/.ssh/config mit folgendem Inhalt

Host 127.0.0.1
User root
IdentityFile /home/user/.ssh/id_dsa_2


Wenn haben die SSH Dictionary Attacken nicht auch genervt. Auch wenn das eigene System sicher war hat der Spuk doch Bandbreite gefressen und die Systeme unter Last gesetzt .
Beim stöbern [1 fand ich diesen Ansatz mit iptables :
iptables -N SSH_CHECK
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH_CHECK
iptables -A SSH_CHECK -m recent --set --name SSH
iptables -A SSH_CHECK -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP

Was wird gemacht:
– Der gesammte SSH Verkehr geht durch einen neue Queue ( SSH_Check)
-Wenn es innerhalb von 60 Sekunden von einer IP drei neue Verbindungsversuche gibt, wird diese für 60 Sekunden geblockt

Das hat sich als sehr wirksam erwiesen
[1]
http://hostingfu.com/article/ssh-dictionary-attack-prevention-with-iptables

Ein Kuriosum, das mir auf der Arbeit begegnete:
Ein Server hatte plötzlich wieder eine Uptime von wenigen Minuten nachdem er fast 2 Jahre gelaufen war.
Reboot ?
Nein, nicht wirklich. Auf älteren Linuxsystemen ( beobahtet an einem Kernel 2.4.18) gibt es einen Fflaw.
Die Uptime wird mit einem Unsigned Long in 10 Millisekundenschritte gemesssen . Ja und bei knapp 500 Tagen ist die Variable voll
Und dann gehts wieder bei 0 los
🙂

Jetzt habe ich mir auch suhosin ( PHP hardening) als Plugin installiert.
Dazu braucht man erstmal ein paar Pakete
apt-get install build-essential php-dev
wget http://download.suhosin.org/suhosin-0.9.27.tgz
tar xfv suhosin-0.9.27
cd suhosin-0.9.27
Danach kann man es kompilieren

phpize
./configure
make
make install
Wenn das kompilieren fehlschlägt mit einer Fehlermeldung wie dieserer (war bei mir
In file included from /usr/local/include/php/ext/mbstring/mbstring.h:75,
from /usr/ports/security/php-suhosin/work/suhosin/rfc1867.c:40:
...

dann ist der schnelleste Fix in der Datei rfc1867.c
if HAVE_MBSTRING && !defined(COMPILE_DL_MBSTRING)
in
if 0 && HAVE_MBSTRING && !defined(COMPILE_DL_MBSTRING)
zu ändern

Habe ich gerade beim stöbern im Netz gefunden: Japanische Freaks haben R2-D2 so modifiziert, so das dieser Nagiosscreens projeziert.

Das benötigt jedes Rechenzentrum 🙂

..

Nachdem ich mit meiner Wetterstation ins stocken kam läuft endlich auch das Barometer flüssig .
Ich musste dazu einen elektrischen Verstärker auch noch aus der USA [2] bestellen für dem 1-Wire Bus.

Das Barometer lief unter OWFS dann immer nocht nicht. Mit OWW ( OneWireWeather ) [3] statisch kompiliert und danach noch relativ hart umkompiliert werden .
Zwei Zeilen sind sehr wichtig.

logform $bar1$
txtform $bar1$

So wird allerdings der Luftdruck ohne Zusätze angezeigt.
Und das Ergebniss im rrdgraph kann sich sehen lassen.

und wöchentlich

[1]
http://blog.hlawatsch.org/?p=16
[2]
http://www.hobby-boards.com/catalog/main_page.php
[3]
http://oww.sourceforge.net//a>

Ich hatte mir so ein schönes kleines 1 Disk NAS gekauft und wollte es mounten. Dies blieb leider ohne Erfolg bis ich auf einer anderen Seite in Internet den entscheidenden Hinweis entdeckte.

Solche NAS benötigen in der fstab noch einen weiteren Parameter.
Der entscheidende Parameter ist markiert.

//192.168.1.91/PUBLIC/ /mountpont smbfs username=user,password=password,nounix

Was macht man , wenn man eine Ubuntuversion, die nicht mehr supported wird , installiert hat und kein dist-upgrade machen möchte?

Genau , man hat ein Problem da sämtliche Packete vom server verschwunden sind.
Aber es gibt eine Lösung:
Mann muss die Datei /etc/apt/sources.list mit einem Editor anpassen [2] und die Paketquellen von beispielsweise

deb http://de.archive.ubuntu.com/ubuntu breezy main restricted universe multiverse

in

deb http://old-releases.ubuntu.com/ubuntu breezy main restricted universe multiverse

abändern.