Iran

ich habe die letzten Tage lange ueberlegt und gesucht und gesammelt und gelesen und geguckt zu dem Thema. Videos auf Youtube, Bilder auf Websites, Blogeintraege (Beispiel). Ich habe lange ueberlegt ob ich hier „gute“ Videos und Bilder oder Kommentare verlinke die meiner Meinung entsprechen. Ich habe mich dagegen entschieden. Ich habe keine Ahnung wie sich Ahmadinedschad (auch „MachMaDenDschihad genannt) und Mussawi wirklich unterscheiden in Ihrer Politik. Deswegen moechte ich fuer keinen von beiden Partei ergreifen.

Wo ich aber ganz klar zu Stellung beziehe und meinen Standpunkt klar darlege ist das Thema Gewalt und Freiheit. Ich verurteile jede Art von Gewalt und in dem Zusammenhang mit dem Iran den Staatsterrorismus der dort gerade vonstatten geht. Ich bin fuer eine freie Welt und freie Meinungsaeusserung. Ich verurteile die Zensur von Medien und Journalismus. Im Iran und Ueberall! Ich bin offen und froh ueber jede Diskussion ueber das Thema.

check_rogue – Nagios Plugin zum erkennen von rogue DHCP

Bereits vor einiger Zeit schrieb ich darueber, dass wir bei uns im Wohnheim Probleme mit einem rogue DHCP hatten. Vorlon schrieb in einem Comment, das auch das SANS Diary das Problem beschreibt. Auch Heise war das ganze inzwischen einen Artikel wert! Wir haben bei uns im Internettutorium verschiedene Gegenmassnamen ergriffen, die fuer andere evtl. auch von Interesse sein koennen, deswegen an dieser Stelle mal kurz festgehalten:

Sperrung via iptables

Bei uns in der Firewall wird die gesamte Range in der die „boesen“ DNS-Server stehen auf Port 53 gesperrt. Der Zugriff wird geloggt, und stuendlich checken wir die Logfiles, ob es einen Zugriff gab. Wenn ja, dann gibts ne Mail.

Die iptables-Regeln im Firewall Skript lauten wie folgt:

iptables -F ukr_dns
iptables -X ukr_dns
iptables -N ukr_dns
iptables -A ukr_dns -j LOG -m limit --limit 90/h --log-prefix "FW: MALDNS "
iptables -A ukr_dns -j REJECT
iptables -I FORWARD -p udp --dport 53 -d 85.255.112.0/255.255.255.0 -j ukr_dns
iptables -I FORWARD -p tcp --dport 53 -d 85.255.112.0/255.255.255.0 -j ukr_dns

Der dazugehoerige crontab-Einzeiler-Eintrag lautet wie folgt:

0 *     * * *    root    /bin/grep MALDNS /var/log/syslog | grep -v CRON | \
mail -e -s "MALDNS-Report /bin/date -I" vir-reports@mydomain.tld

check auf rogue DHCP mit Nagios

neben dieser mehr schadensbegrenzenden Massname wenn bereits etwas passiert ist, ueberpruefen wir unser Netz auf rogue DHCP Server mit einem Nagios-Skript. Das Skript ist ein Wrapper zu dhcp_probe.
Leider ist dhcp_probe nicht direkt fuer Debian Linux verfuegbar. Das bedeutet im Klartext, dass ein bisschen Handarbeit angesagt ist, zumal es auch unter Debian Linux erst nach einer Modifikation von libnet funktioniert.

Als erstes muss man natuerlich die benoetigten *-dev Pakete installieren und wenn nicht bereits passiert auch die build-essential

aptitude install libpcap-dev build-essential

Das installieren vom libnet-dev Paket aus apt wuerde das compilieren von dhcp_probe nicht zu einem Erfolg bewegen, da die in Debian etch enthaltene Version eine wichtige Funktion nicht mitbringt. Siehe dazu auch den entsprechenden Eintrag in der INSTALL.dhcp_probe. Deswegen lautet der naechste Schritt libnet herunterzuladen, entpacken und entsprechend zu patchen.

wget http://www.packetfactory.net/libnet/dist/libnet.tar.gz
tar -xzvf libnet.tar.gz

Wie in der bereits verlinkten INSTALL.dhcp_probe unter Punkt 2. beschrieben nun die beiden Dateien ./src/libnet_cq.c und ./include/libnet/libnet-functions.h bearbeiten, den entsprechenden Code unten einfuegen. Der Dreisatz aus ./configure, make sowie make install als root fuehrt einen dann zum gewuenschten Ergebnis.
Ab dieser Stelle ist nun auch ein compilieren von dhcp_probe von Erfolg gekroent.

wget http://www.net.princeton.edu/software/dhcp_probe/dhcp_probe-1.2.2.tar.gz

entpacken, compilieren und installieren. Wenn man bis zu diesem Punkt ohne Fehler gekommen ist, ist schon der grossteil der Arbeit geschafft. Es fehlt noch dhcp_probe zu konfigurieren. Eine Beispiel-Konfigurationsdatei liegt dem Quelltext mit bei. Einfach aus dem entpackten Verzeichnis heraus ein

cp extras/dhcp_probe.cf.sample /etc/dhcp_probe.cf

machen und durchlesen. Der wichtigste Eintrag ist der Punkt legal_server, bei dem evtl. intendiert vorhandene Server angegeben werden sollten. Uebrigens ein guter Punkt bei dem man testen kann, ob dhcp_probe auch gut funktioniert.

Wenn all diese Vorraussetzungen erfuellt sind, kommt es endlich zu dem Nagios wrapper Skript fuer dhcp_probe. Die folgende Datei /usr/lib/nagios/plugins/ ablegen:

Nun noch fix in Nagios ein command und definiert:

/etc/nagios2/commands.cfg

define command{
        command_name    check_rogue
        command_line    $USER1$/check_rogue
        }

und schon kann ich den Check auf dem Client einrichten, auf dem das Skript liegt und dhcp_probe installiert ist. Bei uns sieht das ganze dann so aus:

nag_rogue_ok

nag_rogue_detected

Ja, ich weiss, das das Plugin nicht schoen geschrieben ist, aber es tut seinen zweck. Und an dieser Stelle nochmal herzlichen Dank an Matthias, Alex und Sebastian bei der Hilfe das ganze zu entdecken und zu beheben etc. :-)

Ja was denn sonst?!

Das kann man was Politik betrifft auf viele Fragen und Probleme der letzten Zeit antworten. Eines der prominenteren Beispiele ist noch die Frage „War Andrea Ypsilanti machtgeil?“ … Aber darauf will ich nicht hinaus.

Unsere europaeischen Nachbarn fordern von Deutschland ein groesseres Konjunkturpaket. Deutschland hat den Aufschwung der letzten Jahre besser genutzt als andere um das oeffentliche Defizit abzubauen. Dadurch hat es nun erheblich hoeheren Spielraum innerhalb der Stabilitaetskriterien der EU als andere Nachbarn. Nun kann sehr leicht die Meinung aufkommen: „Nur weil wir besser gewirtschaftet haben als Ihr, sollen wir euch jetzt mit unseren Steuergeldern aus der Patsche helfen, oder was?“ Man kann auch fragen: „Ist das die Globalisierung?

Ja was denn sonst?!  …. Auch wenn wir nicht daran schuld sind an der aktuellen weltwirtschaftlichen Lage, sondern eher ein Kriegstreiber von der anderen Seite des grossen Teiches, und auch wenn unsere Nachbarlaender von der Mafia regiert werden, aendert das nichts an unserer Aufgabe mit den schwaecheren zu teilen. Da es uns mehr als gut geht, bedeutet Globalisierung im grossen, EU im etwas kleineren, fuer uns nicht nur zu teilen, sondern auch auf der Geber- und nicht auf der Nehmerseite zu sein. Teilen zu fordern ist immer sehr einfach, aber selber zu geben und nicht zu nehmen ist eine sehr schwierige Aufgabe. Oft fordern wir dann Gerechtigkeit, wenn wir die Geber sein sollen, aber darum gehts hier nicht. Es geht hier um ein angleichen des Wohlstandes an unsere Nachbarn, das annehmen und tragen von Verantwortung als jemandem dem es gut geht, und um das schaffen eines friedlichen und sicheren nebeneinanders von vielen verschiedenen Menschen, Nachbarn, Freunden … Ja was denn sonst?!

Dell Poweredge 2950 – Debian – Perc 6/i – DRAC5

So, mal eben zum festhalten…

  • Dell Open Manage Server Administratior Tools, auch kurz OMSA gibt es fuer Debian dankenswerter Weise von den Leuten von sara.nl ; die direkte Seite dafuer lautet: https://subtrac.sara.nl/oss/omsa_2_deb
  • Eine gute Anleitung zum installieren von den OMSA-Tools gibt es unter http://www.ubergeek.co.uk/blog/2008/05/dell-openmanage-on-linux-debian/
  • Fuer den Perc 6/i integrated RAID/SAS Controler gibt es ein Firmware Update auf 6.1.1-0047, das einige Fehler behebt und erhebliche Performanceverbesserungen verspricht, fuer Linux self-extracting binary gibts da -> http://ftp.us.dell.com/SAS-RAID/RAID_FRMW_LX_R201071.BIN
  • Der megaraid_sas Kerneltreiber unter Debian etch ist fuer zu alt fuer die OMSA-Tools. Deswegen zeigt omreport storage controler den Fehler an, das die der Controler State: Degraded ist. Das betrifft aber nur den Controler und seine Managementoptionen unter diesem Kernel, nicht aber das RAID und dessen Funktionalitaet.
  • Was mich bei den DRAC5 Karten schon immer gestoert hat, ist, dass der WebKVM nur mit dem Internet Explorer ging weil es ueber ein ActiveX Modul realisiert wurde. Bei der DRAC4 wars Java-Applet und damit Platform unabhaengig.
    Inzwischen gibt es ein Firmware Update fuer die DRAC5-Karte auf die Firmware 1.40 das dieses Manko behebt. In der Konfiguration fuer die Konsoleumleitung gibt es nun die Option „Java-Applet“ und es funktioniert wunderbar. Das Firmware Upgrade fuer die Karte gibt es unter http://ftp.us.dell.com/sysman/RAC_FRMW_LX_R197962.BIN