Snippets: 05.01.2016

  • Wenn logrotate Emails schickt mit dem Inhalt
    /etc/cron.daily/logrotate: 
    gzip: stdin: file size changed while zipping

    dann ist die Vorgehensweise um das Problem zu lösen zuerst in dem Cronskript ein –verbose an den Logcheck Aufruf mit anzuhängen um die betreffende Datei zu identifizieren und anschließend in der dazugehörigen Konfigurationsdatei ein delaycompress mit einzufügen. (via)

  • Gestern bereits gelernt allerdings vergessen aufzuschreiben: Die App Castro für Android. Sie ließt Systeminformationen aus. Spannend fand ich, dass es in meinem Smartphone auch einen Druck-Sensor dessen Wert in hPa ausgegeben werden. Zum Vergleich für Göttingen habe auf der Tagesanzeige der Graphen von Goetemp in die Tabelle den Luftdruck einfach mal mit aufgenommen und finde es witzig meinen Handywert mit dem gemessenen Wert zu vergleichen.
  • In Apache 2.4 wird aus
    Order allow,deny
    Allow from 127.0.0.1 1.2.3.4

    ein

    Require local
    Require ip 1.2.3.4
  • In Apache 2.4 wird der Ordner /etc/apache2/conf.d/ nicht mehr genutzt, sondern es ist jetzt /etc/apache2/conf-enabled/

Snippets: 04.01.2016

  • Bei einer virtuellen Konsole einer Dell iDRAC Karte funktionieren unter Linux die Pfeiltasten nicht. Das liegt wohl an inkompatiblen Key-Events die da gesendet werden. Die Pfeiltasten auf dem Num-Block funktionieren allerdings. Took me 30 minutes…. (via)
  • Auf einer amerikanischen Tastatur befindet sich das Pipe-Symbol hinter SHIFT+#
  • e2fsck -a ist deprecated und es sollte der Parameter -p genommen werden.
  • Wenn man einen Webserver betreibt sollte man automatische Backupdateien mit einer ~ hinten von der Auslieferung ausschließen, also sowas wie den folgenden Absatz in die httpd.conf mit aufnehmen:
    <Files ~ "~">
    Order allow,deny
    Deny from all
    </Files>
  • Wenn man das Puppetmodul für Apache von puppetlabs einsetzt geht das mit folgender Config: in der Hiera YAML Datei für den Node:

    apache::custom_config:
      'files_tilde.conf':
        ensure: 'present'
        verify_config: true
        content:
          |
            <Files ~ "~">
              Order allow,deny
              Deny from all
            </Files>

    und in der site.pp für den Node noch folgendes hinzufügen:

    $myApacheCustomConfig = hiera('apache::custom_config', {})
    create_resources('apache::custom_config', $myApacheCustomConfig)

Aus dem Leben gegriffen: SSH Server absichern

Wenn es um das absichern von Systemen geht gibt es unterschiedliche Philosophien und Wege. Dazu kommen Aussagen oder Erlebnisse die im Laufe der Jahre zusammengekommen sind. Hier mal ein paar davon notiert:

  1. Ich persönlich bevorzuge eine Kombination aus AllowGroups oder AllowUsers in der sshd_config zusammen mit PermitRootLogin no und wenn möglich einem PasswordAuthentication no.
  2. Wenn man auf SSH und direkten Rootzugriff nicht verzichten möchte kann man den Nutzer mit der uid=0 einfach umbenennen zum Beispiel in von root in yolo1234. Habe ich bereits in der Wildnis gesehen.
  3. Eine ganz eigene Art- und Weise den SSH Zugriff eine Weile abzusichern hat mir ein Kollege erzählt. Einfach kein Passwort für den Root-Nutzer setzen. Das hätte ganze 9 Monate gedauert bis der erste Einbruch da war…
  4. Leaving a system so unpatched that most attackers assume it’s a honeypot and move on (via)