Archive

Archive for February, 2009

Prozessen unter die Haube geschaut

February 20th, 2009 No comments

Man lernt doch einfach nie aus. Zumindest kannte ich bis heute das Tool ‘pargs’ unter Solaris noch nicht. Dies ermöglicht es einem, sich das Environment und andere Informationen über laufende Prozesse zu holen. Sehr praktisch.

Ausführliche Informationen und ein paar Beispiele gibt es in folgendem Artikel: http://www.c0t0d0s0.org/archives/4779-Less-known-Solaris-Features-Getting-the-command-line-and-environment-of-running-processes.html

Categories: Solaris Tags:

Paul Krugman im Interview

February 18th, 2009 No comments

Ok, ich gebe zu, ich lese zu häufig Fefe’s Blog, aber an der Wirtschaftskrise kann man ja mittlerweile einfach nicht mehr vorbei. Wer sich dafür, und vor allem für die Hintergründe und Aussichten, interessiert, dem sei folgender Link an’s Herz gelegt:

40 Minuten Interview mit Paul Krugman

Ich muß dazu sagen, ich bin kein Apokalyptiker. Ich glaube nicht, das wir in einem Jahr alle auf der Straße an brennenden Mülltonnen stehen, um uns zu wärmen, aber insgesamt ist es doch sehr interessant, was der Nobelpreisträger Krugman zu sagen hat. Kurz zusammengefasst: 2009 wird echt hässlich, die USA sind auf dem Weg in eine jahrelange Krise und kurzfristig gibt es für alle nichts zu lachen.

Categories: Allgemeines Tags:

Doppelte Dateien finden

February 17th, 2009 No comments

Wer kennt das nicht ? Je größer die Festplatten, und je verwinkelter die Ordnerstruktur, desto mehr Doubletten finden sich irgendwann in jedem Dateisystem. Um dieses Problem unter Linux zu lösen gibt es das praktische Tool fdupes. Nach dem Aufruf

fdupes -r1 /home

wird das /home-Verzeichnis auf Dateien untersucht, die die gleiche MD5-Prüfsumme aufweisen.

Da MD5 mittlerweile als unsicher gilt, sollte man die Ergebnisse noch einmal mit einem anderen Hash-Algorithmus (z.B. SHA-256, RIPEMD-160, o.ä.) verifizieren. Anschließend kann man mit Hardlinks, Softlinks oder einfachem Löschen wieder für Platz und Ordnung sorgen.

Categories: Linux Tags:

Ein bisschen mehr Sicherheit

February 15th, 2009 1 comment

Das aktuelle Linux-Magazin hat einen ganz lustigen Artikel über einen “Hacker”, der nun Strafverfolger schult. Da er im Rahmen eines Interviews zwei Tipps gibt, wie der 0815-Systemadministrator sein Linux-System etwas sicherer macht, der Autor des Artikels diese aber leider nicht aufgreift übernehme ich das mal.

Erster Tipp: Die .bash_history auf “append-only” setzen.

Standardmäßig notiert die Bash alle abgesetzt Kommandos in der Datei .bash_history im Home-Verzeichnis des jeweiligen Benutzers. Ein Hacker hat nun zwei ganz einfache Möglichkeiten, dieses Protokoll zu umgehen:

unset HISTFILE

Dies löscht die Umgebungsvariable $HISTFILE und damit “vergisst” die Bash, das sie Protokoll führen sollte, oder

cp /dev/null $HISTFILE

Damit wird das Protokoll mit einer leeren Datei überschrieben. Man könnte es vermutlich umständlich zurückholen, aber das tut wohl kaum jemand.

Nun, wie sorgt man also dafür, das die Bash immer ein vollständiges, nicht löschbares Log führt ?

chattr +a .bash_history

sorgt dafür, das nur noch Daten an die Protokoll-Datei angehängt werden können. Sie kann nicht mehr überschrieben werden.

readonly HISTFILE
readonly HISTSIZE
readonly HISTFILESIZE

sorgen anschließend dafür, das alle mit der Protokoll-Datei zusammenhängenden Umgebungsvariablen nicht verändert werden können. Diese Einstellung sollte man (je nach Distribution) in /etc/profile oder /etc/profile.local hinterlegen.

Zweiter Tipp: Die /home-Partition “noexec” mounten.

Diese Einstellung sorgt dafür, das ein Angreifer, der Zugang zu einem Benutzeraccount erlang hat, nicht einfach irgendwelche Programme hochladen und ausführen kann. Selbstverständlich muß man dieses Flag auch für das /tmp-Dateisystem setzen, da es sonst relativ sinnlos ist. Ich persönlich gehe sogar noch einen Schritt weiter und setze folgende Optionen für die /home-Partition:

noexec, nosuid, nodev

noexec: Binaries/Scripte dürfen nicht ausgeführt werden
nosuid: Evtl. gesetzt SetUID-Bits werden ignoriert
nodev: Gerätedateien können nicht angelegt/verwendet werden.

Um diese Optionen einsetzen zu können, muß man die Home-Verzeichnisse der Benutzer natürlich auf eine eigene Partition legen, das möchte ich aber sowieso jedem Admin ans Herz legen.

Categories: Linux Tags:

Was Menschen alles für Geld machen

February 11th, 2009 1 comment

… lässt mich hier einfach mal wieder nur den Kopf schütteln.

bild-41

Categories: Allgemeines Tags: