Juni 2011 Archive

11.06.2011 11:29

Sicherheitsprüfung

Auszugsweise Logdatei der Systemüberprüfung mit rkhunter.

[10:54:11] Running Rootkit Hunter in Version 1.3.6 auf bluestar
[10:54:11] Information: Start Datum ist Sa 11. Jun 10:54:11 CEST 2011
[10:54:11] Information: Erkanntes Betriebssystem ist 'Linux'
[10:54:11] Information: Name des Betriebssystems gefunden: Debian 6.0.1
[10:54:11] Information: Kommandozeile ist /usr/bin/rkhunter --cronjob --report-warnings-only --appendlog
[10:54:11] Information: Umgebungsshell ist /bin/bash; rkhunter verwendet dash
[10:54:11] Information: Verwende Konfigurationsdatei '/etc/rkhunter.conf'
[10:54:11] Information: Verwende die Sprache 'de'
...
[10:54:12] Starte System-Überprüfungen...
...
[10:54:37] Überprüfe auf Rootkits...
...
[10:55:38] Führe Überprüfung auf Malware aus
...
[10:55:39] Führe Überprüfungen auf Backdoor-Ports aus
...
[10:55:42] Führe Überprüfung des System-Boot aus
...
[10:55:45] Führe Überprüfungen auf Gruppen und Konten aus
...
[10:55:45] Führe Überprüfung der System-Konfigurations-Dateien aus
...
[10:55:46] Dateieigenschaften-Überprüfung...
[10:55:46] Dateien überprüft: 135
[10:55:46] Verdächtige Dateien: 0
...
[10:55:46] Rootkit-Überprüfungen...
[10:55:46] Rootkits überprüft : 248
[10:55:46] Mögliche Rootkits: 0
...
[10:55:46] Dauer der System-Überprüfung: 1 minute and 34 seconds
[10:55:46] Information: Enddatum ist Sa 11. Jun 10:55:46 CEST 2011


Geschrieben von root | Permanenter Link | Kategorien: Status

11.06.2011 10:45

Temperatur Harddisk

grep 'hddtemp' /var/log/daemon.log | tail -n 12
Jun 11 10:17:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C
Jun 11 10:19:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C
Jun 11 10:22:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C
Jun 11 10:24:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C
Jun 11 10:27:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C
Jun 11 10:29:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 28 C
Jun 11 10:32:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 29 C
Jun 11 10:34:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 30 C
Jun 11 10:37:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 31 C
Jun 11 10:39:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 31 C
Jun 11 10:42:13 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 30 C
Jun 11 10:44:43 bluestar hddtemp[1610]: /dev/sda: ST9250315AS: 29 C


Geschrieben von root | Permanenter Link | Kategorien: Status

11.06.2011 08:54

Konfiguration bearbeiten

Änderungen an der Systemkonfiguration auf einem Server sind manchmal eine etwas heikle Angelegenheit. Man kommt nicht ohne sie aus, kann aber auch schnell einzelne Dienste oder gar den ganzen Server in einen nicht benutzbaren Zustand bringen. Dann ist es günstig, wenn man die Änderungen nachvollziehen und zurücknehmen kann.

Versuchen wir uns heute an einem einfachen Beispiel. Im Dienst collectd zur Systemüberwachung soll das zur Zeit aktive Modul ping ausgeschaltet werden.

Statistik der Laufzeit von IP-Paketen im lokalen Netz während einer letzten Stunde


editor /etc/collectd/collectd.conf

Vorher:

LoadPlugin ping

Nachher:

#LoadPlugin ping

Einige Zeit darauf geht eine E-Mail ein:


Betreff: Betreff: Changed files on bluestar.domo.reto: Fri Jun 10 17:17:03 2011
Changes made to '/etc/collectd/collectd.conf' follow:
  @@ -80,7 +80,7 @@
   #LoadPlugin openvpn
   #LoadPlugin perl
   #LoadPlugin pinba
  -LoadPlugin ping
  +#LoadPlugin ping
   #LoadPlugin postgresql
   #LoadPlugin powerdns
   LoadPlugin processes

Diese Meldung kommt vom Programm changetrack, welches die Konfigurationsdateien stündlich auf Änderungen überwacht und den Administrator per E-Mail informiert.

Zusätzlich speichert dieses Programm die alten Versionen der Dateien mit RCS in einem Archiv. Werfen wir einen Blick auf die wichtigsten Programme zum Umgang mit solchen Archiven:


root@bluestar:~# apropos rcs
[...]
ci (1)               - check in RCS revisions
co (1)               - check out RCS revisions
[...]
rcsdiff (1)          - compare RCS revisions
rlog (1)             - print log messages and other information about RCS files

Das Changetrack-Archiv befindet sich im Verzeichnis /var/lib/changetrack. Finden wir zunächst heraus, wie viele Versionen der Datei /etc/collectd/collectd.conf bereits gespeichert wurden.


root@bluestar:~# rlog /var/lib/changetrack/etc\:collectd\:collectd.conf
RCS file: /var/lib/changetrack/RCS/etc:collectd:collectd.conf,v
Working file: /var/lib/changetrack/etc:collectd:collectd.conf
head: 1.5
total revisions: 5;     selected revisions: 5
description:
this is "/etc/collectd/collectd.conf"
----------------------------
revision 1.5    locked by: root;
date: 2011/06/10 15:17:21;  author: root;  state: Exp;  lines: +1 -1
modification of "/etc/collectd/collectd.conf" on Fri Jun 10 17:17:03 2011
----------------------------
revision 1.4
date: 2011/05/26 21:17:20;  author: root;  state: Exp;  lines: +1 -1
modification of "/etc/collectd/collectd.conf" on Thu May 26 23:17:02 2011
----------------------------
revision 1.3
date: 2011/05/26 16:17:06;  author: root;  state: Exp;  lines: +18 -17
modification of "/etc/collectd/collectd.conf" on Thu May 26 18:17:02 2011
----------------------------
revision 1.2
date: 2011/05/26 15:17:23;  author: root;  state: Exp;  lines: +13 -13
modification of "/etc/collectd/collectd.conf" on Thu May 26 17:17:02 2011
----------------------------
revision 1.1
date: 2011/05/24 06:17:16;  author: root;  state: Exp;
modification of "/etc/collectd/collectd.conf" on Tue May 24 08:17:02 2011

Die aktuelle Fassung der Konfigurationsdatei /etc/collectd/collectd.conf ist als Version 1.5 gespeichert. Vergleichen wir sie mit der Vorgängerversion.


root@bluestar:~# rcsdiff -u -r1.5 -r1.4 /var/lib/changetrack/etc\:collectd\:collectd.conf
RCS file: /var/lib/changetrack/RCS/etc:collectd:collectd.conf,v
retrieving revision 1.5
retrieving revision 1.4
diff -u -r1.5 -r1.4
--- /var/lib/changetrack/etc:collectd:collectd.conf     2011/06/10 15:17:21     1.5
+++ /var/lib/changetrack/etc:collectd:collectd.conf     2011/05/26 21:17:20     1.4
@@ -80,7 +80,7 @@
 #LoadPlugin openvpn
 #LoadPlugin perl
 #LoadPlugin pinba
-#LoadPlugin ping
+LoadPlugin ping
 #LoadPlugin postgresql
 #LoadPlugin powerdns
 LoadPlugin processes

Diese Programmausgabe entspricht sinngemäß dem Inhalt der zuvor empfangenen E-Mail. In der aktuellen Fassung 1.5 ist die Zeile mit # auskommentiert worden, in der vorherigen Version 1.4. war sie dies nicht.

Als nächstes holen wir uns die vorherige Version aus dem Archiv zurück:


root@bluestar:~# co -r1.4 /var/lib/changetrack/etc\:collectd\:collectd.conf
/var/lib/changetrack/RCS/etc:collectd:collectd.conf,v  -->  /var/lib/changetrack/etc:collectd:collectd.conf
revision 1.4
done


root@bluestar:~# cp /var/lib/changetrack/etc\:collectd\:collectd.conf /etc/collectd/collectd.conf

Damit haben wir die ursprüngliche Einstellung wieder hergestellt. Einige Zeit später im Posteingang E-Mails von changetrack und fcheck auftauchen, die uns über die gerade vorgenommenen Änderungen informieren.


Geschrieben von root | Permanenter Link | Kategorien: Verwaltung

11.06.2011 08:05

Dienstesteuerung

Wenn man auf einem Debian-System Softwarepakete installiert, die einen im Hintergrund laufenden Dienstprozess (daemon) beinhalten, so wird dieser oft automatisch gestartet.

Als Administrator mag man manche Dienste aber nur zum Ausprobieren, zu bestimmten Zeiten oder bestimmten Zwecken verwenden. Dann muss man den automatischen Start dieser Dienstprozesse beim Hochfahren des Servers verhindern. Informationen zum Ablauf und zur Steuerung des Bootvorgangs finden sich in der Debian Dokumentation.


root@bluestar:~# runlevel
N 2

Wie man sieht, bootet der Linux Home Server in den Runlvel 2, so wie in der Datei /etc/inittab festgelegt. Als nächstes werden drei Schritte durchgeführt:

  1. Wechseln in den Runlevel 3 mit telinit
  2. Ausgewählte Dienste im Runlevel 2 deaktivieren mit sysv-rc-conf
  3. Zurückwechseln in den Runlevel 2 mit telinit

root@bluestar:~# telinit 3
root@bluestar:~# runlevel
2 3


root@bluestar:~# sysv-rc-conf
sysv-rc-conf (8)     - Run-level configuration for SysV like init script links

 service      1       2       3       4       5       0       6       S
 ----------------------------------------------------------------------------
 collectd    [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]
 icecast2    [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]
 nagios3     [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]
 rrdcached   [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]
 rrdcollect  [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]
 timidity    [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]
 xfs         [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]
 xfstt       [ ]     [ ]     [X]     [X]     [X]     [ ]     [ ]     [ ]

Nur die geänderten Zeilen werden angezeigt.


root@bluestar:~# telinit 2
root@bluestar:~# runlevel
3 2

Etwas später findet sich eine neue E-Mail im Posteingang.


Absender: logcheck
Betreff: bluestar.domo.reto 2011-06-10 16:02 System Events
This email is sent by logcheck. If you no longer wish to receive
such mail, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).

System Events
=-=-=-=-=-=-=
Jun 10 15:35:41 bluestar init: Switching to runlevel: 2
Jun 10 15:35:41 bluestar nagios3: Caught SIGTERM, shutting down...
Jun 10 15:35:41 bluestar collectd[25081]: Exiting normally.
Jun 10 15:35:41 bluestar collectd[25081]: collectd: Stopping 5 read threads.
Jun 10 15:35:41 bluestar rrdcached[25071]: caught SIGTERM
Jun 10 15:35:41 bluestar rrdcached[25071]: starting shutdown
Jun 10 15:35:41 bluestar xfs[25090]: terminating
Jun 10 15:35:41 bluestar rrdcached[25071]: clean shutdown; all RRDs flushed
Jun 10 15:35:41 bluestar rrdcached[25071]: removing journals
Jun 10 15:35:41 bluestar rrdcached[25071]: goodbye
Jun 10 15:35:41 bluestar collectd[25081]: ping plugin: Shutting down thread.
Jun 10 15:35:41 bluestar collectd[25081]: rrdtool plugin: Shutting down the queue thread. This may take a while.
Jun 10 15:35:41 bluestar nagios3: Successfully shutdown... (PID=25125)
Jun 10 15:35:41 bluestar collectdmon[25080]: Info: collectd terminated with exit status 0
Jun 10 15:35:41 bluestar collectdmon[25080]: Info: shutting down collectdmon

Die E-Mail enthält eine Zusammenfassung von Meldungen aus dem Systemlog. In diesem Fall kann man den Meldungen entnehmen, dass die Dienste nagios3, collectd, rrdcached, xfs und collectdmon wie gewünscht angehalten wurden. Bis auf xfs handelt es sich dabei um Systemüberwachungsprozesse.

Die Dienste timidity und xfstt wurden beendet, ohne Meldungen im Systemlog zu hinterlassen.

Die Dienste rrdcollect und icecast2 sind ohne vorherige manuelle Konfiguration nicht lauffähig und waren daher auch in Runlevel 3 nicht aktiv.

Dienste können natürlich jederzeit manuell oder auch zeitgesteuert wieder aktiviert werden:


root@bluestar:~# /etc/init.d/collectd start
Starting statistics collection and monitoring daemon: collectd.



root@bluestar:# at now + 24 hours
warning: commands will be executed using /bin/sh
at> /etc/init.d/collectd stop
at> <EOT>
job 57 at Sun Jun 12 08:00:00 2011

So bekommt man eine Systemüberwachung mit collectd für 24 Stunden.


Geschrieben von root | Permanenter Link | Kategorien: Verwaltung

09.06.2011 19:22

Dateiüberwachung

Heute fand ich folgende E-Mail von root im Posteingang:


Betreff: ALERT: [fcheck] bluestar.domo.reto

PROGRESS: validating integrity of Files
STATUS: passed...

[...]

PROGRESS: validating integrity of /etc/
STATUS:
        WARNING: [bluestar] /etc/ld.so.cache
        [Inodes: 24541 - 27518, Times: May 30 17:01 2011 - Jun 08 19:33 2011]

[...]

PROGRESS: validating integrity of /usr/bin/
STATUS:
        WARNING: [bluestar] /usr/bin/xmlcatalog
        [Inodes: 409492 - 407499, Times: May 30 17:01 2011 - Jun 08 19:33 2011, CRCs: 100a7a989ca3d2d64bc580300f4cfd5138a6416e2a72c7143c14314cfdbdffa9 - a039f557f97beb60a1365e664194884723c38b38282e52344c72f42ca9c446d6]

        WARNING: [bluestar] /usr/bin/xmllint
        [Inodes: 409491 - 407509, Times: May 30 17:01 2011 - Jun 08 19:33 2011, CRCs: 0fed3a5525aacdabbf7847f47a1c12704f8e2dc510157638c2cce9f2cf7b6056 - a37b8ee42022b97b04f941a244110ffbf1740eeca485f1f72b9ce0e120b7022e]

[...]

PROGRESS: validating integrity of /usr/lib/
STATUS:
        WARNING: [bluestar] /usr/lib/libxml2.so.2
        [Inodes: 196299 - 197246, Times: Jan 02 09:50 2011 - Jun 08 19:33 2011, CRCs: SYMLINK:f303efc2b6f7255788f0823ce546fd0a6bb9e4b6730afad9c45883d6db77fc86 - SYMLINK:1f9fcebf8d9c8e05e3acd56dddd450be22f9faa9156fb22e5cc201ecb180b227]

        WARNING: [bluestar] /usr/lib/libxml2.so.2.7.8
        [Inodes: 196299 - 197246, Times: Jan 02 09:50 2011 - Jun 08 19:33 2011, CRCs: f303efc2b6f7255788f0823ce546fd0a6bb9e4b6730afad9c45883d6db77fc86 - 1f9fcebf8d9c8e05e3acd56dddd450be22f9faa9156fb22e5cc201ecb180b227]

Die Meldung stammt vom Programm fcheck. Was tut es?


whatis fcheck
fcheck (8)           - IDS filesystem baseline integrity checker

Offenbar wurden bestimmte Dateien verändert, die von fcheck in regelmäßigen Abständen geprüft werden. Dies könnte mit der Softwareaktualisierung vom gestrigen Tage zu tun haben. Eine kleine Untersuchung soll Klarheit schaffen:


root@bluestar:~# dpkg -S /etc/ld.so.cache
dpkg: /etc/ld.so.cache nicht gefunden.


root@bluestar:~# dpkg -S /usr/bin/xmlcatalog
libxml2-utils: /usr/bin/xmlcatalog


root@bluestar:~# dpkg -S /usr/bin/xmllint
libxml2-utils: /usr/bin/xmllint


root@bluestar:~# dpkg -S /usr/lib/libxml2.so.2
libxml2: /usr/lib/libxml2.so.2


root@bluestar:~# dpkg -S /usr/lib/libxml2.so.2.7.8
libxml2: /usr/lib/libxml2.so.2.7.8

Vier der Änderungen rühren also tatsächlich direkt vom Softwareupdate her. Die Änderung an der Datei /etc/ld.so.cache ist darauf zurück zu führen, dass zwei neue Bibliotheken im Ordner /usr/lib installiert wurden.
man ld.so
/etc/ld.so.cache  File containing a compiled list of directories in which to 
                  search for libraries and an ordered list of candidate libraries.


Geschrieben von root | Permanenter Link | Kategorien: Verwaltung

08.06.2011 21:42

Softwareaktualisierung

Heute fand ich folgende E-Mail von root im Posteingang:


Betreff: 2 Debian package update(s) for bluestar.domo.reto
apticron report [Wed, 08 Jun 2011 07:36:06 +0200]
========================================================================

apticron has detected that some packages need upgrading on:

        bluestar.domo.reto 

The following packages are currently pending an upgrade:

        libxml2 2.7.8.dfsg-2+squeeze1
        libxml2-utils 2.7.8.dfsg-2+squeeze1

========================================================================

Package Details:

Lese Changelogs...
--- Änderungen für libxml2 (libxml2 libxml2-utils) ---
libxml2 (2.7.8.dfsg-2+squeeze1) stable-security; urgency=low

  * xpath.c: Fix some potential problems on reallocation failures.
    Closes: #628537.

========================================================================

You can perform the upgrade by issuing the command:

        aptitude full-upgrade

as root on bluestar.domo.reto

Brav folgte ich dem Vorschlag, meldete mich mit PuTTY per SSH als Administrator root auf dem Linux Home Server bluestar an und und gab in der Shell ein:


root@bluestar:~# aptitude full-upgrade
Die folgenden Pakete werden aktualisiert:
  libxml2 libxml2-utils
2 Pakete aktualisiert, 0 zusätzlich installiert, 0 werden entfernt und 0 nicht aktualisiert.

Ersatz für libxml2 wird entpackt ...
Ersatz für libxml2-utils wird entpackt ...
libxml2 (2.7.8.dfsg-2+squeeze1) wird eingerichtet ...
libxml2-utils (2.7.8.dfsg-2+squeeze1) wird eingerichtet ...

Aktueller Status: 0 Aktualisierungen [-2].


Geschrieben von root | Permanenter Link | Kategorien: Verwaltung

07.06.2011 21:10

Start der Admin-Doku

Ein neuer Artikel ist fertig: "LHS für Administratoren".

  • Zugriff per Webinterface
  • Zugriff per Shell/SSH
  • Zugriff per Remote-Desktop

Weitere Artikel befinden sich in Vorbereitung.


Geschrieben von root | Permanenter Link | Kategorien: Verwaltung

07.06.2011 20:56

Aufgabenliste 07.06.2011

todo -cvs
    Aufgabenliste LHS
  3.(added 29.05.2011 15:25) Blog-Artikel schreiben: Betrieb des LHS ueberwachen.
    (logcheck, logwatch, collectd)
  4.(added 07.06.2011 20:46) Datensicherung durchfuehren und dokumentieren.
  5.(added 29.05.2011 15:27) Ausgewaehlte Dienste ueberpruefen.
    (samba, winbind, swat)
  6.(added 07.06.2011 20:47) Einbindung des LHS in Domaene unter Windows 2008 darstellen.


Geschrieben von root | Permanenter Link | Kategorien: Projekt

07.06.2011 20:43

Systemsensoren 07.06.2011

sensors -A
coretemp-isa-0000
Core 0:      +38.0°C  (crit = +100.0°C)                  

coretemp-isa-0002
Core 1:      +38.0°C  (crit = +100.0°C)                  

w83627thf-isa-0290
+5V:         +4.88 V  (min =  +4.51 V, max =  +5.49 V)   
5VSB:        +4.93 V  (min =  +4.51 V, max =  +5.49 V)   
Vbat:        +3.28 V  (min =  +2.70 V, max =  +3.30 V)   
temp1:       +47.0°C  (high = +96.0°C, hyst =  +0.0°C)  sensor = thermistor
temp2:       +72.0°C  (high = +80.0°C, hyst = +75.0°C)  sensor = thermistor
temp3:       +72.0°C  (high = +80.0°C, hyst = +75.0°C)  sensor = thermistor
beep_enable:enabled


Geschrieben von root | Permanenter Link | Kategorien: Status

06.06.2011 23:11

Speicherverwendung 06.06.2011

free -mt
             total       used       free     shared    buffers     cached
Mem:           993        930         63          0         21        430
-/+ buffers/cache:        478        515
Swap:         3811        169       3642
Total:        4805       1100       3705

Nutzung des Arbeitsspeichers - benutzter Speicher (used) während eines Tages Nutzung des Arbeitsspeichers - freier Speicher (free) während eines Tages


Geschrieben von root | Permanenter Link | Kategorien: Status

06.06.2011 14:04

Ping im LAN am 06.06.2011

ping -c 9 blackbox.domo.reto
PING blackbox.domo.reto (192.168.1.1) 56(84) bytes of data.
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=1 ttl=128 time=15.6 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=2 ttl=128 time=10.1 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=3 ttl=128 time=8.88 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=4 ttl=128 time=9.78 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=5 ttl=128 time=5.51 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=6 ttl=128 time=7.90 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=7 ttl=128 time=5.40 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=8 ttl=128 time=3.97 ms
64 bytes from blackbox.domo.reto (192.168.1.1): icmp_req=9 ttl=128 time=5.60 ms

--- blackbox.domo.reto ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 8009ms
rtt min/avg/max/mdev = 3.971/8.091/15.602/3.354 ms

Statistik der Laufzeit von IP-Paketen im lokalen Netz während einer letzten Stunde Stunden-Statistik


Geschrieben von root | Permanenter Link | Kategorien: Status