. .

Tag: linux

0

Python: Script zur Überwachung von Dateisystemereignissen mit pyinotify

observeDirs_email_overview

Inhalt Beschreibung Quellcode Projektdaten Beschreibung Mit dem Python-Modul Pyinotify können alle Änderungen auf dem Dateisystem verfolgt werden. Pyinotify bezieht die Informationen direkt vom Subsystem „inotify“ (inode notify) des Kernels, um bestmögliche Performance zu gewährleisten. Das Script „observeDirs“ überwacht rekursiv alle Verzeichnisse, die in der Liste „dirs_recursive_to_observe“ in „oD_configuration.py“ vorkommen. dirs_recursive_to_observe = [ '/etc', '/root', '/usr' ] dirs_recursive_to_ignore = [ '/usr/portage', ] regexs_to_ignore = [ '^/root/.viminfo*', ]   Mit pyinotify werden in den konfigurierten Verzeichnissen folgende Veränderungen an Dateien oder Unterverzeichnissen behandelt: Neu-Erstellung, Bearbeitungen von Dateien, Metadatenänderungen (z.B. Berechtigungen), Löschungen und Verschiebungen. Über jede diese Veränderungen wird man per eMail informiert.

0

Perl: automatisch iptables Drop-Regeln aus Vorkommnissen in Logdateien erstellen

observeLogfiles_logging

Inhalt Beschreibung Quellcode Projektdaten Beschreibung Das folgende Script ist eine Weiterentwicklung des „w00tw00t.pl„-Scripts. Ziel ist es weiterhin, automatisiert auf Spam oder Angriffe auf bestimmte Dienste zu reagieren, in dem die verursachende IP-Adresse über iptables ausgesperrt wird. Das Script beschränkt sich nun nicht mehr auf nur ein Logfile – es können beliebig viele Logdateien auf verdächtige Aktivitäten überwacht werden. Das Script setzt sich in den Hintergrund und forkt sich für jede konfigurierte Logdatei. Ist eine Logdatei nicht vorhanden, wird alle 30 Sekunden versucht, die Logdatei zu öffnen – zum Beispiel beim Einsatz von logrotate notwendig. Hier ein kleines Beispiel zur Konfiguration

0

gentoo Linux: mySQL-Datenbankserver für eine chroot-Umgebung einrichten

chrooted mysql

Ich beschreibe hier, wie ein mySQL-Datenbankserver in eine chroot-Umgebung auf gentoo Linux installiert werden kann. Ziel ist es, dass es in dieser chroot-Umgebung keine Shell oder sonst irgendwelche unnötigen Programme gibt, die zum Laufen des Datenbankservers nicht notwendig sind. Als Basisverzeichnis der neuen Umgebung wird /chroot angenommen. Als erstes muss mySQL natürlich installiert werden. Die USE-Flags sollten bereits so gesetzt sein, wie man sie braucht. emerge -q dev-db/mysql emerge –config dev-db/mysql Nach der Installation und Konfiguration des mySQL-Servers sind noch kleine Vorbereitungen zu treffen. Die Skripte mkjailenv und addjailsw werden benötigt, die im Paket app-misc/jail zu finden sind. Zudem habe

, , ,
0

gentoo Linux: Installation auf einem Strato-Server

strato server

Es ist mal wieder soweit: ein neuer Server muss her. Da Strato bisher gute Arbeit machte, fiel die Wahl wieder auf einen Server dieses Hosters (Root Server Linux Level Medium). Leider gibt es aber bei den Vorinstallationen kein gentoo Linux zur Auswahl, weshalb ich einfach ein openSuSE 13.1 Linux vorinstallieren lies, mit dem Plan, danach wie schon die Jahre zuvor wieder Gentoo zu installieren. Das ausgewählte System hat nur eine SSD-Festplatte, weshalb kein RAID möglich ist. Die Boot-Partition auf dem SuSE-Linux ist mit 1GB recht großzügig, daher nahm ich gleich diese, um das Gentoo-Installations-Image zu entpacken. Man könnte aber auch

0

virtual framebuffer X server zur Erstellung von Webseiten-Screenshots verwenden

Screenshot gentoo.org

Ich zeige hier eine Möglichkeit, wie mit der Verwendung eines virtual framebuffer X Servers Screenshots von Webseiten erstellt werden können, ohne auf Drittanbieter wie zum Beispiel url2png.com angewiesen zu sein. Wie der Titel schon verrät ist hierbei aber die Installation von X Server Libraries notwendig. Das ist allerdings unter Umständen auf einigen Systemen nicht möglich bzw. nicht erwünscht. Das Script wurde mit bash v4.2.45 auf gentoo Linux ausgeführt. Bei diesem Betriebssystem ist es nötig, das xorg-server Paket mit dem USE-Flag „xvfb“ zu kompilieren. Außerdem werden in dem folgenden Shell-Script auch Programme aus diesen Paketen verwendet: x11-misc/xdotool, x11-apps/xwd und media-libs/netpbm. xdotool

0

Perl: w00tw00t-Einträge im Apache-Log automatisch für iptables-Firewallregeln verwenden

Perl: w00tw00t-Einträge im Apache-Log automatisch für iptables-Firewallregeln verwenden

Im Apache-Errorlog finden sich bei mir immer wieder einige Einträge dieser Art: „[Wed Apr 07 23:17:01 2010] [error] [client 88.191.61.110] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:“. Diese Einträge entstehen wohl, wenn Apache von einem Tool namens `dfind‘ gescannt wird. `dfind‘ sucht nach Schwachstellen in der verwendeten Server-Software. Da solche Log-Einträge ziemlich überhand nahmen, schrieb ich ein kleines Perl-Script, dass ähnlich wie `tail‘ das Apache-Logfile beobachtet und bei einem Eintrag nach entsprechendem Muster („.*request without hostname.*w00tw00t.*“) iptables anweist, die Client-IP zu sperren – falls diese IP ohnehin nicht schon gesperrt ist. Das Script setzt sich selbst

1

C: Speicherallokation: malloc() vs. talloc()

malloc() vs. talloc()

Als ich vor Kurzem auf gentoo Linux ein `emerge -quDN world‘ machte, habe ich ausnahmsweise mal zugeschaut, was da gerade alles aktualisiert wird. Da fiel mir ein Paket namens `sys-libs/talloc‘ auf – und fragte mich, ob das tatsächlich etwas mit Speicherallocation zu tun haben könnte. Kurz gegoogelt bin ich auf einen Artikel von Stephen Gallagher aufmerksam geworden: Why you should use talloc for your next project. talloc ist eine Speicherimplementierung vom Samba-Projekt. talloc bietet hier die Möglichkeit, reservierten Speicher in einem zusammenhängenden Bereich zu erhalten. Welche Vorteile daraus gezogen werden können, ist an Hand dieses kleinen Beispiels ersichtlich: #include <unistd.h>

0

C: Prozessnamen einer PID unter Linux, HP-UX, MacOS und Solaris ermitteln

C Code

In diesem Beispiel zeige ich, wie unter Linux, HP-UX, MacOS und Solaris zu einer Prozess ID der Name des Prozesses ermittelt werden kann. Wiederum die Definition der Funktionen im entsprechenden Header (processname.h): #ifndef PRJ_PROCESSNAME_H #define PRJ_PROCESSNAME_H 1 #define MAX_PROCNAME 1024 #ifdef __cplusplus extern "C" { #endif int prjProcessName(int pid, char *procname); #ifdef __cplusplus } #endif #endif /* !PRJ_PROCESSNAME */ Nach der überschaubaren Headerdatei nun der eigentliche Code in processname.c: Dabei wird an Hand einer Definition entschieden, um welches System es sich handelt. Das sollte natürlich vom configure-Script bestimmt werden, hier in diesem Beispiel aber hartcodiert. #include <stdlib.h> #include <stdio.h> #include

0

Perl: veraltetete Distfiles von gentoo Linux automatisiert löschen

Perl: veraltetete Distfiles von gentoo Linux automatisiert löschen

Gentoo Linux verwendet bekanntermaßen den sogenannten Portage zur Verwaltung der Software auf dem System. Wenn mittels `emerge‘ ein Paket installiert wird, zieht der Portage die Quelldateien der Software aus dem Netz und speichert diese standardmäßig in /usr/portage/distfiles/. Je nach Konfiguration in /etc/portage/make.conf belässt der Portage die Quelldateien auf dem Dateisystem, um bei Änderungen der USE-Flags und der daraus erforderlichen Recompilierung des Pakets die Dateien nicht erneut herunterladen zu müssen. Aktualisiert man nun die Paketinformationen mit `emerge –sync‘, werden veraltete ebuilds entfernt. In diesen ebuilds (bzw. dessen Manifest-Dateien) ist hinterlegt, welches Quellpaket in welcher Version verwendet werden soll. Ist also ein

0

Python: kompilierte gentoo Linux Pakete automatisiert in gechrootete Verzeichnisse übertragen

Python: kompilierte gentoo Linux Pakete automatisiert in gechrootete Verzeichnisse übertragen

Aus Sicherheitsgründen werden bestimmte Dienste wie Web-, Mail- oder FTP-Services gechrooted, um den Diensten den Zugriff außerhalb des gechrooteten Basis-Verzeichnisses zu verwehren. Sollte der Dienst einem erfolgreichen Angriff erlegen sein, befindet sich der Angreifer in einer eingeschränkten Umgebung, die nur für das erfolgreiche Laufen des Dienstes konfiguriert ist bzw. sein sollte. Dadurch kann die Sicherheit des restlichen Systems bzw. der restlichen Dienste erhöht werden. Unter gentoo Linux wird zur Packetverwaltung (der sog. Portage) das Tool `emerge‘ verwendet. Logischerweise werden von den „eingesperrten“ Diensten bestimmte Bibliotheken und auch Binaries benötigt, um überhaupt laufen zu können. Wenn mit `emerge‘ ein Software-Paket installiert

6

Wetterdatenerfassung – Erstellung der Software „weatherlogd“

Wetterstationsempfänger & Raspberry Pi

Inhalt Beschreibung & Infrastruktur Auswertung der Messdaten Funktionen Quellcode Projektdaten Demo Ausblick Beschreibung & Infrastruktur Über die Wetterstation WH-1050 erhalte ich Wetterdaten wie Temperatur, Windgeschwindigkeit oder Luftfeuchtigkeit. Um diese Daten auslesen zu können, habe ich den Empfänger der Wetterstation per USB an einen Raspberry Pi angeschlossen. Auf dem Raspberry Pi läuft ein Raspbian „wheezy“ Linux Betriebssystem mit dem Hostname „weatherfish“. Sehr schön ist, dass zum Auslesen der Wetterstation diesen Typs bereits ein Python-Projekt namens „pywws“ besteht. Über diese Software können die RAW-Daten der Wetterstation bezogen werden. Leider bietet pywws keine Möglichkeit, die gewonnenen Daten in eine Datenbank speichern zu können.

0

C: Passwortabfrage im Terminal

C Code

Ich beschreibe hier kurz, wie unter Linux in der Konsole ein Passwort abgefragt werden kann, ohne dass die Eingabe des Users im Terminal erscheint. Hierzu Definitionen im Header-File passphrase.h: #ifndef PRJ_PASSPHRASE_H #define PRJ_PASSPHRASE_H 1 #if defined(__cplusplus) extern "C" { #endif char * prj_read_passphrase(size_t size); int prj_get_passphrase(size_t count, size_t size, char **passphrase); #if defined(__cplusplus) } #endif #endif /* !PRJ_PASSPHRASE_H */ Daraufhin der eigentliche Code in passphrase.c: #include <stdlib.h> #include <stdio.h> #include <string.h> #include <unistd.h> #include <termios.h> #include "passphrase.h" /* * \brief prj_read_passphrase * * reads from stdin input of user * * \param size maximum length of input * * \return

0

Installation der Kamera Canon EOS 450D (gentoo Linux)

Installation der Kamera Canon EOS 450D (gentoo Linux)

Das verwendete System ist ein Dual-Opteron auf gentoo Linux mit dem Kernel 2.6.24. Eigentlich ist die Inbetriebnahme der Kamera kein großes Problem. Allerdings kann die Kamera nicht wie die meisten anderen Kameras als normales USB-Block-Device angesprochen werden. Prüfen Sie mit dem Kommando usbview, ob die Kamera ordnungsgemäß angeschlossen ist. emerge usbview usbview Da müsste in roter Schrift die Kamera erscheinen. Als nächstes muss das Programm gthumb installiert sein. Dazu ist notwendig, gthumb mit dem USE-Flag „gphoto2″ und ggf. „raw“ (wenn Sie Fotos im Raw-Format speichern) zu installieren. Dadurch wird das Programm media-libs/libgphoto2 ebenfalls angezogen. Als Konfiguration hierzu muss der Kameratyp mit

0

SSH ohne Passwortabfrage über SSH-Key

SSH ohne Passwortabfrage über SSH-Key

Der Client ist ein Dual-Core AMD Opteron(tm) Processor 2210 System auf gentoo Linux mit dem Kernel 2.6.19-gentoo-r5. Der Server ist ein sun4u TI UltraSparc IIIi System auf gentoo Linux mit dem Kernel 2.6.20-gentoo-r6. Ich erkläre hier, wie man sich auf entfernte Rechner per SSH ohne Passwortabfrage über einen SSL-Key einloggen kann. Prinzipiell ist es zwar unsicherer, sich per Key einzuloggen und nicht über die Passwortabfrage, komfortabler ist dies aber allemal. Der Client hat einen privaten Schlüssel, während der öffentliche Schlüssel im home-Verzeichnis des entsprechenden Benutzers auf dem Server liegt. Da das Ziel ist, keine Passworteingabe machen zu müssen, darf dem

0

Kompilieren im RAM (gentoo Linux)

Kompilieren im RAM (gentoo Linux)

Das verwendete System ist ein Dual – TI UltraSparc IIIi mit dem Kernel 2.6.20-gentoo-r6. Unter Linux ist es ohne große Probleme möglich, Teile des Arbeitsspeichers in den Verzeichnisbaum zu mounten. Da unter gentoo Linux bei einer Aktualisierung des Systems mittels emerge die Festplatte recht gut in Mitleidenschaft gezogen wird, entschloss ich mich für eine Nutzung des RAMs zum Kompilieren der Programmpakete.Dies hat generell mehrere Vorteile: mechanische Schonung der Festplatte Fragmentierungsverminderung schnelleres Kompilieren, da meistens die Festplatte der limitierende Faktor ist Dennoch gibt es auch Nachteile: Mindestens 1,5 GB RAM ist noetig, wenn man nicht auf Probleme stoßen will eventuelles Volllaufen