Python: Script zur Überwachung von Dateisystemereignissen mit pyinotify
Inhalt Beschreibung Quellcode Projektdaten Beschreibung Mit dem Python-Modul Pyinotify können alle Änderungen auf dem Dateisystem verfolgt werden. Pyinotify bezieht die Informationen direkt vom Subsystem „inotify“ (inode notify) des Kernels, um bestmögliche Performance zu gewährleisten. Das Script „observeDirs“ überwacht rekursiv alle Verzeichnisse, die in der Liste „dirs_recursive_to_observe“ in „oD_configuration.py“ vorkommen. dirs_recursive_to_observe = [ '/etc', '/root', '/usr' ] dirs_recursive_to_ignore = [ '/usr/portage', ] regexs_to_ignore = [ '^/root/.viminfo*', ] Mit pyinotify werden in den konfigurierten Verzeichnissen folgende Veränderungen an Dateien oder Unterverzeichnissen behandelt: Neu-Erstellung, Bearbeitungen von Dateien, Metadatenänderungen (z.B. Berechtigungen), Löschungen und Verschiebungen. Über jede diese Veränderungen wird man per eMail informiert.
Perl: automatisch iptables Drop-Regeln aus Vorkommnissen in Logdateien erstellen
Inhalt Beschreibung Quellcode Projektdaten Beschreibung Das folgende Script ist eine Weiterentwicklung des „w00tw00t.pl„-Scripts. Ziel ist es weiterhin, automatisiert auf Spam oder Angriffe auf bestimmte Dienste zu reagieren, in dem die verursachende IP-Adresse über iptables ausgesperrt wird. Das Script beschränkt sich nun nicht mehr auf nur ein Logfile – es können beliebig viele Logdateien auf verdächtige Aktivitäten überwacht werden. Das Script setzt sich in den Hintergrund und forkt sich für jede konfigurierte Logdatei. Ist eine Logdatei nicht vorhanden, wird alle 30 Sekunden versucht, die Logdatei zu öffnen – zum Beispiel beim Einsatz von logrotate notwendig. Hier ein kleines Beispiel zur Konfiguration
gentoo Linux: mySQL-Datenbankserver für eine chroot-Umgebung einrichten
Ich beschreibe hier, wie ein mySQL-Datenbankserver in eine chroot-Umgebung auf gentoo Linux installiert werden kann. Ziel ist es, dass es in dieser chroot-Umgebung keine Shell oder sonst irgendwelche unnötigen Programme gibt, die zum Laufen des Datenbankservers nicht notwendig sind. Als Basisverzeichnis der neuen Umgebung wird /chroot angenommen. Als erstes muss mySQL natürlich installiert werden. Die USE-Flags sollten bereits so gesetzt sein, wie man sie braucht. emerge -q dev-db/mysql emerge –config dev-db/mysql Nach der Installation und Konfiguration des mySQL-Servers sind noch kleine Vorbereitungen zu treffen. Die Skripte mkjailenv und addjailsw werden benötigt, die im Paket app-misc/jail zu finden sind. Zudem habe
gentoo Linux: Installation auf einem Strato-Server
Es ist mal wieder soweit: ein neuer Server muss her. Da Strato bisher gute Arbeit machte, fiel die Wahl wieder auf einen Server dieses Hosters (Root Server Linux Level Medium). Leider gibt es aber bei den Vorinstallationen kein gentoo Linux zur Auswahl, weshalb ich einfach ein openSuSE 13.1 Linux vorinstallieren lies, mit dem Plan, danach wie schon die Jahre zuvor wieder Gentoo zu installieren. Das ausgewählte System hat nur eine SSD-Festplatte, weshalb kein RAID möglich ist. Die Boot-Partition auf dem SuSE-Linux ist mit 1GB recht großzügig, daher nahm ich gleich diese, um das Gentoo-Installations-Image zu entpacken. Man könnte aber auch
PHP: Klasse zur statistischen Fehlererrechnung und Prozessfähigkeitsuntersuchung
In diesem Beitrag geht es darum, aus festgestellten Messergebnissen, die zum Beispiel in einer Datenbank abgelegt sind, eine sogenannte Prozessfähigkeitsanalyse zu erstellen. Diese wird beispielsweise in der Automobilindustrie für die Qualitätssicherung gefordert und benötigt. Bekannte geforderte Werte sind der Prozessfähigkeitsindex CpK – eine Kennzahl zur statistischen Bewertung eines Prozesses – oder ebenenfalls der Six-Sigma-Wert sowie einige andere Werte. Mininum, Maximum, Durchschnitt, Median, Abstand (Range), Modus, Moment, Varianz, Standardabweichung, Standardfehler, Schiefe, Woelbung (Exzess), Variationskoeffizient, Prozessfaehigkeitsindex, Wahrscheinlichkeitsdichtefunktion, Verteilungsfunktion, PPM und Fehlerhaftigkeit können mit unten gelisteter PHP-Klasse bestimmt werden. Ausgangslage der zu berechnenden Werte zur Prozessfähigkeitsanalyse können Messdaten aus dem Messlabor sein, die
virtual framebuffer X server zur Erstellung von Webseiten-Screenshots verwenden
Ich zeige hier eine Möglichkeit, wie mit der Verwendung eines virtual framebuffer X Servers Screenshots von Webseiten erstellt werden können, ohne auf Drittanbieter wie zum Beispiel url2png.com angewiesen zu sein. Wie der Titel schon verrät ist hierbei aber die Installation von X Server Libraries notwendig. Das ist allerdings unter Umständen auf einigen Systemen nicht möglich bzw. nicht erwünscht. Das Script wurde mit bash v4.2.45 auf gentoo Linux ausgeführt. Bei diesem Betriebssystem ist es nötig, das xorg-server Paket mit dem USE-Flag „xvfb“ zu kompilieren. Außerdem werden in dem folgenden Shell-Script auch Programme aus diesen Paketen verwendet: x11-misc/xdotool, x11-apps/xwd und media-libs/netpbm. xdotool
Perl: w00tw00t-Einträge im Apache-Log automatisch für iptables-Firewallregeln verwenden
Im Apache-Errorlog finden sich bei mir immer wieder einige Einträge dieser Art: „[Wed Apr 07 23:17:01 2010] [error] [client 88.191.61.110] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:“. Diese Einträge entstehen wohl, wenn Apache von einem Tool namens `dfind‘ gescannt wird. `dfind‘ sucht nach Schwachstellen in der verwendeten Server-Software. Da solche Log-Einträge ziemlich überhand nahmen, schrieb ich ein kleines Perl-Script, dass ähnlich wie `tail‘ das Apache-Logfile beobachtet und bei einem Eintrag nach entsprechendem Muster („.*request without hostname.*w00tw00t.*“) iptables anweist, die Client-IP zu sperren – falls diese IP ohnehin nicht schon gesperrt ist. Das Script setzt sich selbst
JavaScript: „99 Bottles of Beer“ mit JavaScript-Engine SpiderMonkey
SpiderMonkey gilt als erste jemals entwickelte JavaScript-Engine (lt. Wikipedia), die aktuell von der Mozilla Foundation weiterentwickelt wird. Ursprünglich verwendete man JavaScript ausschließlich im Browser, mittlerweile findet JavaScript aber auch außerhalb davon Verwendung, so zum Beispiel auf Mikrocontrollern. Um SpiderMonkey auszuprobieren, griff ich auf einen recht beliebten Code-Fall zurück: 99 Bottles of Beer. Man kann zur Ausführung des Codes in den interaktiven Modus von SpiderMonkey wechseln: `js -i‘. Natürlich kann das Script aber auch in einer Datei gespeichert und mit `js <datei>‘ ausgeführt werden. /* * This small example was tested on gentoo Linux (current date: 2013-10-14) * with JavaScript Shell
C: Speicherallokation: malloc() vs. talloc()
Als ich vor Kurzem auf gentoo Linux ein `emerge -quDN world‘ machte, habe ich ausnahmsweise mal zugeschaut, was da gerade alles aktualisiert wird. Da fiel mir ein Paket namens `sys-libs/talloc‘ auf – und fragte mich, ob das tatsächlich etwas mit Speicherallocation zu tun haben könnte. Kurz gegoogelt bin ich auf einen Artikel von Stephen Gallagher aufmerksam geworden: Why you should use talloc for your next project. talloc ist eine Speicherimplementierung vom Samba-Projekt. talloc bietet hier die Möglichkeit, reservierten Speicher in einem zusammenhängenden Bereich zu erhalten. Welche Vorteile daraus gezogen werden können, ist an Hand dieses kleinen Beispiels ersichtlich: #include <unistd.h>
WordPress: Brute-Force-Attacken: Admin-Interface per ModRewrite-Engine verbieten
Laut diesem heise online Artikel fanden seit einigen Monaten vermehrt Brute-Force-Attacken auf WordPress-Installationen statt. Anscheinend um dadurch einen etwas größer angelegten Distributed Denial of Service-Angriff (DDoS) durchführen zu können. Da ich vor einiger Zeit leider auch feststellen musste, dass Brute-Force-Attacken auf die eigene WordPress-Installation durchgeführt wurden, entschloss ich mich, das Admin-Interface per ModRewrite-Engine zu verbieten. Im Wurzelverzeichnis der WordPress-Installation befindet sich bereits unter Umständen eine .htaccess-Datei. Wenn nicht, diese einfach anlegen. (Selbstverständlich kann auch der <VirtualHost>-Bereich in der Apache-Config direkt angepasst werden – usw.) Um den Zugriff auf das Admin-Interface zu verweigern, reichen am Anfang der .htaccess-Datei folgende Zeilen zur
C: Prozessnamen einer PID unter Linux, HP-UX, MacOS und Solaris ermitteln
In diesem Beispiel zeige ich, wie unter Linux, HP-UX, MacOS und Solaris zu einer Prozess ID der Name des Prozesses ermittelt werden kann. Wiederum die Definition der Funktionen im entsprechenden Header (processname.h): #ifndef PRJ_PROCESSNAME_H #define PRJ_PROCESSNAME_H 1 #define MAX_PROCNAME 1024 #ifdef __cplusplus extern "C" { #endif int prjProcessName(int pid, char *procname); #ifdef __cplusplus } #endif #endif /* !PRJ_PROCESSNAME */ Nach der überschaubaren Headerdatei nun der eigentliche Code in processname.c: Dabei wird an Hand einer Definition entschieden, um welches System es sich handelt. Das sollte natürlich vom configure-Script bestimmt werden, hier in diesem Beispiel aber hartcodiert. #include <stdlib.h> #include <stdio.h> #include
Perl: veraltetete Distfiles von gentoo Linux automatisiert löschen
Gentoo Linux verwendet bekanntermaßen den sogenannten Portage zur Verwaltung der Software auf dem System. Wenn mittels `emerge‘ ein Paket installiert wird, zieht der Portage die Quelldateien der Software aus dem Netz und speichert diese standardmäßig in /usr/portage/distfiles/. Je nach Konfiguration in /etc/portage/make.conf belässt der Portage die Quelldateien auf dem Dateisystem, um bei Änderungen der USE-Flags und der daraus erforderlichen Recompilierung des Pakets die Dateien nicht erneut herunterladen zu müssen. Aktualisiert man nun die Paketinformationen mit `emerge –sync‘, werden veraltete ebuilds entfernt. In diesen ebuilds (bzw. dessen Manifest-Dateien) ist hinterlegt, welches Quellpaket in welcher Version verwendet werden soll. Ist also ein
Python: kompilierte gentoo Linux Pakete automatisiert in gechrootete Verzeichnisse übertragen
Aus Sicherheitsgründen werden bestimmte Dienste wie Web-, Mail- oder FTP-Services gechrooted, um den Diensten den Zugriff außerhalb des gechrooteten Basis-Verzeichnisses zu verwehren. Sollte der Dienst einem erfolgreichen Angriff erlegen sein, befindet sich der Angreifer in einer eingeschränkten Umgebung, die nur für das erfolgreiche Laufen des Dienstes konfiguriert ist bzw. sein sollte. Dadurch kann die Sicherheit des restlichen Systems bzw. der restlichen Dienste erhöht werden. Unter gentoo Linux wird zur Packetverwaltung (der sog. Portage) das Tool `emerge‘ verwendet. Logischerweise werden von den „eingesperrten“ Diensten bestimmte Bibliotheken und auch Binaries benötigt, um überhaupt laufen zu können. Wenn mit `emerge‘ ein Software-Paket installiert
PHP: Daten von api.xing.com abrufen
Seit letztem Jahr bietet Xing eine API an, mit der man Daten zum Beispiel seines eigenen Profils abrufen kann. Hierbei verwendet Xing zur Authentifizierung das OAuth-Protokoll in Version 1. Um die API nutzen zu können wird ein Account im Xing Developer Bereich benötigt, sowie ein Consumer Key und ein Token. Der Developer-Account kann mit dem eigenen Profilaccount „freigeschalten“ werden; der Consumer Key (Test) kann über das Webinterface von dev.xing.com erstellt werden. Um daraufhin an den für den Abruf der Xing-Daten benötigten Access-Token zu kommen, empfiehlt es sich, das von Xing bereitgestellte Test-Script (in ruby geschrieben) auf https://dev.xing.com/docs/examples zu verwenden. Hier
C/C++: Zugriff mehrerer Prozesse auf Shared Memory unter Berücksichtigung des 3rd readers/writers Problems
Im folgenden Listing gehe ich auf den Zugriff auf Shared Memory ein. Dabei soll sichergestellt werden, dass zwei Prozesse, die auf den gemeinsamen Shared Memory zugreifen wollen, sich nicht gegenseitig am Zugriff hindern, die Prozesse also quasi „verhungern“. Siehe hierzu auch zum Beispiel Wikipedia bzw. etwas genauer auf rfc1149.net. Der folgende Teil bezieht sich auf die Semaphoren und den Shared Memory an für sich: Die Header-Datei shmem.h: #ifndef PRJ_SHMEM_H #define PRJ_SHMEM_H 1 #include <prjconfig.h> #define SEMKEYPATH "/opt/prj/sbin/prjd" /* Path used on ftok for semget key */ #define SEMKEYID 1209 /* Id used on ftok for semget key */ #define SHMKEYPATH
