EDV – Ende der Vernunft
Wir ertrinken in Information, aber hungern nach Wissen [John Naisbitt]Archive | Software RSS feed for this category
Vorfreude auf KDE 4.3
Mit der zweiten Beta-Version von KDE 4.3 steigt bei mir die Vorfreude. Seit Version 4.2 ist KDE 4 sehr gut benutzbar mit einer kleinen Ausnahme: Konsole hat kein vollständiges DBUS-Interface. Aber das hat mit mit der neuen Version ein Ende, denn KDE 4.3 bringt größere Veränderungen am DBUS-Interface mit.
Continue reading...Links for 2009-05-28
28 Mai 2009
- Fakenamegenerator
- Tabbed Console für Windows
- How to Convert RHEL 5 to CentOS 5
- SSHFS und globaler Namespace
- System Administrator Interview Cheat Sheet
Unerwartetes Feature
21 April 2009
Wer kennt das nicht? Mein schreibt eine Mail, verweist auf den Anhang und vergißt beim Versenden natürlich den Anhang. KDE Kmail hat mich heute mit einem Feature überrascht, welches ich trotz jahrelanger Nutzung noch nicht kannte:
Gut zu Wissen, das es soetwas gibt.
Continue reading...ifolder wiederbelebt
7 April 2009
Novell hat tatsächlich Wort gehalten und ifolder in Version 3.7.2 freigegeben. Vorher gab es lange Zeit nur die Version 3.6 zum freien Download. Die OpenSUSE-Community ist jedenfalls schon recht rührig was Pakete angeht, vielleicht sehen wir dann auch bald welche für Ubuntu und CentOS.
Continue reading...Links for 2009-04-05
5 April 2009
- ManiaDrive – TrackMania-Clone für Linux
- Admin Aprilscherz – Bei HP-Druckern via HPPJL die “Ready” Meldung abaendern
- Enable Multitouch(two-fingers) on Synaptics trackpad on Linux
- bash kick – A quick way to get rid of unwanted users from the system
Links for 2009-03-14
14 März 2009
- NFS Tuning Tips via Adminlife
- SMP Performance Improvements für MySQL von Google
- PacketBL uses DNS blocklists to determine whether to accept or reject packets
- Transactions and Rollback with RPM
Links for 2009-03-01
1 März 2009
- Monitoring file activity on Linux hosts
- PulsarOS is a Opensolaris based NAS/Homeserver distribution
- Howto install GlusterFS on Centos
System-Management Software für Linux
2 Januar 2009
Ich denke es gibt viele Definitionen dafür, was System-Management ausmacht. Daher existiert in diesen Bereich auch Software mit sehr unterschiedlichen Funktionen und Funktionsumfang. Um keine Mißverständnisse aufkommen zu lassen, handelt es sich bei der folgenden Liste um Software, die automatisiert Befehle auf einer beliebigen Anzahl an Servern auszuführen kann und unter einer OSS-Lizenz steht.
Die allermeisten Tools benutzen ssh, da es hier einfach ist eine Anmeldung ohne Prompt und Passwort hinzubekommen und da es von Hause aus schon die Möglichkeit mitbringt Befehle auf anderen Systemen auszuführen. Viele Tools erweitern ebenso scp. Hier eine Auswahl:
- Dancers Shell
- Parallel Distributed Shell
- Parallel ssh, scp, rsync, slurp, nuke
- PuSSH is Pythonic, Ubiquitous SSH
- Tentakel
- psh
Folgende beiden Tools bieten erweiterte Funtkionalitäten:
- PIKT – Arbeitet über RPC und bietet zusätzlich Monitoring sowie eine eigene Script-Sprache
- CTL – Zusätzlich Web-Interface mit ACLs und ‘Zuguck’-Modus
Im zweiten Teil geht es dann um Configuration-Management.
Continue reading...Sicheres SSH
28 Dezember 2008
Die Secure Shell (SSH) ist heute das Maß der Dinge wenn es um einen sicheren Zugriff auf Server geht. Nichts ist allerdings so gut, das man es nicht noch ein bischen verbessern könnte. Besonders wenn man etwas mehr Kontrolle über die Dinge haben möchte, muss man ein wenig Hand anzulegen.
Kontrolle sichern
Zuallererst gilt es dem Benutzer die Kontrolle über das authorized_keys-File zu entziehen, denn die später beschriebenen Maßnahmen haben keinen Sinn, wenn der Benutzer sie einfach umgehen kann. Denn normalerweise liegt diese Datei im Home-Verzeichnis des Benutzer und er könnte sie einfach löschen und neu erstellen. Genau an dieser Stelle wird angesetzt, indem man auf den betroffenen Systeme die /etc/ssh/sshd_config ändert:
AuthorizedKeysFile /etc/ssh/authorized_keys/%u
Durch diese Änderung liegen die Key-Files in /etc/ssh/authorized_keys/ und tragen den Namen des Benutzers. Durch entsprechende Dateiberechtigungen können Änderungen nur noch durch Root vorgenommen werden:
# ls -l insgesamt 16 -rw-r----- 1 root joern 397 25. Dez 23:13 joern -rw------- 1 root root 396 25. Dez 16:53 root
Zugriff absichern
Nun können Restriktionen für die SSH-Session im Key-File hinterlegt werden:
from="*.aumund.org",no-port-forwarding,no-X11-forwarding,no-pty ssh-rsa AAAAB3NzaC1yc2[..]EyqAw== joern@cm-master
Dieser Benutzer darf sich also nur von Hosts der aumund.org Domäne einloggen, es gibt kein Port- und X11-Forwarding und auch keine interactive Shell. Alle Optionen finden sich in der Man-Page (man sshd im Abschnitt AUTHORIZED_KEYS FILE FORMAT)
Sicheres Automatisieren
Mit SSH lassen sich wunderbar einfach Aufgaben automatisieren. Normalerweise nimmt man dazu einen Key ohne Passphrase. Wem das nicht reicht steht vor einem Problem: Der ssh-agent funktioniert nur solange man angemeldet ist. Hier hilft KeyChain aus, denn es setzt einen SSH-Agenten pro Benutzer und nicht einen pro Session.
Die Benutzung ist sehr einfach. Nach der Installation erweitert man die .bash_profile des betroffenen Benutzers:
/usr/bin/keychain ~/.ssh/id_rsa ~/.ssh/id_dsa
source ~/.keychain/${HOSTNAME}-sh > /dev/null
Beim nächsten Anmelden wird dann die Benutzer-Session aufgesetzt
KeyChain 2.6.8; http://www.gentoo.org/proj/en/keychain/ Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL * Initializing /home/joern/.keychain/cm-master-sh file... * Initializing /home/joern/.keychain/cm-master-csh file... * Initializing /home/joern/.keychain/cm-master-fish file... * Starting ssh-agent * Warning: can't find /home/joern/.ssh/id_dsa; skipping * Adding 1 ssh key(s)... Enter passphrase for /home/joern/.ssh/id_rsa: Identity added: /home/joern/.ssh/id_rsa (/home/joern/.ssh/id_rsa)
und steht nun bis zum nächsten Reboot(!) zur Verfügung. An der Sache mit dem Reboot sollte man immer denken, wenn man Aufgaben automatisiert hat, ansonsten kann es zu ernsten Problemen kommen.
Referenzen:
Playing with OpenSSH public keys
Secure, Automated, Key based SSH
Subscribe to EDV – Ende der Vernunft:
Grab the RSS feed for Free Updates!
(What's this? — Learn more about RSS)
- Es sind die einfachen Dinge
- Was man bei der Serverüberwachung beachten sollte
- Links for 2009-07-09
- Deduplizierung
- Danke Herr Beckmeyer
- Killer Tux
- Ldap oder Datenbank – Teil 2
- Zum Abschied einen Gruss
- Bewiesen
- Ldap oder Datenbank
- RS232 - Einfach und doch so teuer
- Tassenparade
- Eine Pest namens NetworkManager
- Dontzap
- Unerwartetes Feature
- Linux oder Solaris?
- Killer Tux
- Zwei Wochen mit dem G1 Handy
- Finde den Fehler
- IPv45
- Robert Poehler: Verschiedene Dienste im Internet bieten die Serverüberwachung mittlerweile automatisiert an und versenden eMails oder SMS. Das ist für einen bis fünf ...
- kero: @Joern Schon klar, ich wollte es halt mal erwaehnt haben. In der Regel wird das naemlich gern vergessen....
- Bernd Eckenfels: Beim Was ist es besonders wichtig neben den offensichtlichen Indikatoren für funktionierende Verarbeitung auch die Früherkennung nicht zu vergessen. U...
- Joern: @goto Ich kenne mich mit Nagios nicht aus @kero Notfall...
- kero: @kero ach damn man moege den zweiten Teilsatz streichen....
- kero: Was tun wenn critical? Wie filtere ich reine Infos von Ein Punkt sollten die Notfallmassnahmen sein. Was bringt das schoenste critical wenn die Urla...
Search the Site:
Copyright © 2010 EDV – Ende der Vernunft. Get your own free Thrilling Theme!
Proudly powered by WordPress 
11 Juni 2009
2 Comments