Archiv der Kategorie: Linux

Es ist OpenSource, es ist anpassbar, es ist zerstörbar und das Beste daran, du darfst es alles machen ;)

Debian OpenSSL Debakel zusammengefasst und trotzdem gelobt!

Linux, Sicherheit

Nein, ich möchte nicht lästern und mich über Debian beschweren. Ich möchte Debian und den Entwicklern für die offenen Kommunikation danken. Natürlich trug auch dieser Fehler nicht wenig Arbeit mit sich, aber besser offen diskutiert und alle gewarnt, als den Fehler unter dem Teppich zu verstecken.

Aus diesem und anderen Gründen werde ich Debian weiter nutzen, unterstützen und fördern. Das gillt generell für Linux und offene Projekte, den nur so haben wir eine Wahl in unseren Entscheidungen und müssen uns nicht von einer einzelnen Firmen diktieren und kontrollieren lassen. Dabei meine ich nicht direkt Microsoft, sondern alle Firmen die Druck auf die Kunden ausüben, weil die Kunden keine andere Wahl haben.

Allerdings sind auch die Nutzer oft dran Schuld, weil sie alles aussitzen und sich nicht um Alternativen kümmern.

Quellen und weitere Hinweise:

  • http://www.heise.de/newsticker/Schwache-Krypto-Schluessel-unter-Debian-Ubuntu-und-Co–/meldung/107808
  • http://www.heise.de/security/Der-kleine-OpenSSL-Wegweiser–/artikel/108001/0
  • http://www.securityfocus.com/archive/1/492112/30/0/threaded
  • http://metasploit.com/users/hdm/tools/debian-openssl/
  • http://www.de.debian.org/security/2008/dsa-1576
  • http://www.heise.de/newsticker/Konsequenzen-des-OpenSSL-Debakels–/meldung/107921

exim4 – Mailqueue leeren / clear mail queue

FreeBSD/NetBSD/OpenBSD, Linux, OpenSource Software

Manchmal bleiben in exim4 ein paar E-Mails hängen, die man zum Test verschickt hat. Das ist besonders nervig, wenn sie falsch sind, nicht raus gehen oder im Moment einfach nicht verschickt werden können, weil ein anderes Problem besteht.

Achtung: Die Befehle leeren die E-Mail Queue ohne ein Rücksicht auf den Inhalt zu nehmen!

Die erste Lösung besteht in dem Ausführen des folgenden Befehls:

[code]
exim -qff
[/code]

oder das Gleiche mit Debug Ausgaben

[code]
exim -qff -d
[/code]

Anmerkung: Bei älteren Versionen von exim musste noch hinter dem „-d“ ein Debug Level „-d9“ angegeben werden.

Sind die E-Mails „frozen“ oder in der „retry queue“, so hilft nur noch dieser Befehl:
[code]
exim4 -Mrm `ls /var/spool/exim4/input/ | grep — -H$ | cut -c 1-16`
[/code]

Möge der Mailserver mit dir sein! 😉

Debian Paketkonfiguration des Systems mit dpkg sichern

Linux, OpenSource Software

Ab und zu, muss man ein identisches System z.B. für Testzwecke installieren. Dabei stellt sich das Problem ein, dass viele Pakete auf dem System installiert sind und man sie auf dem neuen System identisch haben will, ohne ein Image zu verwenden oder das laufende System irgendwie bei der Arbeit zu stören. Hier hilft dpkg mit einem Befehl.

Paketkonfiguration in eine Datei sichern:
[code]
dpkg –get-selections > package.list
[/code]
Packetkonfiguration in das System laden und mit dem zweiten Befehl die Änderungen durchführen:
[code]
dpkg –set-selections < package.list apt-get dselect-upgrade [/code] So - diese Weisheit habe ich jetzt auch hier und nicht nur in meinen Textdateien notiert!

HOWTO: Vmware Player/Workstation auf einem Debian Lenny/SID (testing/unstable) System installieren

Linux

Da Vmware wegen Kernelaktualisierungen sich nicht mehr so leicht auf aktuellen Kerneln > 2.6.20 installieren lässt oder Probleme enstehen. Diese Anleitung gilt als Hilfestellung, um dieses Problem zu lösen.

Folgende Punkte bereiten Probleme:

  • aktuelle (Debian) Kernel haben im Gegensatz zu alten Kerneln viele tolle neue Sachen, Treiber und vor allem Änderungen. Da kommen Vmware Versionen nicht bei und das ist auch nicht Sinn der Sache. Aus diesem Grund enstanden die vmware-any-any patches, die dieses und andere Probleme versuchen zu lösen.
  • Wird ein original Debian Kernel auf dem Linux System benutzt, so entstehen weitere Probleme. Die Kernel enthalten Änderungen zu dem generischen Linux Kernel, die meistens nicht gravierend sind (bei Suse kommt es schon öfters vor), aber trotzdem Abweichungen bedeuten, die den Entwicklern von externen Modulen Probleme bereiten. Kommt bei vmware sehr selten vor, aber lieber warne ich mal davor.
  • Bei so genannten „testing“ und „unstable“ Installationen befindet sich oft ein aktuellerer Compiler, als der für den Kernel verwendete Compiler. Soche Module nimmt der Kernel nur selten (wenn überhaupt) an. Aus diesem Grund muss die selber Compilerversion auf dem System existieren, mit der der Kernel erstellt wurde.
  • Mit neuem Kernel ist der Benutzer oft gezwungen eine aktuelle Vmware Version zu verwenden, da die alte Version zum Kernel oder Bibliotheken passt. Dieses Problem besteht aber bei fast jeder Software! Dieses Problem ist nur mit standardisierten Schnittestellen zu lösen, die sich nicht oft ändern dürfen.

Jetzt gehen wir mal an die Lösung der Probleme. Folgende Sachen werden benötigt:

  1. Eine aktuelle Vmware Version
  2. Den aktuellen Vmware-any-any Patch
  3. Die Version mit der der Kernel compiliert wurde, muss bekannt sein
  4. Für vmware wird der Compiler gcc (für Kernelmodule) und g++ für weitere Teile benötigt.
  5. Passende Linux-headers zu dem Kernel

Im ersten Schritt wird eine einzige Shell benötigt, die für die vollständige Installation von Vmware verwendet werden soll.

Im ersten Schritt muss die Kernel Version gefunden werden, mit der der Kernel installiert wurde. Diese erfolgt z.B. mit dem Befehl: dmesg

Gan am Anfang wird eine Zeile wie diese stehen:
Linux version 2.6.24-1-686 (Debian 2.6.24-4) (waldi@debian.org) (gcc version 4.1.3 20080114 (prerelease) (Debian 4.1.2-19))

Daraus ist zu erkennen, dass der Kernel mit der Version 4.1.3 für das Erstellen des Kernels verwendet wurde.

Auf einem im Moment aktuellen Version wird aber schon eine höhere Kernel Version verwendet. So könnte die Ausgabe aussehen:

$ gcc --version
gcc (GCC) 4.2.3 (Debian 4.2.3-1)

Das bedeutet für die Installation muss der ältere gcc-4.1 Compiler verwendet werden. Die Umschaltung erfolgt über den folgenden Befehl:
export CC=gcc-4.1
Allerdings gilt es nur für die gewählte Shell (deswegen die Beschränkung auf eine Shell).

Im nächsten Schritt soll auch die g++-Version festgelegt werden. Dies erfolgt über die Variable CXX mit dem Befehl
export CXX=g++-4.1

Info am Rande: Natürlich müssen die gewählten Compiler Versionen auch auf demSystem installiert sein.

Nachdem die Einstellungen erfolgt sind, kann jetzt vmware in der Grundversion installiert werden. Die vmware-any-any Patches müssen nach der Installation durchgeführt werden. Diese Prozedur erfolgt meistens ohne Probleme. Allerdings sollte von der Konfiguration abgesehen werden, da sie höchst wahrscheinlich nicht funktionieren wird (kernel 2.6.22-2.6.24 ist es definitiv der Fall für Vmware 6.X Workstation).

Für einen aktuellen Kernel (2.6.24) müssen zusätzlich die vmware-any-any patches gepatcht werden (was für eine Freude 🙂 ). Im ersten Schritt sollte das Tar Archiv in dem vmware-any-any-update115 mit dem Namen vmmon.tar entpackt werden:

tar xf vmmon.tar

Jetzt müssen zwei Dateien gepatcht werden, bevor das ganze wieder zu einem Paket gepackt wird.

Folgende Zeilen müssen geändert werden:

In der Datei vmmon-only/include/iocontrols_compat.h muss die folgende Zeile von:
#define VMMON_VERSION_V6 (161 << 16 | 0)
nach
#define VMMON_VERSION_V6 (167 << 16 | 0)
verändert werden.

In der Datei vmmon-only/include/iocontrols.h muss die folgende Zeile von:
#define VMMON_VERSION (161 << 16 | 0)
nach
#define VMMON_VERSION (167 << 16 | 0)
verändert werden.

In der Datei vmmon-only/include/vcpuset.h muss die folgende Zeile von:
#include "asm/bitops.h"
nach
#include "linux/bitops.h"
verändert werden.

Anschließend muss natürlich der Ordner „vmmon“ mit dem folgenden Befehl „tar cvvf vmmon.tar vmmon-only/“ wieder in tar-Archiv verwandelt werden, da sonst das Skript „runme.pl“ nicht angewendet werden kann. (Diesen Schritte habe ich vegessen zu erwähnen. Danke an „Wolf“ für die Korrektur. Ich nehme Verbesserungsvorschläge gern entgegen.)

Jetzt kann hoffentlich über „runme.pl“ Vmware mit den vmware-any-any patches installiert und zum „laufen“ gebracht werden.

Folgende Ausgabe erscheint, wenn die vmware-any-any patches für den Kernel 2.6.24 oder höher nicht korrigiert sind:

Unknown VMware Workstation 6.0.2 build 59824 detected. Building for Workstation 6.0.0. Using 2.6.x kernel build system. make: Entering directory \`/tmp/vmware-config2/vmmon-only\' make -C /lib/modules/2.6.24-1-686/build/include/.. SUBDIRS=$PWD SRCROOT=\$PWD/. modules make[1]: Entering directory \`/usr/src/linux-headers-2.6.24-1-686\' CC [M] /tmp/vmware-config2/vmmon-only/linux/driver.o CC [M] /tmp/vmware-config2/vmmon-only/linux/driverLog.o CC [M] /tmp/vmware-config2/vmmon-only/linux/hostif.o CC [M] /tmp/vmware-config2/vmmon-only/common/comport.o CC [M] /tmp/vmware-config2/vmmon-only/common/cpuid.o In file included from include/asm/bitops.h:2, from /tmp/vmware-config2/vmmon-only/./include/vcpuset.h:74, from /tmp/vmware-config2/vmmon-only/./include/modulecall.h:23, from /tmp/vmware-config2/vmmon-only/common/vmx86.h:19, from /tmp/vmware-config2/vmmon-only/common/hostif.h:18, from /tmp/vmware-config2/vmmon-only/common/cpuid.c:15: include/asm/bitops_32.h:9:2: error: #error only
can be included directly make[2]: *** [/tmp/vmware-config2/vmmon-only/common/cpuid.o] Error 1 make[1]: *** [_module_/tmp/vmware-config2/vmmon-only] Error 2 make[1]: Leaving directory \`/usr/src/linux-headers-linux2.6.24-1-686
\' make: *** [vmmon.ko] Error 2 make: Leaving directory \`/tmp/vmware-config2/vmmon-only\' Unable to build the vmmon module. For more information on how to troubleshoot module-related problems, please visit our Web site at "http://www.vmware.com/download/modules/modules.html" and "http://www.vmware.com/support/reference/linux/prebuilt_modules_linux.html". Execution aborted.Folgender Fehler deutet darauf hin, dass g++ nicht in der richtigen Version installiert oder gesetzt ist:gcc: error trying to exec 'cc1plus': execvp: No such file or directory
error: command 'gcc' failed with exit status 1

Das war nicht gerade kurz und vor allem einfach, aber mit dieser Unterstützung und ein paar Quellen und weiteren Informationen sollte es funktionieren:

PS: Linux ist nicht so kompliziert, wie es hier raus kommt. Es gibt so Leute (wie ich), die sich das Leben künstlich schwer machen.

[Skype Beta für Linux]Wenn Beta ein muss ist!

Allgemeines, Linux

Skype ist ein super Programm, mit dem man Chatten, Telefonieren und Video Telefonie machen kann. Aber das wichtigeste an Skype ist, dass es mit wenig Bandbreite gute Leistungen erbringet

Die Windows-Version von Skype bietet schon seit langem die Möglichkeit Video Telefonie zu führen und die Beta von Skype für Linux erlaubt es mittlerweile auch. Also wird „Beta“ ein muss.

Eine kleine Anmerkung am Rande – über Fring kann man sogar über das Handy chatten und telefonieren.

Nun reicht es aber mit Werbung und weiter geht es 😉

Hier runterladen:

Debian GNU/Linux 4.0r2 (Etch) Update

Linux, Sicherheit

Heute ist eine Aktualisierung (Release 2) der aktuellen Debian Version 4.0 (Etsch) erschienen. Die Aktualisierung enthält alle bis Heute erschienen Sicherheitsaktualisierungen, so wie Fehlerkorrekturen von fehlerhaften Paketen.

Zu den Aktualisierungen von fehlerhaften Programmen gehören unter anderem: apache2* und libc6*

Zum Aktualisieren der 4.0er Version reichen die folgenden Befehle:

aptitude update
aptitude dist-upgrade

Das Update sollte ohne Schwierigkeiten verlaufen und nur sicherheitsupdates sowie Fehlerkorrekturen durchführen. Im Normalfall sollten keine Konfigurationsdateien verändert werden oder Änderungen am System nötig sein.

So jetzt weiter schaffen und immer wieder mal „aptitude update && aptitude upgrade“ für Sicherheitsaktualisierungen ausführen.

Java Plugin unter Debian (Linux) / Ubuntu in Firefox und Iceweasel aktivieren

Linux, OpenSource Software

Wenn Java unter Debian Linux in Firefox / Iceweasel nicht funktionieren will, dann liegt es meistens an dem fehlenden Java-Plugin. In vielen Anleitungen steht, dass man die libjavaplugin_oji.so Datei in dem Firefox Plugins-Verzeichnis richtig verlinken muss, doch scheint es nicht zu reichen. Zusätzlich muss das Paket sun-java5-plugin oder sun-java6-plugin abhängig von der gewünschten Java Version installieren.

Für Ubuntu und Debian sieht die Prozedur so aus:
aptitude install sun-java6-plugin # oder, falls nicht existiert
aptitude install sun-java5-plugin # für ältere Versionen

Happy Java using.

IPv6 unter Linux (Debian, Ubuntu, Gentoo, Redhat, …) deaktivieren

Linux, Netzwerke(LAN und WLAN), OpenSource Software

IPv6 ist zwar eine tolle Technik, doch wird sie 2007 in kaum einem Netzwerk eingesetzt. Bei falscher Konfiguration führt sie sogar zu Störungen im Netzwerkbetrieb und insbesondere bei DNS-Anfragen. Allerdings sollte man die Nutzung von IPv6 nur bei Problemen im Betrieb abschalten. Ich empfehle die Abschaltung bei Servern, die keinen IPv6 benötigen, da durch falsche Firewall-Konfigurationen oder Routen Sicherheitslücken auftreten können. Bei Clients und mobilen Rechnern würde ich es eher anlassen, um die Vorteile bei Bedarf zu nutzen und die Verbreitung zu unterstützen. Das gilt natürlich nicht für sicherheitskritische Systeme.

Windows Nutzer brauchen sich darum keine Gedanken zu machen, da bis WindowsXP IPv6 standardmäßig deaktiviert ist.

Linux wird schon seit Längerem mit aktivem IPv6 ausliefern. Ich möchte mit dieser Anleitung keinen beschuldigen, sondern einfach dem Nutzer beschreiben, wie man IPv6 bei Bedarf deaktiviert. Nach den Änderungen sollte man den Rechner neu starten, um die Änderungen am einfachsten zu übernehmen. Private Benutzer können Teredo installieren und die IPv6 Benutzung im Internet fördern und damit dem ganzen Internet helfen.

Update am 28.08.2010: Ab Linux Kernel 2.6.28 ist IPv6 fester Bestandteil des Standard Kernels. Das hier vorgestellte Blacklisting der Kernel-Module wird aus diesem Grund bei aktuellen Distributionen und Linux Kernel Versionen nicht mehr funktionieren. Aus diesem Grund sollte nach der Konfiguration gerpüft werden, ob IPv6 auch wirklich deaktiviert ist.

Update am 02.02.2010: Ich empfehle jedem IPv6 nach Möglichkeit über Teredo oder andere Dienste zu nutzen. Das Internet braucht mit jedem Tag dringender die Erweiterungen von IPv6 und jeder Nutzer von IPv6 hilft beim testen der vorhandenen Infrastrukturen und der schnelleren Einführung dieser sehr wichtigen Technik.

Gentoo Linux mit Kernel 2.6.X:

In der Datei /etc/modules.d/aliases die Zeile:
alias net-pf-10 ipv6

in:
alias net-pf-10 off
alias ipv6 off

ändern und den Rechner neustarten.

Debian/Ubuntu Linux (Kernel 2.6.X):

Das entsprechende Modul auf die Blacklist setzen. Dafür editiert man die Datei /etc/modprobe.d/blacklist und fügt am Ende der Datei den folgenden Eintrag ein:
blacklist ipv6

und den Rechner neustarten.

Debian Linux (Kernel 2.4.X):

Die daite /etc/moduitils editieren und den folgenden Eintrag:
alias net-pf-10 ipv6

ändern zu:
alias net-pf-10 off
alias ipv6 off

und den Rechner neustarten.

RedHat Enterprise Linux / CentOS / Fedora Core:

In der Datei /etc/modprobe.conf die Zeile:
alias net-pf-10 ipv6

in:
alias net-pf-10 off
alias ipv6 off

ändern und den Rechner neustarten.

RedHat Enterprise Linux / CentOS / Fedora Core / Mandriva:

In die Datei /etc/sysconfig/network den folgenden Eintrag hinzufügen/ändern in:

NETWORKING_IPV6=“no“

und den Rechner neustarten.

Suse Linux 9.0:

In der Datei /etc/modules.conf die Zeile:
alias net-pf-10 ipv6

in:
alias net-pf-10 off
alias ipv6 off

ändern und den Rechner neustarten.

Ab Suse 9.1 und bei Slackware:

In der Datei /etc/modprobe.conf die Zeile:
alias net-pf-10 ipv6

in:
alias net-pf-10 off
alias ipv6 off

ändern und den Rechner neu starten.

Weitere Hinweise:

  • Wenn die Distribution die /etc/modprobe.conf Datei benutzt, dann bitte aufpassen, dass man nicht von den Dateien in /etc/modprobe.d/* oder von der Datei: /etc/modprobe.conf.local überschriebeben wird.
  • Die IPv6 Tunnel werden auch nicht benötigt und können in der /etc/modprobe.conf durch den Eintrag: „install sit0 /bin/true“ deaktiviert werden.
  • Firefox benötigt ebenfalls eine IPv6 Deaktivierung von DNS-Abfragen. Dies erfolgt durch das ändern der Konfiguration über die „about:config“. Dafür gibt man in die Adressleiste „about:config“ ein und filter nach „ipv6“. Dort ändert man den Eintrag: network.dns.disableIPv6 zu true und stoppt damit DNS-Anfragen zu IPv6.

Ich möchte mich jetzt nicht über die Vielfalt der Einstellungen der Linuxdistributionen auslassen und wer es nun richtig macht. Allerdings ist es vielleicht die Vielfalt, die Linux so berühmt und  so erfolgreich gemacht hat.

IPv6 ist die Zukunft – hoffentlich nicht mehr lange. Wir brauchen alle IPv6, wenn es uns auch nicht bewusst ist.

Quellen:

Juxlala – damit auch die Kinder ab 3 mit Linux groß werden!

Linux, OpenSource Software

Damit auch kleine Kinder in der richtigen Umgebung aufwachsen, gibt es jetzt Juxlala – das Linux für die kleinen. Es ist garantiert frei von fliegenden Windows und mit ganz vielen Pinguinen(Tux) versehen. Die auf Knoppix basierte Linuxversion bietet einen tollen Spielplatz für die Kleinen unter uns.

Warum juckt es mich nur so es anzuschauen – vielleicht das Alter. 😉

Wer also Kinder mit dem PC schon so früh beschäftigen will, dann einfach mal runterladen, brennen, einlegen und von der CD starten. Allerdings sollte man dem Kind spätestens im Zoo beibringen, dass es ein Pinguin und nicht Tux ist!

Weitere Informationen