1. Logfile Analyse

SSH logged alle fehlgeschlagenen Login Versuche in eine Logdatei. Diese wird nach und untersucht und sollte eine bestimmte Anzahl ungültiger Logins durch die selbe IP gezählt worden sein, wird diese IP Adresse gesperrt.

Das bekannteste Tool für diese Aufgabe heißt Fail2Ban. Der Vorteil liegt darin, dass es zuverlässig funktioniert und auch für FTP, POP3, IMAP usw. verwendet werden kann.

2. Security through obscurity

Gewöhnlich werden Bruteforce Attacken von Zombi Servern im Internet ausgeführt. Die Bots scannen nach Port 22 und versuchen anschließend ihr Glück Username und Passwort zu erraten.

Um so schnell wie möglich, möglichst viele Server zu finden, gibt es kaum Bots die einen Rechner auf mehr als Port 22 testen. Daher ist es möglich den Rechner per Verlegen des SSH Ports vor diesen Bots zu bewahren. Natürlich besteht hierfür keinerlei Garantie und die Methodik Security through obscurity ist nicht als alleiniges Mittel anzusehen. Hierzu gibt es einen guten Wikipedia Eintrag.

3. Verzicht auf Passwort Authentifizierung

Es ist ohne Probleme möglich einen SSH Server zu konfigurieren, dass dieser zu einem erfolgreichem Login nur das Publiykey Verfahren zu lässt. Aufgrund der Tatsache dass dieses Verfahren als sehr sicher gilt, ist es die Beste Möglichkeit den SSH Server vor ungewünschten Logins zu schützen.

Heute möchte ich ein Tool vorstellen, dass nicht nur überwacht, sondern aktiv in das Geschehen eingreift.

Monit bietet verschiedene Kernfunktionen an: Überwachung von Ports, von Diensten, von Prozessen. Sowie Aktives Restarten dieser Dienste nach vorgegebenen Kriterien und Benachrichtigung via E-Mail.

Wer mehr wissen will besucht am Besten die offizielle Webseite.

Ich empfehle dringend das Tool selbst zu kompilieren, da die in Debian bereit gestellte Version buggy ist.

Installation von benötigen Libs und Paketen:

apt-get install gcc make libc6-dev flex libssl-dev openssl byacc btyacc bison

Installation von Monit:

cd /usr/src
wget http://www.tildeslash.com/monit/dist/monit-4.10.1.tar.gz
tar xvfz monit-4.10.1.tar.gz
cd monit-4.10.1
./configure
make
make install
mkdir -p /var/lib/monit/monit.state

Nun fehlt nur noch eine Konfigurationsdatei um Monit zu sagen, was es tun soll.
Als Randbemerkung sei angemerkt dass die E-Mail Benachrichtigung nur funktioniert, wenn ein Mailserver plus das Paket mailx installiert ist.

Erstellen der Konfiguration:

nano /etc/monit/monitrc
# dort können alle auf der Webseiten von monit gennanten Funktionen eingetragen werden
# Als kleines Beispiel dient folgende Konfiguration:
 
## E-Mail Formatierung
set mail-format {
   from: monit@meinem-server.de
   subject: $SERVICE $EVENT at $DATE
   message: Monit $ACTION $SERVICE at $DATE on $HOST: $DESCRIPTION.
 }
 
## Einstellen der E-Mail Adresse für Alarme. Die "but not on { changed }" Section bedeutet
## dass bei einem Neustart des Dienstes (Verändertes Pid-File) keine E-Mail versendet wird
set alert alarm-postfach@meine-domain.de but not on { changed }
 
## Überwachung des MySQL Daemons
 check process mysql with pidfile /var/run/mysqld/mysqld.pid
   group mysql
   start program = "/etc/init.d/mysql start"
   stop program = "/etc/init.d/mysql stop"
   if failed host 127.0.0.1 port 3306 protocol mysql then restart
   if 5 restarts within 5 cycles then timeout

Anschließend kann Monit gestartet werden (Hier wird alle 180Sekunden geprüft):

/usr/local/bin/monit -d 180 -c /etc/monit/monitrc -s /var/lib/monit/monit.state

Wer möchte kann dies natürlich auch in einem init-Script erledigen.

Dies ist natürlich nur eine minimal Überwachung, es finden sich jedoch unter http://www.tildeslash.com/monit/doc/examples.php sehr gute Beispiele, die es einem ermöglichen nahezu alles zu überwachen.

mysql-5.0.51a-linux-i686-icc-glibc23.tar.gz ist installiert nach /usr/local/mysql. MySQL läuft.

Nun wurde PHP gegen die Files unter /usr/local/mysql/include kompiliert. Die configure Zeilen sahen so aus:

'--with-mysql=/usr/local/mysql' \
'--with-pdo_mysql=/usr/local/mysql' \

Nachdem ich fertig war spuckte sowohl der Apache als auch “make test” Fehler aus:

Beim Starten von Apache:

Syntax error on line 417 of /usr/local/apache/conf/httpd.conf: Cannot load /usr/local/apache/modules/libphp5.so into server: /usr/local/apache/modules/libphp5.so: symbol floor, version libmysqlclient_15 not defined in file libmysqlclient.so.15 with link time reference

Bei “make test”:

/usr/src/php-5.2.6/sapi/cli/php: relocation error: /usr/src/php-5.2.6/sapi/cli/php: symbol isinf, version libmysqlclient_15 not defined in file libmysqlclient.so.15 with link time reference

Als Workaround habe ich libmysqlclient15-dev installiert und gegen die Debian Libs kompiliert:

'--with-mysql=/usr' \
'--with-pdo_mysql=/usr' \

Resultat: Keine Fehler mehr

Wer weiß woher der Fehler kommt, darf sich gerne melden. Auf jedenfall war das eine Version früher (sowohl MySQL als auch PHP) nicht der Fall.

1. Anpassen der Zeitzone

echo "Europe/Berlin" > /etc/timezone
dpkg-reconfigure tzdata

Dies konfiguriert als Zeitzone die Deutsche Zeit. Um nun noch automatisch eine aktuelle Uhrzeit einzustellen, benutzt man das Network Time Protocol (NTP).

2. Synchronisieren der lokalen Uhrzeit mit NTP Servern von Unis

apt-get install ntpdate
/usr/sbin/ntpdate 134.169.10.20 134.169.9.108 134.169.1.138

Crontabs eintragen:

crontab -e
# Dort folgende beiden Zeilen nachtragen
# Uhrzeit bei Reboot stellen
@reboot /usr/sbin/ntpdate 134.169.10.20 134.169.9.108 134.169.1.138
# Uhrzeit jeden Tag um 0 Uhr stellen
0 0 * * * /usr/sbin/ntpdate 134.169.10.20 134.169.9.108 134.169.1.138

3. Abgleichen der Hardwareuhr mit der aktuellen Systemzeit

/sbin/hwclock --systohc

Mehr gibt es eigentlich zum Thema Uhrzeit unter Linux nicht zu sagen ;)

1. Falls das aktuelle Passwort bekannt ist

Mittels mysqladmin:

mysqladmin -u root password
>>"mein_passwort"

Mittels MySQL-Client:

mysql –u root
>>UPDATE user SET Password=PASSWORD('mein_pwd') WHERE user='root';
>>flush privileges;

2. Wenn das aktuelle root Passwort nicht bekannt ist

MySQLD muss mit –skip-grant-tables gestarten werden.

Meisten ist das Command hierfür:

/usr/bin/mysqld_safe --skip-grant-tables &

Danach Passwort ändern mit:

>mysql -u root
>>UPDATE mysql.user SET Password=PASSWORD('IhrNeuesPasswort') WHERE User='root';
>>FLUSH PRIVILEGES;

Nach langer Fehlersuche wurden sämtliche Gründe ausgeschlossen und es kam nur noch die I/O Performance in Frage, obwohl der Wert WA (Wait) gering war.

Vor Ort am Rechner habe ich zunächst auch nichts auffälliges bemerkt und habe mich dann dazu entschlossen den Rechner auseinander zu bauen. Beim anfassen der Festplatten fiel mir auf, dass diese aufgrund der übereinander liegenden Anordnung sehr heiß geworden sind. Geschätzte 70C.

Nach dieser Berührung war für mich der Fehler gefunden und ich habe nach der Abkühlungspause die Anordnung der Festplatten verändert. Nach erneutem Systemstart lief das System wieder normal und der Load war verschwunden :)

Persönliche Notiz: Vor kaputt kommt langsam

Die Installation des DNS-Cache Servers gestaltet sich unter Debian Etch wiefolgt:

/etc/apt/sources.list checken ob “contrib” mit aufgenommen ist. Beispiel:

deb http://ftp2.de.debian.org/debian/ etch main contrib
deb-src http://ftp2.de.debian.org/debian/ etch main contrib
 
deb http://security.debian.org/ etch/updates main contrib
deb-src http://security.debian.org/ etch/updates main contrib

Installation des Debian-Installerpaketes:

apt-get update
apt-get install djbdns-installer

Daemontools und djbdns compilieren mit dem Debian Installer:
(/tmp muss exec sein):

build-daemontools # djb auswählen, ansonsten ist der Rest dieses Dokument ungültig
get-djbdns
build-djbdns

Anlegen von Gruppen und USern für den DNS Server oder Cache:

groupadd Gdnslog
useradd -d /etc/dnscache -g Gdnslog -r -s /bin/bash Gdnscache
useradd -d /etc/dnscache -g Gdnslog -r -s /bin/bash Gdnslog

Anlegen der Konfiguration:

dnscache-conf Gdnscache Gdnslog /etc/dnscache

Konfiguration des dnscache Servers:

nano /etc/dnscache/env/IP # IP einstellen auf der der Service lauscht
cd /etc/dnscache/root/ip # Ordner mit allen freigegeben Netzwerken
touch 192.168 # Alles mit 192.168.x.x darf zugreifen

Aktualisierung der DNS Rootserver:

mv /etc/dnsroots.global /etc/dnsroot.global.old
dnsip `dnsqr ns . | awk '/answer:/ { print $5; }' |sort` \ > /etc/dnsroots.global
cp /etc/dnsroots.global /etc/dnscache/root/servers/@

Starten des dnscache Servers:

ln -s /etc/dnscache /service
sleep 5
svstat /service/dnscache

Nun noch ggf. die Datei /etc/resolv.conf anpassen, damit der Rechner den eigenen DNScache zum auflösen von Hostnamen verwendet.

Viel Spaß !

* Serverumzug
* Update der Datenbank Version
* Datensicherung

sind häufig die Gründe warum ein solcher Export sämtlicher Daten einer Datenbank nötig ist. Für das tägliche sichern per Cronjob habe ich ja bereits eine Möglichkeit in diesem Blog genannt. Dieser Post ist > hier < zu finden.

Um die Datenbank über die Console bzw. SSH zu exportieren verwende ich meistens folgende Befehle:

mysqldump --opt -e -l --add-drop-table --force --host=localhost --user=USER --password=PASSWORD DATENDANKNAME > /PFAD/ZUM/DUMP.sql

Um den MySQLDump anschließend wieder einzuspielen:

mysql --host=localhost --user=USER --password=PASSWORT DATENBANKNAME < /PFAD/ZUM/DUMP.sql

Um den Dump direkt zu packen:

mysqldump --opt -e -l --add-drop-table --force --host=localhost --user=USER --password=PASSWORD DATENDANKNAME | gzip > /PFAD/ZUM/DUMP.gz

Hier gibts die deutsche Version: http://www.mozilla-europe.org/de/firefox/

PS: Mozilla versucht mit dem heutigen Release von Firefox 3 ins Guinness Buch der Rekorde zu kommen. Die Kategorie lautet “Meiste Software Downloads innerhalb von 24h”. Mehr Informationen zu diesem Thema gibt es auf Heise

Ich bin sicher das schaffen Sie :)

Anschließend wählt man einen Kunden, einen Reseller oder eine Domain aus und aktiviert die Option “WebServer mod_rewrite” für diesen.

Anschließend schreibt Confixx die angepasste apache Konfiguration. Diese lautet meist:

<Directory "/home/##user##/html">
Options +FollowSymLinks +SymLinksIfOwnerMatch
</Directory>

Durch das aktivieren von "FollowSymLinks" und "SymLinksIfOwnerMatch" für den Ordner des Users ist anschließend mod_rewrite aktiviert.