Linux Kurs Wintersemester 08/09 ASICT08. Hannes Kasparick kasparick. com

Transkript

1 Linux Kurs Wintersemester 08/09 ASICT08 Hannes Kasparick kasparick. com 1

2 Über mich 2003 bis 2006: Computer- und Mediensicherheit 2006 bis 2008: Sichere Informationssysteme Diplomarbeit: Data Leakage Prevention Seit September 2008: Leiter IT-Services Abteilung Firma Wurm und Partner in Hagenberg 2

3 Agenda Geschichtliches Basics Installation von Debian Linux Remotemangement - SSH Grundlagen Paketmanagement Umgang mit der Konsole Bash Grundlegende Rechteverwaltung vi ein Editor Wichtige Tools Netzwerkkonfiguration 3

4 Buchempfehlung O'Reilly - LPI Linux Certification in a Nutshell 2nd Edition O'Reilly Linux System Administration OpenBook frei verfügbar 4

5 Was ist Linux? Linux ist nur der Kernel = Betriebssystem Außen herum GNU Tools Viele kleine Tools die wenige Aufgaben beherrschen eierlegende Wollmilchsau eher selten Distributionen traditionell: RedHat SUSE (Novell) Slackware Debian mit diesem System werden wir arbeiten jünger: Gentoo Ubuntu 5

6 Distributionen Was ist das? GNU / Linux kann komplett frei aus dem Internet bezogen werden mühsames kompilieren der Programme Linux from Scratch Distributionen stellen lauffähiges System zur Verfügung reduzieren Aufwand stellen Konfigurationstools bereit (z.b. YAST) bringen große Menge Programme mit 6

7 Warum Linux? Weite Verbreitung große Community Bester Hardwaresupport der freien Systeme Frei im Sinne von Freiheit nicht von Freibier Quelltexte verfügbar Support kostet natürlich auch hier (Enterprise Distributionen) Benutzerfreundlich im Vergleich zu traditionellen Unixen Stabil, performant Kostengünstig Keine Virenproblematik 7

8 Warum Linux nicht? Linux ist nicht besser als... TCO nicht unbedingt geringer als bei... Linux ist nicht sicherer als... Linux hat nicht das coolste Maskottchen ;-) es gibt einige Gründe gegen Linux, aber das soll nicht Thema dieser Lehrveranstaltung sein 8

9 Geschichte von Linux 1983: GNU Projekt Richard Stallman mit Ziel eines Unix ähnlichem Posix Kompatiblen OS Anfang 1990er noch immer nicht vollständig 1991: Linus Torvalds beginnt mit Entwicklung von Linux 1993: Linux wird von Torvalds unter GPL Lizenz gestellt 1994: Version 1.0 frei gegeben 1996: Pinguin als Maskottchen 2001: 2.4er Kernel 2003: 2.6er Kernel Heute:

10 BSD Derivate Weitere freie Unix Systeme FreeBSD OpenBSD NetBSD Dragonfly, PC BSD usw. BSD Lizenz freier als GPL GNU / Hurd Kernel des GNU-Projekts Wird zusammen mit Duke-Nukem forever erscheinen Open Solaris Mit starkem Einfluss von Sun Microsystems 10

11 Fragen 11

12 Mehrbenutzersystem Mehrere Benutzer können gleichzeitig angemeldet sein Rechteverwaltung Strenge Trennung zwischen Benutzern und Gruppen Ein Superuser root Hat alle Rechte (wie system unter Windows) Unterstützt Access Control Lists (ACLs) 12

13 hierarchisch keine Laufwerksbuchstaben everything is a file Dateien & Ordner Hardware-Geräte (/dev/...) gemeinsames Wurzelverzeichnis / engl: Rootverzeichnis Dateiorganisation Groß- / Kleinschreibung ist relevant Character Set wichtig, da nicht durchgehend UTF-8 verwendet wird (Gegensatz zu Windows) 13

14 / Wurzelverzeichnis, Root /bin /boot /dev /etc /home /lib /proc /root /sbin /tmp /usr /var /share/doc /src /log /spool Verzeichnisse Systemprogramme zum Booten Benötigtes (z.b. Kernel) Gerätedateien Konfigurationsdateien Daten der Benutzer System- / Programmbibliotheken Informationen von / für Kernel Daten des Superusers root Programme temporäre Daten Unified System Ressources Anleitungen, Hilfedateien Ablage für Quellcode veränderliche Daten Logfiles Druckaufträge, Mails... 14

15 Länge von Dateinamen: 255 Zeichen Erlaubte Zeichen: alle außer / Vermeide Sonderzeichen! Dateinamen Unterschied zwischen Groß/Kleinschreibung Punkt im Namen am Anfang: versteckte Datei Teil des Namens für bessere Lesbarkeit zeigt Dateityp an, Dateiendung wie in Windows 15

16 Programme enden nicht auf.exe Endungen prinzipiell nebensächlich Dateinamen Verknüpfung zu Anwendung wird anhand der ersten Bytes bestimmt (magic number) Keine Registry Konfiguration in Textdateien (oft /etc) Dadurch diverse Vor- und Nachteile GUI nicht bestandteil des OS GUIs sind normale Programme Windows 2008 Core Server am ehesten vergleichbar, aber auch hier mehr grafische Elemente 16

17 Das /proc Pseudodateisystem Informationen über laufende Prozesse /proc/pid/cmdline - Kommandozeile Informationen über den Kernel /proc/version - Versionsnummer Informationen über das System /proc/cpuinfo /proc/meminfo Einstellungen für den Kernel /proc/sys/net/ipv4/tcp_syncookies - Syncookies Vergleich Anzahl Prozesse aus /proc mit ps ls -d /proc/* grep [0-9] wc -l; ps ax wc -l 17

18 mounten Einhängen von Devices in den Dateibaum mount /quelle /ziel mount /dev/sda1 /mnt/sda1 Hardlink, mounten eines Verzeichnisses an mehreren Stellen mount --bind /mnt/ftp_public /home/ftp/public Windows Freigabe mounten mount -t cifs -o username=abc,password=abc //ip.adresse/freigabe /ziel/pfad unmounten umount /mountpoint umount -l /mountpoint (für in Verwendung befindliche MPs) 18

19 Wissensquellen

20 Wissenswertes Linux / Unix ursprünglich für Entwickler gedacht, Endbenutzer erst seit kurzem Ziel Keine Rückmeldung ist meist positiv Fehlermeldungen lesen oft ergeben sie Sinn Wenn nicht, Suchmaschinen helfen weiter Kaum Selbstschutz des Betriebssystem vor falscher Bedienung Programme fragen selten erwarten Parameter Extreme Konfigurierbarkeit - Gefrickel 20

21 Abkürzungen ~/ [optional] * & ^ Homeverzeichnis Optionale Parameter beliebig viele zeichen oder und Strg-Taste 21

22 Fragen 22

23 Kurzeinfühung VMware VMware Bedienung zeigen 23

24 Installation Freies System seit 15 Jahren Gute Dokumentation Wird in kritischen Infrastrukturen verwendet Große Verbreitung, große Community Lange Historie Keine Firma im Hintergrund Textbasierte & grafische Installation Warum genau Debian? Paketmanagement Ich habe die meiste Erfahrung mit Debian 24

25 Installation Debian installation_debian.pdf 25

26 Fragen 26

27 Neue Programme installieren aptitude wichtigstes Tool dpkg antik, aber unverzichtbar apt-get ähnlich wie aptitude, keine gui veraltet, Einstatz nicht mehr empfohlen! 27

28 Aptitude Grafische Oberfläche: einfach aptitude in der Konsole eingeben Bedienung praktisch selbsterklärend, auf Hinweise im oberen Bildschimbereich achten aptitude install packetname aptitude remove packetname aptitude reinstall packetname Spezialbefehl zum reinstall inkl. Configs: aptitude -odpkg::options::="--force-confmiss" reinstall PAKETNAME Paketübersicht: 28

29 Aptitude Oberfläche 29

30 Verwendung des Paketmanagers Konfiguration passiert in /etc/apt/sources.list Beispiel: deb etch main contrib non-free deb etch/updates main contrib non-free Paketliste aktualisieren: aptitude update Pakete updaten (wenn updates vorhanden) aptitude upgrade demnächst: aptitude safe-upgrade 30

31 Remotelogin Arbeiten in VMware Konsole unkomfortabel Langsam Kein Copy & Paste Mausbewegungen eingeschränkt Lösung: Remotezugriff per SSH (Secure Shell) Womit unter Windows? Putty Alternativen: gibt s sicher auch... 31

32 Putty original Putty Portaputty 32

33 Putty 33

34 Fragen 34

35 Übung 2 putty.pdf 35

36 Crashkurs Konsole Die Bash Bourne Again Shell Nachfolger von sh Alternativen: korn shell (ksh) z shell (zsh) c shell (csh) tenec c shell (tcsh)... bash = for Linux is like Internet Explorer for windows. It comes preinstalled so everyone uses it and doesn't bother to look at alternatives, simply because it 'already works.' Shells im Vergleich 36

37 Crashkurs Konsole Die Bash Die wichtigsten Kürzel Befehl / Pfad vervollständigen: Tab letzte Befehle: Pfeiltasten (auf / ab) hängende Konsole wieder holen: STRG+c An den Anfang springen: Pos1 oder STRG+a An das Ende springen: ENDE oder STRG+e Erweiterte Features Befehlshistory durchsuchen: STRG+r <befehl>!$ : nimmt Parameter des letzen Befehls ls -al /etc/network/interfaces vi!$ - öffnet /etc/network/interfaces 37

38 ls Wichtige Befehle zeigt Verzeichnisinhalt an (wie dir in Windows) nützliche Optionen -l -a -h detaillierte Ausgabe auch versteckte Dateien anzeigen human readable, Größen in Mbyte usw. cd Verzeichnis Wechseln cd.. Überverzeichnis cd /home/thorben absoluter Pfad cd thorben relativer Pfad cd - zurück zum letzen Verz. cd ins Homeverzeichnis cd../../var/log zwei Ebenen hoch... 38

39 pwd mkdir rmdir cp mv rm Wichtige Befehle gegenwärtiges Verzeichnis Verzeichnis erstellen (leeres) Verzeichnis löschen kopieren verschieben / umbenennen löschen (es gibt keinen Papierkorb!) rm -rf bei Verzeichnissen touch cat ln -s whoami df -h who passwd exit Datei anlegen / Zeitstempel ändern Datei ausgeben symbolischen Link erstellen wer bin ich? freien Speicherplatz anzeigen wer ist gerade eingeloggt - Passwort setzen verlassen / logout (STRG+d) 39

40 Befehls- und Ausgabeumleitung manchmal will man die Ausgabe eines Befehls in eine Datei oder wo anders hin umleiten manchmal will man die Eingabe eines Befehls aus einer Datei lesen manchmal will man die Ausgabe eines Befehls an einen Anderen füttern das geht ganz leicht... (mehr oder weniger auch in Windows...) 40

41 3 Standard-Filedescriptoren Standardeingabe: stdin meist Tastatur Standardausgabe: stdout meist Bildschirm Ein paar Unix-Internals Standardfehlerausgabe: stderr meist ebenfalls Bildschirm Trennung im Hinblick auf Umleitung sinnvoll sind durchnummeriert STDIN 0 STDOUT 1 STDERR 2 41

42 Standardfiledescriptoren sind automatisch offen / vorhanden viele Funktionen greifen automatisch auf diese zu Filedescriptoren können fast beliebig umgeleitet werden in Dateien an andere Programme Vorteil: Kommandos potentiell einfacher, da sie nur von stdin lesen können müssen und nur an stdout ausgeben müssen 42

43 Ausgabeumleitung Ergebnis wird in Datei geschrieben, nicht auf Terminal Umleitung erfolgt durch > bzw. >> > fängt neue Datei an >> hängt an Bestehendes an kommando > dateiname cat /etc/fstab > /tmp/fstab.kopie 43

44 Eingabeumleitung Programm liest aus Datei, nicht von der Tastatur Umleitung erfolgt durch < kommando < dateiname more < /etc/fstab 44

45 Umleitung der Fehlerausgabe Fehlermeldungen in Datei schreiben Umleitung erfolgt durch 2> kommando 2> dateiname Kombinationen kommando < eingabedatei > ausgabedatei 2> fehlerdatei kommando > datei 2>&1 Standard- und Standardfehlerausgabe in datei 45

46 Spezialziele Everything is a File Spezialziele: /dev/null - schwarzes Loch für arme Bits /dev/zero - lauter Null-Bytes (0x00) /dev/random - Zufallsbytes /dev/urandom - weniger zufällig diverse andere Gerätedateien Umleitung direkt auf Geräte möglich cat /dev/zero > /dev/sdb1 46

47 Pipes verbinden Ausgabe eines Programms mit Eingabe eines anderen Programms über temporären Puffer mehrere Befehle können hintereinander geschaltet werden befehl befehl2 befehl3 ls -la /etc/ more 47

48 $ echo kitten > meow $ echo "feline" >> meow $ cat >> meow tomcat ^D (bedeutet STRG+D) $ cat < meow kitten feline tomcat $ grep cat < meow > cats $ cat cats tomcat $ cat < meow grep feline >> cats $ grep kitten meow >> cats $ < meow cat kitten feline tomcat Beispiel quelle nostromo: ux_003 flowcontrol_and_redirects.pdf 48

49 Dokumentation zu Programmen Manpages Linux Programme im Vergleich zu *BSD Programmen oft schlecht dokumentiert Aufruf: man begriff Unterteilt in Sektionen man man man sektion begriff (z.b. man 7 man) Meist sinnvoller im Internet zu suchen als Manpage zu lesen 49

50 Programme ausführen Einfach Programmnamen eintippen Dazu muss Verzeichnis, in dem das Programm liegt in $PATH sein Spezielle Umgebungsvariable Analog zu Windows lässt sich mit mit echo $PATH anzeigen Gegensatz Windows: es werden keine Programme im aktuellen Pfad einfach ausgeführt (Security Feature!) Programm mit vollständiger Pfadangabe starten /usr/bin/less absoluter Pfad bin/less relativer Pfad (man muss sich in /usr befinden)./programmname - Programm im aktuellen Pfad ausführen 50

51 Fragen 51

52 Übung 3 navigieren.pdf 52

53 vi / vim Texteditor aus den 70ern ist überall vorhanden Nach wie vor populär emacs vs. vi vs. nano Gewöhnungsbedürftig Zwei Hauptmodi Kommandomodus Editiermodus Bedienung siehe Reference Cards Wichtigste Befehle: ESC (in den Kommandomodus wechseln) :q! (ohne Änderungen verlassen) i (in den Eingabemodus wechseln) :w (Datei speichern) :wq (speichern und verlassen) alternativ :x 53

54 vi nützliche Kommandos x yy x zeilen kopieren x dd x zeilen ausschneiden p unter aktueller Zeile einfügen /begriff nach begriff suchen n zum nächsten Ergebnis springen u rückgängig (undo) STRG+r letzen undo rückgängig (redo) SHIFT+g - ans Ende der Datei springen :x,y s/suchmuster/ersetze/g ab Zeile x bis Zeile y suchmuster durch ersetzen (%- Zeichen anstelle x,y = ganze Datei) 54

55 nette Parameter für /etc/vimrc bzw. ~/.vimrc (auch direkt im vim anwendbar) set ignore case nützlich bei Suche im vi mit :set ic set backup erstellt Backupdatei mit Tilde (~) am Ende syntax on Syntax Highlighting colorscheme evening gut lesbares Syntax Highlighting für Putty set number Zeilennummern anzeigen vimrc 55

56 Fragen 56

57 Übung 3 vi.pdf 57

58 Zugriffsrechte Schutz privater Dateien vor Zugriff anderer Systembenutzer Durchsetzung der Rechte wird vom Betriebssystem garantiert sind wirkungslos, wenn von extern (z.b. Live-CD) zugegriffen wird (hier würde Verschlüsselung helfen) Standardmäßig sehr einfach, aber auch ACLs (vergleichbar mit denen bei NTFS) möglich 58

59 Granularität der Rechte Granularität der Rechte Eigentümer (user) Benutzergruppe (group) Andere (others) Auswertung der Rechte 1. Prüfen der Eigentümerschaft 2. Prüfen der Gruppenzugehörigkeit 3. sonst Zugehörigkeit zu anderen Anwendern 59

60 Benutzer Gruppenzuordnung Jeder Benutzer gehört mindestens einer Gruppe an Kann mehreren Nebengruppen zugeordnet werden Eigentümer kann Rechte für eine Gruppe oder für andere vergeben id zeigt Gruppenzugehörigkeit an ~#: id benutzer1 ~#: id Benutzerdatenbank /etc/passwd /etc/shadow /etc/groups 60

61 Sticky Bit - 1 Erweitertes Rechtemangement Verzeichnis: nur Besitzer einer Datei darf sie löschen drwxrwxrwt 5 root root 4096 Sep 24 21:05 tmp SGID Bit - 2 Verzeichnis: alle neu erstellten Dateien gehören nicht der Gruppe des Erstellers, sondern der Gruppe, die das Verzeichnis besitzt SUID Bit - 4 Dateien: Prozess läuft unter Identität der besitzenden Gruppe rwsr-xr-x 1 root root chmod 1755 verzeichnis /usr/bin/passwd 61

62 umask Erweitertes Rechtemanagement default Rechte einer Datei sind 666 default Rechte eines Verzeichnisses sind 777 umask 0022 Einstellung in /etc/profile umask 022 durch Subtraktion des umask Wertes von den default Rechten ergibt sich für Dateien 644 und Verzeichnisse 755 Hinweis: Änderungen an /etc/profile können mit source /etc/profile übernommen werden 62

63 Erweiteres Rechtemanagement lsattr zeigt zusätzlich Attribute Immutable Bit Datei wird unveränderbar (auch für root!) chattr +i datei *BSD kennen hier mehr und bessere Optionen Z.B. Datei darf nur größer werden (gut für Logfiles) Änderungen mit chattr auch für root nicht möglich wenn kern.securitylevel hoch genug schützt effektiv vor übereifrigem root Benutzer ;-) 63

64 Benutzerrestriktionen / Limits /etc/security/limits.conf Datei ist selbsterklärend Zuordnung einer Ressource zu Benutzer Einschränkung von: max. geöffnete Dateien max. CPU Zeit max. Anzahl an Prozessen max. gleichzeitige Logins standard Priorität mit der Prozesse ausgeführt werden... anzeigen mit ulimit -a in der bash zsh und tcsh bieten intern den limit 64

65 nice Priorität für CPU Zeit -20 bis 19 je weniger "nice" desto höher die priorität Anzeige mit top nice --10 vi /etc/apt/sources.list nice -n -10 vi /etc/apt/sources.list htop: grafisches einstellen des nice-wert 65

66 Fragen 66

67 Übung 4 benutzer.pdf 67

68 Rechte anzeigen ls -la 68

69 Rechteübersicht Recht Datei Verzeichnis r (read) w (write) x (execute) Datei kann gelesen werden Verzeichnisinhalt kann angezeigt werden Verzeichniseintrag kann erstellt und Datei kann geschrieben werden gelöscht werden Datei kann In Verzeichnis kann ausgeführt werden gewechselt werden 69

70 Dateirechte Quelle: flowcontrol_and_redirects.pdf 70

71 Rechtevergabe symbolisch chmod [Bereich] Operand Berechtigung datei Bereich u Eigentümer (user) g Gruppe (group) o Übrige Benutzer (others) Keine Angabe = ugo Operand Berechtigung + Recht hinzufügen - Recht wegnehmen = Recht absolut setzen r Read w Write x execute 71

72 Rechtevergabe symbolisch chmod +x datei Execute-Recht für Benutzer, Gruppe, Andere chmod go-w datei Gruppe und Anderen Schreibrecht entziehen chmod g+rwx d chmod ugo-rwx d Alle Rechte für die Gruppe Alle Rechte für alle entziehen chmod u-r,g+x d chmod u=rw d Benutzer Schreibrecht entziehen und Gruppe Execute-Recht zuweisen Schreib- und Leserecht für Benutzer 72

73 Rechtevergabe direkt chmod Modus Dateiname Modus sind 3 Oktalzahlen jede steht für Bereich 1. User 2. Group 3. Others Recht read write execute Zahl zugeteiltes Recht ergibt sich aus Summe der Einzelrechte rwx = read + write + execute => 4+2+1=7 chmod 750 dateiname 73

74 Rechtevergabe direkt Zugriffstabelle 0 = = = = --x 2 = = -w- 3 = = -wx 4 = = r-- 5 = = r-x 6 = = rw- 7 = = rwx chmod 742 file1 ; chmod a=rw,u+x,g-w,o-rx file2 ls -la file* -rwxr---w- 1 thorben thorben 0 Nov 11 10:18 file1 -rwxr---w- 1 thorben thorben 0 Nov 11 10:18 file2 74

75 Eigentümer Besitzrechte Benutzer wird neuer Eigentümer, alter Eigentümer verliert Rechte an Datei chown username Datei Befehl kann nur von root ausgeführt werden Gruppenzugehörigkeit chgrp gruppenname Datei Befehl kann nur von root oder vom Eigentümer ausgeführt werden, sofern dieser auch Mitglied der neuen Gruppe ist 75

76 Fragen 76

77 Übung 5 rechte-umgang.pdf 77

78 ifconfig Netzwerkkonfiguration gibt Auskunft über aktuelle Netzwerkeinstellungen ifconfig -a alle Netzwerkkarten, auch inaktive ifconfig eth netmask setzt IP und mit gewünschter Netzmaske route add default gw setzt Standard Gateway route Routingtabelle anzeigen DNS-Server festlegen /etc/resolv.conf Netzwerkkonfiguration auch über den Befehl ip möglich 78

79 /etc/network/interfaces auto eth1 iface eth1 inet static address netmask network broadcast gateway Netzwerkkonfiguration diese Datei gibt es vermutlich nur bei Debianderivaten! /etc/init.d/networking restart Netzwerk neu starten dhclient ethx DHCP-Adresse an ethx beziehen 79

80 Fragen 80

81 netzwerk.pdf 81

82 Wichtige Tools Kleine und große Helferlein... 82

83 top Admintools - zeigt Auslastung / Prozesse an htop: mehr features, sehr empfehlenswert! ps uptime du / df watch Befehl lspci / lsusb lsof - zeigt Prozesse (ps aux) - zeigt uptime und load an - belegter Speicherplatz (df -h) - Befehl alle x Sekunden - listet Hardware - ls open files lsof -Pni grep LISTEN - Netzwerkprogramme kill PID - Prozesse beenden killall Prozessname - beendet alle Prozesse kill -9 PID - hartnäckigen Prozess beenden netstat passwd shutdown - belegte Ports (netstat -tanup) - Passwort setzen - herunterfahren / neustarten 83

84 Wichtige Befehle head Anfang einer Datei anzeigen tail -f Ende Datei anzeigen (-f = autoscroll) tools zum (Ent)packen tar file stat grep tar -xfvz datei.tar.gz tar.gz Archiv mit Ausgabe entpacken tar -xfj datei.bzip2 bzip2 Archiv ohne Ausgabe entpacken tar -jcf archiv.bzip2 datei1 datei2 erstellt bzip2 aus datei1&2 bzip2 unzip gunzip gibt Dateityp aus gibt Dateistatusinformationen aus suchen nach Begriffen in Dateien grep -ir suchbegriff /etc/ Case-insensitive Suche in /etc 84

85 find Suchen sucht nach Dateien / Verzeichnissen find /home/thorben -name "unterlagen.*" find /home/thorben grep unterlagen find /home/thorben -size +500k find.! -name '*.tex' locate sucht in locate-datenbank (schnell) Indizierung des Dateisystems vorher nötig -> updatedb slocate sichere Variante von locate updatedb indiziert Komplettes Dateisystem Achtung: hohe I/O-Last zu erwarten! oft cronjobs! 85

86 Fragen 86

87 verbreitetste Remote Shell baut Verbindung verschlüsselt auf sehr sicher ausschließlich Version 2 verwenden! SSH Suite sehr mächtig SSH Secure Shell tunneling Fenster eines entfernten Rechners darstellen seit SSH 4.3 vollständige VPN Funktionalität ssh benutzername@zielrechner [befehl] führt Befehl auf Zielrechner aus 87

88 Schlüsselbasierte Authentisierung SSH Secure Shell basiert auf Public Key Verfahren (bekannt?) ist bequemer, erspart ständige Passworteingabe privater Schlüssel muss geschützt sein ssh-keygen -t rsa erzeugt RSA Schlüssel wer bequem ist, vergibt hier kein Passwort Public Key muss in ~/.ssh/authorized_keys auf Zielrechner kopiert werden 88

89 Public Key Verschlüsselung 89

90 X ist netzwerkfähig SSH Secure Shell Programme auf entfernten Rechner leiten Ausgabe auf lokalem Schirm benötigt X-Server auf Empfängerseite Verbindung ungesichert SSH ermöglicht sichere Weiterleitung der GUI Ausgabe Authentisierung Verschlüsselung ssh -X programm 90

91 SCP Secure Copy scp - Teil des SSH Pakets ermöglicht sichere Dateitransfers funktioniert bidirektional scp [user@quelle:]/pfad [user@ziel:]/pfad alternativ wenn Berechtigungen wichtig sind: tar cpf quellpfad/ ssh root@rechner (cd /zielpfad; tar xpf - ) der p Parameter ist für Berechtigungen 91

92 Fragen 92

93 Übung 6 ssh.pdf 93

94 Kompilieren von Programmen in Binärdistributionen eher selten nötig Sourcecodebasierende Distributionen (Gentoo...) meist automatisch vermeide Kompilierorgien Sicherheitsupdates? Wartung? Versionskonflikte? Deinstallation? hin und wieder braucht man es einfach :-( 94

95 Dreisatz In Debian: das Paket build-essential installieren Saubere Lösung: Paket bauen Quick & Dirty:./configure --prefix=/installations/pfad make make install make uninstall INSTALL bzw. README lesen oft wichtige Hinweise 95

96 configure Dreisatz zur Konfiguration von Einstellungen configure --help / configure -h immer mit --prefix damit Dateien nicht über Dateisystem verstreut werden Fehler die angezeigt werden möglichst beheben make eigentlicher Kompiliervorgang sollte nach fehlerlosem configure gehen make install kopiert kompilierte Daten in --prefix Pfad make uninstall selbsterklärend 96

97 Fragen 97

98 Übung 7 kompilieren.pdf 98

99 Wichtige Dienste 99

100 /var/log messages generelles Log, erste Anlaufstelle syslog Systemlog, sollte aufgeräumt sein auth.log Authentisierung mail.log Mail kern.log Kernelmeldungen apache / samba / mysql usw. : Logdateien der Dienste tail -f logfile Logfile live mitlesen auf Größe der Logfiles achten, sollten rotiert werden (z.b. durch logrotate ) Syslog 100

101 Standarddienst auf meisten *nix Systemen syslog-ng als Nachfolger Alternativen bieten Verschlüsselung, SQL...: rsyslog Modular Syslog /etc/syslog.conf relativ selbsterkärend Facility.Level Action - Zeichen am Anfang steht für asynchrones Schreiben auf die Festplatte und trägt zur Performanceverbesserung bei Syslog ist netzwerkfähig hört auf UDP Port 514 zentrales Logging / Logüberwachung möglich Syslog 101

102 Syslog Facilities (Quellen) zeigt wer Log gesendet hat Kategorien authpriv cron daemon kern lpr mail mark news syslog

103 Severity (Log Level / Schweregrad): debug info notice warning (or warn) err (or error) crit alert emerg (or panic) Syslog warn, error, und panic sind veraltet, können einem aber begegnen 103

104 Der Cron Daemon Zeitgesteuertes Ausführen von Programmen verschiedene cron-dienste anacron, vixie-cron usw. Zeitpunkte der Ausführung in crontabs /etc/crontab crontab für das System nur für root schreibbar cron sollte Änderungen selbsständig bemerken, manchmal muss man crontab /etc/crontab ausführen (zur Not cron restarten) crontabs für jeden Benutzer /var/spool/cron/crontabs crontab -e editieren der eigenen crontab 104

105 Aufbau Der Cron Daemon relativ sebsterklärend wann soll wer etwas tun 0 4 * * * root ntpdate ntp1.fau.de ptbtime1.ptb.de */30 * * * * root /usr/bin/webalizer teilweise Leerzeile am Ende nötig /etc/cron* zur besseren Übersicht sind Aufgaben in verschiedenen Verzeichnissen zu finden cron.allow / cron.deny zur Einschränkung möglich Beispiel: # run myprogram at 6:15am and 6:15pm on the 1st and 15th 15 6,18 1,15 * * myprogram 105

106 Korrekte Uhrzeit wichtig ntpd Nachvollziehbarkeit von Logdaten Timestamps von Dateizugriffen Netzwerkdienste verlangen teilweise synchrone Zeit Zeit darf nie rückwärts laufen timestamp in future prob. Zeit läuft nie korrekt Virtuelle Maschinen weit problemematischer Lösung ntpd (ntp Daemon) ntpdate <server> Serverpools at.pool.ntp.org europe.pool.ntp.org de.pool.ntp.org 106

107 ntpd /etc/ntp.conf server de.pool.ntp.org iburst server 2.europe.pool.ntp.org iburst server at.pool.ntp.org iburst server de.pool.ntp.org iburst 107

108 Fragen 108

109 Der Bootloader sehr klein, da Bootsektor beschränkte Kapazität hat läd den Kernel kann spezielle Optionen mitgeben Auswahl verschiedener Kernel muss Dateisystem verstehen heutzutage meist grub, lilo eher selten grub liest Informationen von Festplatte lilo speichert alles in MasterBootRecord Security: setzen eines Bootloader-Passworts um booten in den single-modus zu verhindern 109

110 110

111 Der Bootloader zusätzliche Kernelparameter möglich kernel /vmlinuz ro root=/dev/hda2 clock=pit Beispiele für Parameter clock=pit (für Uhrzeit in VMWare) nosmp (kein Multiprozessorsupport) noapic (kein APIC) noacpi (kein ACPI Powermanagement) init=/bin/bash (alternativer INIT-Prozess) single (in den Single-Modus booten) 111

112 Fragen 112

113 boot.pdf 113

114 Warum nicht als root arbeiten? Bedienungsfehler kein Logging Sicherheitskritisch z.b.: bugs in tar führen dazu, dass nicht in richtigen Pfad entpackt wird, wodurch beliebige Dateien überschrieben werden können Ausführung unbekannter Programme 114

115 führt Befehle mit root-rechten aus Ubuntu nutzt dies sehr konsequent, indem man normal nicht als root arbeiten kann root hat kein Passwort, damit ist keine Anmeldung als root möglich sudo logt alle Aktivitäten in /var/log/auth.log bei anderen Distributionen evtl. anders Nachvollziehbarkeit bei mehreren Admins User braucht kein root-passwort Definition der Rechte in /etc/sudoers bearbeiten mit visudo (hat Syntaxcheck) normaler Editor tuts auch sudo 115

116 Ubuntu: alle Mitglieder der Gruppe admin bekommen alle Rechte mittels sudo sudo /etc/sudoers root ALL=(ALL) ALL thorben ALL=(ALL) ALL karl katrin server1=(all) /sbin/cfdisk ALL=(ALL) NOPASSWD :/etc/userscripts/create_ .sh,/bin/passwd Cmnd_Alias SHUTDOWN = /sbin/shutdown skx ALL = SHUTDOWN man sudoers sehr ausführliche Anleitung 116

117 su = switch user lässt normalen Benutzer zu root werden root kann als beliebiger User agieren su thorben User muss gültige Shell haben su su kann jeder Benutzer ausführen Benutzer muss root-passwort kennen mit su - werden Umgebungsvariablen des Users übernommen, in den man sich wandelt kein Logging der Aktivitäten Befehle als anderer User ausführen su -c id thorben uid=1003(thorben) gid=1003(thorben) groups=1002(thorben1),1003(thorben) 117

118 Fragen 118