Geschrieben am von & gespeichert unter Shell Tipps.

Hin und wieder bin ich genervt von unübersichtlichen outputs diverser Programme / Kommandos in der Shell. Dennoch kann man sich hier als Admin leicht weiterhelfen.

Der aktuelle Output von mount sieht in etwas so aus:

Nicht wirklich übersichtlich, vor allem wenn man grade im stress ist.

Das ganze geht auch mittels column -t in schön und übersichtlich:

Cloumn ist ein Tool das seinen input in mehrere Spalten aufteilen kann

Wer das ganze jetzt noch als Alias in der “.bashrc” bzw. “.bash_aliases” als alias für mount speichert, erhalt dann via mount immer einen übersichtlichen output.

Z.B.: Inhalt von /root/.bash_aliases für den root User

Einmal aus der Shell ausloggen und neu verbinden, fertig!

Geschrieben am von & gespeichert unter Sicherheit.

Fail2ban sollte eigentlich jedem Admin der Linux/Unix Server ein begriff sein, vor allem wenn er Server administriert die am www hängen.

Mit Fail2ban kann man automatisiert mit diversen Filterregeln es einem Angreifer schwer machen. Dabei schaut Fail2Ban in die entsprechenden Logfiles und erstellt anhand von Filterregeln dann Firewall-Regeln um den Angreifer auszusperren.

Bei SSH schaut Fail2Ban in die /var/log/auth.log

Versucht jemand nun jemand via SSH das Passwort vom Root User herauszufinden (Brute-Force), kann Fail2ban den Angreifer nach 3 versuchen ihn für die nächsten 24 Stunden via Firewall Regel aussperren. Das erschwert natürlich eine solche Brute-Force-Attacke.

Grundsätzlich sollten SSH Root-Logins nie via Passwort möglich sein!
(Leider gibt es hin und wieder andere Kundenwünsche und Ansichten.)

Unter Debian / Ubuntu erfolgt die Installation mit einem

Danach findet man die Konfigurationsdaten unter /etc/fail2ban/… . Wir kopieren uns jetzt das Original und legen uns eine local Konfiguration an mit der wir nun fortan arbeiten.

Die Konfigurationsdatei jail.local ist hinreichend Dokumentiert, daher werde ich dies hier nicht im Detail erläutern.

Um fail2ban für z.B. SSH zu aktivieren muss enabled auf den wert true gesetzt werden

Datei speichern und danach fail2ban neustarten.

Danach prüfen ob die Jails angelegt wurden:

Und nach ein paar tagen wird man in seinen Jails schon geblockte IP-Adressen finden.

 

Wichte Tipps:

bantime so hoch wie möglich stellen z.B. auf 48 Stunden:

Was viele vergessen:
Fail2ban reagiert nur auf IP Adressen im authlog. Schreibt OpenSSH anstelle der IP-Adresse den Reverse-DNS in die Logfile wird Fail2ban nicht darauf reagieren, und selbst wenn man sich dafür einen eigenen regex baut, ist dies realativ unsicher.

Daher in OpenSSH folgende Option setzen:

Somit macht OpenSSH keine Reverse-DNS und Fail2ban kann seine Arbeit machen.

Nie blind fail2ban vertrauen! Selbst ist der Admin.

Viel Erfolg ;) !

 

 

Geschrieben am von & gespeichert unter WTF.

Neulich bei einem Kunden vor Ort, nachdem am Wochenende Elektriker im Haus waren.

Das verblüffende: Beide iMacs die ich so vorfand liefen noch!
Nachteil: Das Netzwerkkabel lässt sich nun nicht mehr entfernen und ist eins mit den iMacs.

iMac-Netzwerkport

Geschrieben am von & gespeichert unter Aus dem Alltag.

Was macht man wenn man dem Kunden schon seit über 6 Monaten regelmäßig warnt:

das der 7 Jahre alte Mailserver dringend ersetzt werden muss weil, erstens, es schon seit Jahren keine Security Updates mehr gibt und zweitens, der Raid Controller einen hau hat und es zu erwarten ist das dass System komplett ausfällt. Dazu kommt das der Server mit dem heutigen Mail aufkommen nicht mehr klar kommt und die CPU einfach nur noch brennt!

… der Kunde nicht hören will, bzw. es einfach ignoriert?

Was macht man da?
Ich habe leider keine Antwort darauf!

Jedoch musste dieser Kunde schmerzhaft feststellen was es bedeutet wenn der Hardware-Raid Controller sich verabschiedet und dabei auch schön beide Raids zerstört!

Und wer musste das ganze wieder ausbaden?

Richtig, der Sysadmin!

Leider passierte das ganze dann auch noch vor meinen Urlaub, an einem Tag wo ich komplett anderweitig verplant war und leider auch grade an dem Tag wo der Kunde ein großes und wichtiges Mailing versenden musste.

Tja, Murphy’s Law!

Geschrieben am von & gespeichert unter Backup.

Backups sind das mit wichtigste bei der Serveradministration. Linux Admins haben oft ihre eigenen Backupscripte, liegt wohl in der Natur eines Linux Admins alles selbst zu machen ;)

Es gibt jedoch auch nette Tools und Scripte um sich Zeit zu sparen, eines davon ist automysqlbackup und ist in den Debian und Ubuntu Paketquellen mit drin.

Automysqlbackup sichert dabei alle vorhandenen Datenbanken einzeln in täglichen, wöchentlichen und monatlichen Backups übersichtlich in einzelnen Unterordnern.

Ein einfaches

aptitude install automysqlbackup

installiert es. Die Konfiguration findet man unter

/etc/default/automysqlbackup

und sobald die wichtigsten Einstellungen wie “BACKUPDIR” eingerichtet sind läuft das Script auch schon. Dabei sichert automysqlbackup nun täglich alle Datenbanken. Die Backups werden dann weiter in wöchentlichen und Monatlichen Backup-Verzeichnissen rotiert.

Das Script läuft täglich und wird über cron.daily gesteuert.

Geschrieben am von & gespeichert unter Allgemein.

Backup backup backup! Leute macht Backups!
Ich kann es nicht oft genug sagen

while [ true ] ; do
echo “Macht Backups!!!”
done

So das sollte jetzt genug sein ;)

Warum dieser Post?

1. Ich halte es für einen ganz guten Einstieg in das neue Jahr um locker wieder mit dem Bloggen anzufangen und ein sehr wichtiges Thema anzuschneiden.
2. Zwischen den Jahren ist dazu eine menge passiert, dazu jetzt mehr

Eigentlich war dieses Jahr zwischen den Jahren eher Urlaub geplant, etwas entspannen und zwischen durch in der Firma die Sachen machen zu denen man sonnst nicht kommt. Die Feiertage lagen dieses Jahr so gut, dass grade unsere großen Kunden fast alle geschlossen hatten oder nicht wirklich gearbeitet haben.

Doch es die ruhe zwischen den Jahren war trügerisch…

Fall 1

Server im Rechenzentrum meldet sich mit “A Fail event had been detected on md device /dev/md/1″ alles klar. Festplatte im Arsch, kein Thema ist ja Raid1 und ich habe Backups! Plattentausch um RZ organisiert und Rebuild gestartet.

Kurz darauf musste ja – während des Rebuild – Platte 2 des gleichen Servers den Geist aufgeben (konnte wohl nicht verkraften das sein langjähriger Kumpel vor ein paar stunden entfernt wurde und hat sich gleich mit aufgehängt)

… alles weitere könnt ihr euch ja bestimmt denken.

Zum Glück hatte ich Backups und der Server war in wenigen Stunden wieder der alte.

Fall 2 (… 2 Tage später)

Mitarbeiter von Firma xyz ruft an:

Mitarbeiter: Hey, sorry das ich jetzt anrufe. Aber ich brauch mal dringend deine Hilfe…. ich habe schon Stunden mit dem Apple Support Telefoniert und keiner kann mir helfen.
Ich: Was ist passiert?
Mitarbeiter: Mein privates MacBookPro startet nicht mehr und laut Apple ist die Festplatte defekt. Ich habe hier wichtige Daten drauf an denen ich schon seit Monaten Arbeite und die Daten liegen nicht auf dem Server … (omfg! Ich ahne es ja schon) … und das Projekt muss in 2 Wochen abgegeben werden.
Ich: Hast du ein Backup von deinem Laptop?
Mitarbeiter: Nein
Ich: … (kurze pause, Luft holen und ruhig bleiben) … nicht gut.
Mitarbeiter: Kannst du mir helfen
Ich: … (tief einatmen) … eigentlich nicht
Mitarbeiter: Es ist echt dringend, wir haben sonst ein echt großes Problem.
Ich: … (tief einatmen) … na gut, ich versuche es kann aber für nichts garantieren.

Nachdem ich dan den Mitarbeiter über Datenrettungsfirmen und die damit verbundenen Kosten sowie Backups aufgeklärt habe lag das Laptop dann kurzer hand nach den Feiertagen bei uns im Büro.

Ich konnte dann ca. 95% der Daten retten und wiederherstellen… Mitarbeiter war glücklich und erhielt einen Monolog bzgl. Backups von mir.

Fall 3 (… 1 Tag später)

Kunde ruft an: Hey wir haben ein Problem, eine Festplatte ist defekt und die Daten sind echt wichtig! Wir haben kein Backup.

… echt jetzt … schon wieder … ihr wollt mich doch verarschen oder?

Das ende diesen Falles ist wohl ein elektronikschaden an der Festplatte, Daten konnten bisher nicht gerettet werden. Allerdings arbeite ich noch dran… Kunde will keine Professionelle Firma dafür beauftragen. Sollte ich erfolgreich sein poste ich das ganze natürlich.

Man! … was war das den für en Festplattensterben zwischen den Jahren?

Also macht Backups! Und wenn der Sysadmin euch immer wieder fragt ob ihr auch Backups macht schaut nicht so genervt… wir meinen es nur gut mit euch.

 

Adminday die Wiederauferstehung

3 Jahre ist es nun her das hier der letzte Beitrag geschrieben wurde… die Gründe hierfür waren unter anderen diverse private Umstände. Jetzt ist es wieder an der Zeit diesen Blog weiter zu führen. Ich freu mich drauf und bin gespannt was daraus wird.

Seit meinem letzten Beitrag über die Verabschiedung von Apple aus dem Serverbereich ist viel passiert… Ich bin Apple immer noch treu geblieben, jedoch nur auf dem Desktop. Im Serverbereich bin ich wieder stark zu Linux gewandert, teilweise auch zu FreeBSD & co. . Das ganze wird dann auch hier im Blog Themenschwerpunkt.

Gleichzeitig zum wiederauferstehen wird hier auch das Design geändert. Es ist noch nicht final, aber es wird definitiv schlank und minimalistisch gehalten. Der Blog bekommt gleichzeitig eine neue Struktur, die alten Beiträge bleiben noch als Archiv erhalten.

Geschrieben am von & gespeichert unter Archivierte Beiträge.

Einige haben es schon geahnt, andere wollten es nicht war haben und ich bin scheiß sauer.

Wie ich eben feststellen musste wird Apple keine Professionelle Serverlösung mehr für Unternehmen anbieten. Der Apple Xserve wir nun endgültig eingedampft.

Das beweist nun vielmehr das sich Apple eher im Consumer Bereich sieht und die Frage ist wie lange noch OS X Server entwickelt wird.

Das MacPro Rechner oft leistungsfähiger als ein Xserve waren mag sein, allerdings ist ein MacPro definitiv nicht für einen Serverschrank / Serverräume geeignet.

Für meinen Teil ist das ein herber Rückschlag als Apple Systemadministrator und IT Verantwortlicher.

Ich werde mir wohl nun in den kommenden Wochen und Monaten Gedanken machen müssen wo es mich nun hinführt… Apple wird für mich wohl nur noch als Desktop / Consumer Produkt in frage kommen.

Ich denke es wird mich nun wieder deutlich mehr in Richtung Linux ziehen, sowohl im Professionellen als auch im Privaten Bereich, da ich nicht mehr weis wie es mit Apple in zukunft weitergeht und mir das ganze für meine berufliche Laufbahn zu heikel ist sich Bedingunglos einem Unternehmen zu unterwerfen.

Ob und wie ich diesen Blog noch weiter führe bleibt abzuwarten, es war ja eh etwas lau in letzter Zeit ;)

Das hat man davon wenn man sich so sehr an ein Unternehmen bindet welches mittlerweile in meinen Augen schlimmer ist als diejenigen sind die man als “Böse Monopolisten die machen was sie wollen” beschimpfte…

Bye bye Apple

ps.: fidel hats wohl geahnt ;)

Geschrieben am von & gespeichert unter Archivierte Beiträge.

Lang ist es her das ich im lokalen Netz einen Debian Webserver eingerichtet habe, ich habe ihn genau so eingerichtet wie alle die Server die im Rechenzentrum stehen und wunderte mich warum Exim4 meine Mails nicht an unseren internen Mailserver senden wollte.

Der Mailer Daemon meldete nur

Mail delivery failed: returning message to sender
all relevant MX records point to non-existent hosts

Der Debian Server selbst löst die MX Einträge korrekt auf und der Mailserver ist auch unter den einträgen erreichbar.

Weiterlesen »

Geschrieben am von & gespeichert unter Archivierte Beiträge.

Jedes System welches ich neu aufsetzte (egal ob Privat oder in der Firma) bekommt von mir mindestens 2 Standard User Accounts. Einmal einen Admin User und dann der User selbst. Bei mobilen Clients gibt es dann oft noch einen 2ten mobilen Admin User (Grund hierfür wäre zu lange zum erklären).

Damit allerdings im Anmeldefenster nicht all diese Admin Accounts rumlungern sondern nur der User Account angezeigt wird, gibt es bei OS X zwei Wege.

Auch normale User Accounts können über das Terminal versteckt werden.

Weiterlesen »