Linux – Seite 4 – KOKOLOR.ES

XFCE4: Lock screen after Lid Switch

26. Juli 2015 by Sebastian Leave a Comment

Letzte Woche musste mein mir Jahre lang treues Netbook, ein Asus EeePC R051PX, in den Ruhestand gehen und wurde nun durch ein Lenovo X220 ersetzt. Erster Akt natürlich, Linux installieren – also Debian mit XFCE um genau zu sein.
Mir fiel jetzt die Tage etwas unangenehm auf, dass nachdem ich den Deckel geschlossen habe das Gerät in Standby geht, beim Aufwachen allerdings der Bildschirm nicht gesperrt ist. Also nochmal alle Einstellungen in der Energieverwaltung angeschaut, alles richtig. Auch der entsprechende Haken unter Sitzung und Startverhalten > Advanced > Bildschirm vor dem Versetzen in den Energiesparmodus sperren war gesetzt. Zusätzlich habe ich die gesetzten Einstellungen nochmal auf der Konsole mit dem Tool xfconf-query überprüft und hier dann auch die Lösung gefunden:
logind-handle-lid-switch war auf True gesetzt, allerdings ist unter /etc/systemd/logind.conf überhaupt nichts in der Richtung konfiguriert. Also habe ich die Option, wie folgt, auf False gesetzt:

xfconf-query -c xfce4-power-manager -p /xfce4-power-manager/logind-handle-lid-switch -s false

Danach funktioniert es so wie es sollte.

pgAdmin III: Passwort expired nach Bearbeiten von Login Rollen

25. Juni 2015 by Sebastian Leave a Comment

Mein Kollege und ich waren heute extrem verwirrt. Er wollte mir einen Benutzer in postgres Datenbank anlegen und tat dies auch. Gleichzeitig änderte er bei sich noch eine der Privilegien, danach stürzte bei ihm pgAdmin ab. Keine Seltenheit, nun kam aber der kuriose, er konnte sich nicht mehr einloggen, Grund: keiner. Dann loggte er sich mit meinem User ein, änderte auch hier ein Privileg und schon konnte ich mir auch nicht mehr einloggen. Beim connecten mal auf SSL require gestellt und nun bekamen wir die Meldung das das Passwort falsch ist. Also Passwort in der Datenbank auf der Console geändert, kein Login möglich. Auf der Console fiel uns dann irgendwann mal auf, das unsere Accounts plötzlich auf „Expired“ gestellt sind. Also das wieder Rückgängig gemacht, und schon ging es wieder.
Dann änderten wir in pgAdmin nochmal die Privilegien, und siehe da, er stellt sofort beim speichern das Expiry Date auf den heutigen Tag. Grund dafür ist, das sobald die Properties eines Logins geöffnet werden, pgAdmin in dem Reiter Definition das Expiry Date auf den aktuellen Tag setzt, ohne darüber einen Hinweis einzublenden.

Heißt, wenn ihr mit pgAdmin eine Benutzer bearbeitet, denkt daran das Expiry Date im Reiter Definition zu checken und gegebenfalls zu löschen.

pgAdmin II Version: 1.18.1
Ubuntu Version: 14.04

Laut Changelog auf der pgAdmin Seite wurde das in Version 1.18.2 gefixt, scheinbar aber nur für Mac:
2013-10-22 DP 1.18.2 Fix the handling of the „Valid Until“ date/time on the
role dialogue on Mac [Dinesh Kumar].

zabbix-check-smart: S.M.A.R.T. HDD Monitoring mit Zabbix

28. Mai 2015 by Sebastian 4 Comments

Ich setze schon seit vielen Jahren beruflich sowie privat beim Überwachen von Servern auf Zabbix. In diesem Zusammenhang musste ich mich auch das erste mal richtig mit Bash beschäftigen um diverse Skripts zu schreiben, die Dinge überwachen die Zabbix von Haus aus nicht mitbringt. Da es bei einer größeren Infrastruktur allerdings nervigen werden kann, sowas immer von Hand auf die Server zu legen, habe ich mich irgendwann entschieden Pakete daraus zu bauen. Die Skripts, bzw. Pakete, die auch allen anderen von nutzen sein können, werden ich und mein ehemaliger Kollege Christoph auch öffentlich in einem Repository zur Verfügung stellen. Da wir beide meist auch noch ältere Server, mit älteren Debian oder Ubuntu Versionen verwalten, sind die meisten Skripts auch darauf nutzbar. Wenn ihr Bugs bemerkt oder Fragen habt, kontaktiert einfach denjenigen von uns, welcher das Pakete erstellt hat. Die XML Templates zum importieren ins Frontend liegen dabei immer unter /usr/share/doc/{package_name}/

So nun zum eigentlichen Teil, dem Paket um S.M.A.R.T. Werte (RAW und VALUE) eines Servers auszulesen und diese in Zabbix darstellen zu lassen. Geschrieben habe ich es in Python, mit ein paar Hilfestellungen eines Kollegen, da dies so zu sagen meine ersten Gehversuche in Python sind. Bestehen tut das ganze aus zwei Skripten, einem Discovery Skript, welches die verbauten Platten für die Discovery Rule im Frontend erfasst und dem Skript welches der Agent aufruft und die Werte abzufragen.
Installieren könnt ihr das Paket, nachdem ihr das Repository hinzugefügt habt, via:

apt-get install zabbix-check-smart

Bei der Installation wird direkt geschaut ob SMART auch auf den Platten aktiviert ist, wenn nicht wird es aktiviert. Danach einfach das Template zum Frontend hinzufügen. In diesem sind ein paar Abfragen integriert, die mir jetzt erstmal wichtig waren. Ihr könnt im Grunde jeden SMART Wert damit, als RAW_VALUE oder VALUE abfragen. Will man RAW_VALUE Werte bekommen muss der Key z.B. so aussehen:

smart.raw[{#HDD},Current_Pending_Sector]

Für VALUE Werte z.B. so:

smart.value[{#HDD},Raw_Read_Error_Rate]

Update zum Artikel Redmine aus dem PPA unter Ubuntu 14.04 installieren

8. Mai 2015 by Sebastian Leave a Comment

Ich habe gestern festgestellt das es bei Ubuntu 14.04.2 während der Installation von redmine-mysql zu einem Fehler kommt, weil während der Installation der activerecord-mysql-adapter noch nicht installiert ist. Die Meldung sieht dann so aus:

rake aborted!
Please install the mysql adapter: `gem install activerecord-mysql-adapter` (cannot load such file -- mysql)

Wenn ihr nun aber versucht das Gem zu installieren werdet ihr mit einem Error abgespeist, der in etwa so aussieht:

Building native extensions.  This could take a while...
ERROR:  Error installing activerecord-mysql-adapter:
	ERROR: Failed to build gem native extension.

        /usr/bin/ruby1.9.1 extconf.rb
/usr/lib/ruby/1.9.1/rubygems/custom_require.rb:36:in `require': cannot load such file -- mkmf (LoadError)
	from /usr/lib/ruby/1.9.1/rubygems/custom_require.rb:36:in `require'
	from extconf.rb:5:in `'


Gem files will remain installed in /var/lib/gems/1.9.1/gems/mysql-2.9.1 for inspection.
Results logged to /var/lib/gems/1.9.1/gems/mysql-2.9.1/ext/mysql_api/gem_make.out

Und zwar benötigt ihr zum Gem installieren das Paket ruby1.9.1-dev. Neben diesem müsst ihr noch make und libmysqlclient-dev installieren sonst lauft ihr direkt in die nächsten Error Meldungen:

apt-get install ruby1.9.1-dev make libmysqlclient-dev

Danach könnt ihr nun wie in der ersten Meldung beschrieben das Gem mittels

gem install activerecord-mysql-adapter

installieren. Danach könnt ihr, wie in meiner Anleitung beschrieben, weiter machen.

Sign PGP Key mit Enigmail in Thunderbird

14. April 2015 by Sebastian 5 Comments

Mir wurde vor ein paar Wochen, auf der ALUG, das unterschreiben meines PGP Keys mit Enigmail gezeigt und erklärt. Ich dachte mir erstmal, „Ohje kann ich mir das merken“, denn einfach ist anders. Auch habe ich dann in den letzten Wochen von einigen gehört „Warum macht man das?“, „Wie geht das?“ und „Man, das kann sich ja keine merken!“ und so wurde ich gebeten dazu doch mal einen Artikel, bzw. eine Anleitung zu schreiben, was ich dann hiermit mal mache.

Warum macht man das?
Wozu muss/sollte denn ein PGP Key überhaupt unterschrieben werden? Hier kommt die Idee des Web of Trust ins Spiel, auf welcher PGP basiert. Es gibt keine zentrale Zertifizierungsstelle, sondern das Vertrauen wird von den Benutzern selbst verwaltet, indem diese sich, mit der Unterschrift des Schlüssels, untereinander bestätigen, „Ja, der Schlüssel gehört dem Typen“. Dadurch ist es Dritten möglich die Authentizität des Schlüssels einzuschätzen.
Beispiel: Christoph will sich mit mir verschlüsselt unterhalten und bezieht meinen Public Key von einem Keyserver. Nun kann er sich aber nicht zu hundert Prozent sicher sein, dass das wirklich mein Public Key ist, denn ihm könnte ja auch ein anderer untergeschoben wurden sein, da man meist auf Keyservern nur an Hand der Schlüsselkennung sucht, welche nur die letzten 8 Zeichen des gesamten Fingerprints umfasst. Hier kann es bereits zu Kollisionen kommen, wo die Schlüsselkennung zwar die richtige zu sein scheint, der restliche Fingerprint aber ein gänzlich anderer ist. Gezeigt wurde mir dies an Hand von evil32.com, welche für jeden Key des Web of Trust Strongsets bereits einen Kollisionsschüssel gefunden haben. Einen Link wo man nachschauen kann ob sein Schlüssel da auch vertreten ist gibts auf der Seite. So…wo war ich, genau, da Christoph sich nicht sicher sein kann, trifft er sich mit mir auf ALUG und ich weise ihm nach, das ich wirklich der bin der ich zu sein meine. Nachdem er nun meinen Personalien gecheckt hat, lese ich ihm meinen gesamten Fingerprint vor und er vergleicht diesen mit dem den er vom Keyserver bekommen hat. Ist alles cool, unterschreibt er meinen Public Key und lädt ihn auf den Keyserver hoch. Nun will sich Immanuel mit mir verschlüsselt unterhalten und lädt sich meinen Public Key herunter und sieht das dieser bereits von Christoph unterschrieben wurde. Da Immanuel Christoph schon seit Äonen kennt und seinem Urteilsvermögen, was mich belangt, vertraut, kann er auch meinen Public Key vertrauen, den er da ausgeliefert bekommen hat.
Ich hoffe ich konnte das so einigermaßen verständlich rüber bringen und sorry ihr beiden, dass ihr jetzt für mein Beispiel herhalten müsst, aber das war grad das schnellste Szenario was mir einfiel. ;-)

Wie geht das?

Schlüsselverwaltung mit meinen Key’s (Fett) und einem Public Key

Soviel erstmal zur Einführung. Nun erklär ich noch wie ihr einen Public Key mit dem Plugin Enigmail für Thunderbrid unterschreiben könnt. Ich gehe jetzt davon aus das die Leute, die das hier lesen, bereits Enigmail installiert und eingerichtet haben und somit auch einen Schlüsselpaar besitzen, weshalb ich nicht auf die Einrichtung eingehen werde.
Öffnet nun eure Schlüsselverwaltung (Menübutton > Enigmail > Schlüsselverwaltung). Darin sollte nun euer Schlüsselpaar auftauchen, welches Fett geschrieben ist und eventuell schon der Public Key der Person, welchen ihr beglaubigen wollt. Sollte das noch nicht der Fall sein tauscht eure Schlüssel aus, indem ihr euch z.B. gegenseitig eine signierte E-Mail schickt. Kontrolliert nun genau die Personalien der jeweiligen Person und lasst sie euch bestätigen. Also fragt sie nach Geburtsdatum etc. und kontrolliert das auf dem Ausweis und Führerschein. Ist das alles ok gehts nun zum Vergleichen des Fingerprints.

Macht dazu einen Rechtsklick auf den zu signierenden Publickey und öffnet die Schlüsseleigenschaften. Lass dir nun von deinem Gegenüber den Fingerprint vorlesen und vergleiche ihn mit dem was du angezeigt bekommst. Ist alles ok kann der Schlüssel unterschrieben werden.

Key unterschreiben

Dies könnt ihr entweder direkt im selben Fenster, links unten bei Aktion wählen > Unterschreiben, machen oder ihr schließt die Schlüsseleigenschaften, klickt erneut rechts auf dem Public Key und wählt Unterschreiben.
Nun werdet ihr gefragt ob ihr wirklich überprüft hab ob der Key der Person gehört. Dazu habt ihr drei Möglichkeiten zu Auswahl, wozu es allerdings keine festen Regeln gibt was ihr hier wählt. Ich halte mich an die Regeln, von dem der es mir erklärt hat:

„Ich habe es nicht überprüft“ – Sollte gar nicht gewählt werden
„Ich habe es nur einfach überprüft“ – Wähle ich wenn ich nur einen Identitätsnachweis zu Gesicht bekommen habe
„Ich habe es sehr genau überprüft“ – Wähle ich wenn ich zwei Identitätsnachweise gesehen habe

Außerdem gibt es den Punkt Lokal unterschreiben (nicht exportierbar), allerdings kann ich dazu nichts sagen und ich würde mich freuen wenn mich da jemand in den Kommentaren aufklärt, wofür das gut ist. Jedenfalls sollte man es nicht wählen wurde mir mitgeteilt, da das Nicht exportierbar nichts zu sagen hat und der Schlüssel dann dennoch auf den Keyserver geladen werden kann. Die Signatur taucht dann wohl auch im Schlüssel auf, allerdings ohne User ID. Da ich mir hier nicht mehr so sicher bin, bitte ich um Berichtigung falls falsch.

Unterschriften meines Public Keys

So nun habt ihr den Public Key unterschrieben. Mit einem Rechtsklick und Auf Schlüsselserver hochladen… könnt ihr diesen auf einen Keyserver hochladen. Mir wurde allerdings beigebracht, das die schönere Variante ist, den unterschriebenen Public Key der Person zuzusenden, dem er gehört, damit diese ihn selbst hochladen kann. Das ist nochmal eine Art letzte Verifizierung das die Mail auch der Person gehört und außerdem kann dadurch auch umgangen werden das ein, aus versehen, lokal unterschriebener Key hochgeladen wird. Verschicken tut ihr den Public Key mit einem Rechtsklick auf diesen und Öffentlichen Schlüssel per E-Mail senden. Leider fügt Enigmail nicht automatisch die Emailadresse in da An-Feld ein, warum auch immer. Hat euer Gegenüber die E-Mail bekommen, kann er einen Rechtsklick auf den angehängten Key machen und OpenPGP Key importieren. Ist dies geschehen, kann er nun in der Schlüsselverwaltung einen Rechtsklick auf seinen Public Key machen und Unterschriften anzeigen wählen, wo nun deine Unterschrift angezeigt wird. Als letzten Schritt muss er nun den Schlüssel mit einem Rechtsklick und Auf Schlüsselserver hochladen… hochladen. Somit liegt der Key nun unterschrieben auch auf den Keyservern und andere Benutzer sehen an Hand deiner Unterschrift, dass du ihm bereits vertraust. Nun kann er genau so mit deinem Schlüssel verfahren und fertig ist es.

Man, das kann sich ja keine merken!
Wenn man es ein paar mal gemacht hat geht das. Man muss sich nur einpleuen was alles zu beachten ist und alles paranoid überprüfen. Aber wenn ich das z.B. meinen Vater zeige und erkläre, weiß ich das er mir sagen wird das ihm das viel zu kompliziert ist, wo er recht hat. Für die 0815 Anwender ist das zu kompliziert.

Ich hoffe ich konnte es so erklären, das es „jeder“ versteht und durchführen kann. Außerdem hoffe ich, das alles soweit richtig ist und ich keine Fehler oder sogar richtigen Mist geschrieben habe. Sollte es so sein bitte nicht hauen, sondern mich nett darauf hinweisen. ;-)

Pushen von statischen Routen via ISC DHCP Server

26. Februar 2015 by Sebastian 6 Comments

Als ich den DHCP auf Arbeit neu gemacht habe wollte ich ihn direkt ein paar statische Routen pushen lassen. Da das schon eine ganze Weile her ist ist das eher nur ein Nachtrag für mich.

Als erstes müssen zwei Einträge Global in der dhcpd.conf gesetzt werden:

option rfc3442-classless-static-routes code 121 = array of integer 8;
option ms-classless-static-routes code 249 = array of integer 8;

Die zweite Zeile ist für Windows Clients, da Mircrosoft dhcp option 249 statt 121 nutzt. Nun müssen die Optionen noch in das zu definierende Subnet eingetragen werden:

subnet 192.168.17.0 netmask 255.255.255.0 {
        pool
        {
                range 192.168.17.30 192.168.17.199;
        }

        ---andere Optionen---        
        option rfc3442-classless-static-routes 24, 192, 168, 18, 192, 168, 17, 26, 0, 192, 168, 17, 20;
        option ms-classless-static-routes 24, 192, 168, 18, 192, 168, 17, 26, 0, 192, 168, 17, 20;
}

Die Zahlenfolgen in den einzelnen Zeilen sind wie folgt aufzubauen

netmask, netbyte1, netbyte2, netbyte3, routerbyte1, routerbyte1, routerbyte1

Nullen werden nicht mit geschrieben. Also im Grunde heißen die Zeilen in meinem Fall:

192.168.18.0/24 via 192.168.17.26
default via 192.168.17.20

Ich habe in meinem Fall die Default Route direkt dahinter geschrieben (…, 0, 192, 168, 17, 20) und verzichte somit auf die Zeile

option routers

remmina: Unable to connect to RDP server

25. Februar 2015 by Sebastian 1 Comment

Vor ca. einem Monat bekam ich, als ich mich auf einen unserer weniger Windows Server mittels remmina verbinden wollte den Fehler Unable to connect to RDP server some.server.de. Damals war mir das egal da ich auch per ssh auf den Server kam, heute störte mich das aber und ich dachte ich guck mal was da los ist.
Die Einstellungen auf dem Server sollten sich eigentlich im letzten Jahr nicht geändert haben, dennoch mal alles kontrolliert von iptables des Hosts bis hin zur Windows Firewall. Keine Änderungen, es sollte also gehen. Nächster Anlaufpunkt war mein PC. Also remmina mal auf der Konsole gestartet und siehe da:

connected to some.server.de:3389
The host key for some.server.de has changed
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the host key sent by the remote host is
40:cb:0d:80:80:88:07:3b:08:d0:90:7e:c0:aa:47:3e:e1:c8:ad
Please contact your system administrator.
Add correct host key in ~/.freerdp/known_hosts to get rid of this message.
Host key for some.server.de has changed and you have requested strict checking.
Host key verification failed.
SSL_write: Failure in SSL library (protocol error?)
Authentication failure, check credentials.
If credentials are valid, the NTLMSSP implementation may be to blame.

Ah, damit kann man doch schon mehr anfangen. Also alten Eintrag aus .freerdp/known_hosts entfernt und schon kann man sich wieder verbinden.

Hier exisitiert auch schon ein Ticket bei Github, wo beanstandet wird das remmina den genauen Fehler nicht wiedergibt.

Neue Interfacenamen (eth0 / em1) – biosdevname

28. Oktober 2014 by Sebastian 1 Comment

Nachdem ich vor ein paar Tagen Ubuntu 14.04.1 installierte stellte ich zu meinem verwundern fest, das meine Netzwerkinterface plötzlich em1 und em2 hießen. Ubuntu nutzt wohl seit 14.04.1 standardmäßig die Kerneloption biosdevname, welche sich die Informationen zum benennen der Interface direkt aus dem BIOS nimmt. Für die Bezeichnung wird dann systemd Naming Schema genutzt.
Ich seh da für mich derzeit allerdings absolut keinen Vorteil oder Mehrwert drin, sondern eher nur Verwirrung. Für mich reicht die Bezeichnung eth völlig aus und es muss für mich jetzt nicht ersichtlich sein ob es sich dabei um ein virtuelles, embedded oder pci Device handelt. Zum Ausschalten des ganzen also folgendes in die /etc/default/grub eintragen:

GRUB_CMDLINE_LINUX_DEFAULT="biosdevname=0"

Nachgelesen habe ich das ganze bei Redhat.

NTFS Partition mounten obwohl Partitionstabelle defekt ist

14. Oktober 2014 by Sebastian 3 Comments

Auf Arbeit kam mir eine Festplatte unter, worauf relativ wichtige Daten sind. Diese hat allerdings eine defekte Partitionstabelle, was irgendwie das billige USB Dock verursacht haben muss. Jedenfalls war ich da erstmal etwas ratlos wie ich an die Daten kommen sollte, da zeigte mir mein Kollege Dennis wie es in wenigen Schritten möglich ist.

Als erstes muss man raus finden mit welchen HEX Wert der NTFS Bootsektor beginnt. Dies hatten wir hier erstmal in Erfahrung gebracht. Eine NTFS Partition fängt also immer mit „EB 52 90“ an und so konnte man dann auf der Platte mit hexdump danach suchen:

head -n 1000 /dev/sdb | hexdump -C | egrep "eb 52 90"

was, in unserem Fall, folgende Ausgabe ergab:

00006000  eb 52 90 4e 54 46 53 20  20 20 20 00 10 01 00 00  |.R.NTFS    .....|
08005000  eb 52 90 4e 54 46 53 20  20 20 20 00 10 01 00 00  |.R.NTFS    .....|
08100000  eb 52 90 4e 54 46 53 20  20 20 20 00 10 01 00 00  |.R.NTFS    .....|

Es sind also 3 NTFS Partitionen auf der Platte. In dem Fall interessiert uns nur die letzte, denn die erste ist leer und die zweite kaputt. Es scheint sich hier um alte Partitionen zu handeln. Nun muss der HEX String noch in Byte umgewandelt werden:

python -c 'print int("8100000", 16)'

Ausgabe:

135266304

Mit diesem Wert als offset konnte nun die Partition wie folgt gemountet werden:

mount /dev/sdb /mnt -o ro,loop,offset=135266304

Wir haben sie jetzt mal read-only gemountet, nur um sicher zu gehen.

SSH Timeout unterbinden

8. Oktober 2014 by Sebastian 4 Comments

Auf Arbeit werden die SSH Connections immer nach einer gewissen Zeit getrennt, was unglaublich nervig ist wenn man eigentlich zu 98% auf Linux Servern arbeitet und er einfach inaktive Sessions einfach Timeouted. Gestern war so der Höhepunkt erreicht, nachdem ich mit Thunar via SFTP auf einen Server drauf bin und nachdem die Session getrennt wurde sich Thunar und gvfs komplett weghang. Einfach mal schnell ins Manual von ssh_config geschaut und das passende gefunden:

ServerAliveInterval 120