Pascals IT-Blog - Linux

GRUB aus einem Live-System heraus installieren

nospam@example.com (Pascal Uhlmann) — Tue, 05 Jun 2012 23:50:00 +0200

Will man ein Linux-System auf eine andere Hardware übertragen, muss man im Normalfall natürlich auch den Bootloader neu installieren. Eine Vorgehensweise bei Verwendung von GRUB Legacy als Bootloader, die eigentlich immer funktioniert, ist folgende:

Zuerst das System mit einer Linux basierten Live-CD (z.B.Knoppix) booten.
Dann eine Konsole öffen und zum Benutzer root wechseln. Dies ist üblicherweise mittels sudo su möglich.
Als nächstes die entsprechende Partition mounten:
mount /dev/sda1 /mnt
Dann die virtuellen Verzeichnisse /dev, /proc und /sys des Live-Systems in diese einbinden:
mount --bind /dev /mnt/dev
mount --bind /proc /mnt/proc
mount --bind /sys /mnt/sys
Nun kann man die gemountete Partition als Root-Verzeichnis verwenden:
chroot /mnt
Der letzte Schritt ist nun noch die eigentliche Installation von GRUB:
grub-install /dev/sda

Die Bezeichnungen der Festplatten (hier: sda) bzw. Partitionen (hier: sda1) können natürlich gegebenenfalls anders lauten, als in diesem Beispiel.

Fehlermeldung auf Linux-Server: error retrieving current directory

nospam@example.com (Pascal Uhlmann) — Wed, 11 May 2011 22:33:00 +0200

Als ich heute auf einem Linux-Webserver nach dem Löschen eines virtuellen Hosts die Apache-Konfiguration mittels /etc/init.d/apache2 reload neu laden wollte, wurde eine Fehlermeldung ausgegeben, die mir bis dato noch nie begegnet war:

shell-init: error retrieving current directory: getcwd: cannot access parent directories: No such file or directory

Diese besagt, dass innerhalb des ausgeführte Befehls (hier das Init-Skript von Apache2) das aktuelle Arbeitsverzeichnis nicht ermittelt werden konnte. Allerdings konnte ich mir zuerst nicht erklären, was die Ursache dafür sein konnte. Doch dann stellte ich fest, dass ich mich noch im DocumentRoot des zuvor gelöschten Hosts befand, welches ich im Zuge dessen natürlich ebenfalls gelöscht hatte. Da das Verzeichnis somit gar nicht mehr existiert, kann dieses natürlich auch kein gültiges Arbeitsverzeichnis mehr sein.
Wenn einem diese oder eine ähnliche Fehlermeldung zukünftig begegnen sollte, sollte man also zuerst einmal prüfen, ob das Verzeichnis, in dem man sich gerade befindet, tatsächlich existiert und für das System auch verfügbar ist.

Bridge-Firewall mit IPv4 und IPv6 unter Ubuntu 10.04 LTS

nospam@example.com (Pascal Uhlmann) — Sat, 12 Mar 2011 13:36:00 +0100

Einleitung

Wenn man Server oder ähnliche Systeme betreibt, auf die aus dem Internet zugegriffen werden kann, so möchte man diese natürlich auch vor Angriffen schützen. Die beste Lösung hierfür ist natürlich eine professionelle Firewall, die neben einem einfachen Paketfilter auch ein Intrusion Prevention System bereitstellt, mit dem selbst sehr komplexe Angriffe erkannt und geblockt werden können. Diese sind jedoch meist sehr teuer, so dass dies manchmal den finanziellen Rahmen sprengt. Da diese üblicherweise einzelne DMZs mit unterschiedlichen IP-Netzen verwenden, ist eine nachträgliche Einbindung in die Kommunikation meist mit mehr oder weniger umfangreichen Netzwerk-Umstrukturierungen verbunden.
Es gibt jedoch eine Alternative, die zwar einen geringeren Funktionsumfang bietet, dafür jedoch wesentlich günstiger ist und einfacher in ein bestehendes Netzwerk integriert werden kann: Eine Bridge-Firewall Diese Art von Firewall arbeitet transparent, wodurch sie einerseits ohne Anpassung des Netzwerks in einen Kommunikationsweg eingefügt werden kann. Zudem ist sie für keinen der Kommunikationspartner sichtbar, da sie den Datenstrom nur mitliest und (außer durch das Firewall-Regelwerk) nicht beeinflusst. Dieses Regelwerk besteht dagegen nur aus einem einfachen Paketfilter, mit dem eine Prüfung des Datenstroms nur anhand von Parametern der verwendeten Netzwerk-Protokolle möglich ist (z.B. IP-Adresse). Richtet man diese jedoch so ein, dass alles, was nicht explizit erlaubt ist, geblockt wird, so lassen sich allein dadurch bereits viele Angriffe von vornherein verhindern.
In nachfolgenden Anleitung wird nun erklärt, wie man selbst eine solche Bridge-Firewall mit Unterstützung von IPv4 und IPv6 unter Ubuntu 10.04 LTS erstellen kann und was dazu benötigt wird. Mit anderen Linux-Distributionen sollte es jedoch ähnlich möglich sein, so dass diese Anleitung prinzipiell natürlich auch für diese gilt.

"Bridge-Firewall mit IPv4 und IPv6 unter Ubuntu 10.04 LTS" vollständig lesen

Download-Problem mit MS-Office-Dokumenten im neuen Dateiformat mit Apache2

nospam@example.com (Pascal Uhlmann) — Wed, 19 Jan 2011 00:22:00 +0100

Seit Microsoft Office 2007 werden die Dokumente im neuen Dateiformat Office Open XML gespeichert. Bietet man diese auf einem Webserver, der mit Apache2 und Debian Lenny betrieben wird, zum Download an, werden diese von manchen Browsern (z.B. Internet Explorer) fälschlicherweise als Zip-Datei interpretiert. Dies liegt daran, dass der Webserver dieses Format nicht kennt und daher einen falschen MIME-Type (text/plain statt beispielsweise application/vnd.openxmlformats-officedocument.wordprocessingml.document) im Content-Type-Header einfügt. Da es sich bei dem Dateiformat an sich eigentlich tatsächlich um eine Zip-Datei handelt, erkennen dies manche Browser leider auch als solche. Dies lässt sich jedoch mit ein paar Anpassungen beheben.

"Download-Problem mit MS-Office-Dokumenten im neuen Dateiformat mit Apache2" vollständig lesen

Mailversand in PHP-Skripts für virtuellen Host unterbinden

nospam@example.com (Pascal Uhlmann) — Sat, 27 Mar 2010 00:06:00 +0100

Heute musste ich auf einem Webserver bei einem virtuellen Host den Mailversand über die mail()-Funktion von PHP unterbinden. Normalerweise hätte ich nun in der php.ini die Funktion in die Konfigurationsoption disable_functions eingetragen. Da die php.ini auf diesem Server jedoch für alle virtuellen Hosts gilt und diese Einschränkung somit alle Kunden betroffen hätte, schied diese Möglichkeit aus.

Daher habe ich versucht, diese Konfigurationsoption in der VirtualHost-Konfiguration mittels php_admin_value zu setzen. Leider hatte dies jedoch keine Auswirkungen. Wie ich später dann in der PHP-Dokumentation herausgefunden habe, lässt sich diese Option ausschließlich in der php.ini einstellen.

Nach kurzer Überlegung kam mir dann doch noch die rettende Idee: Über die Option sendmail_path lässt sich der Pfad von sendmail einstellen. Gibt man hierfür dann das Nulldevice an, landet die Mail im Nirgendwo.

php_admin_value sendmail_path "/dev/null"

Zugegeben, es ist keine schöne Lösung, aber in diesem Fall vermutlich die einzig mögliche.

PHP kann eAccelerator-Modul nicht laden

nospam@example.com (Pascal Uhlmann) — Wed, 24 Mar 2010 22:53:00 +0100

Nachdem bei einem Linux-Webserver kürzlich Updates u.a. für PHP5 installiert wurden, ließ sich Apache anschließend nicht mehr starten. Im error.log war dazu folgendes zu finden:

PHP Warning: [eAccelerator] This build of "eAccelerator" was compiled for PHP version 5.2.6-1+lenny4. Rebuild it for your PHP version (5.2.6-1+lenny6) or download precompiled binaries.\n in Unknown on line 0
PHP Fatal error: Unable to start eAccelerator module in Unknown on line 0

Das ist an sich normal, da auf diesem Server eAccelerator im Einsatz ist und dieser für jede PHP-Version individuell kompiliert werden muss. Da es zudem eine neue Version von eAccelerator gab, wurde diese beim Neukompilieren verwendet.
Nachdem dies erfolgreich abgeschlossen war, ließ sich Apache jedoch noch immer nicht starten. Doch diesmal war die Fehlermeldung eine andere:

eAccelerator: Could not allocate 67108864 bytes, the maximum size the kernel allows is 33554432 bytes. Lower the amount of memory request or increase the limit in /proc/sys/kernel/shmmax.
PHP Warning: [eAccelerator] Can not create shared memory area in Unknown on line 0
PHP Fatal error: Unable to start eAccelerator module in Unknown on line 0

"PHP kann eAccelerator-Modul nicht laden" vollständig lesen

dpkg: Fehler beim Parsen, in Datei »/var/lib/dpkg/available«

nospam@example.com (Pascal Uhlmann) — Tue, 05 Jan 2010 00:34:00 +0100

Heute gab es für Ubuntu 9.10 Karmic Koala ein Update des Pakets "libpq5". Bei der Installation des Updates lief zuerst alles wie gewohnt. Dann bekam ich jedoch unerwartet folgende Fehlermeldung angezeigt:

dpkg: Fehler beim Parsen, in Datei »/var/lib/dpkg/available« nahe Zeile 11131 Paket »modutils«:
Fehler in Versionszeichenkette »524288:«: nichts hinter Doppelpunkt in Versionsnummer

Das englische Pendant hierzu lautet:

dpkg: parse error, in file »/var/lib/dpkg/available« near line 11131 package »modutils«:
error in Version string »524288:«: nothing after colon in version number

Das Problem trat auch bei einem nochmaligen Versuch, das Update zu installieren, auf. Lösen ließ es sich schließlich durch das Ausführen der folgenden Befehle:

# Löschen der existierenden Informationen darüber, welche Pakete verfügbar sind
dpkg --clear-avail

# Erneutes Konfigurieren des Pakets "apt"
dpkg-reconfigure apt

Shell-History nicht speichern

nospam@example.com (Pascal Uhlmann) — Wed, 04 Nov 2009 23:38:00 +0100

Normalerweise werden die in einer Linux-Shell ausgeführten Befehle unter ~/.bash_history o.ä. dauerhaft gespeichert. Manchmal gibt es aber auch Gründe dafür, dies zu unterbinden (z.B. Sicherheit oder Datenschutz). Wie so oft, gibt es auch hierfür viele Möglichkeiten. Ich werde im Folgenden daher nur auf zwei davon eingehen.
"Shell-History nicht speichern" vollständig lesen

Crontab-Dateien sichern und wiederherstellen

nospam@example.com (Pascal Uhlmann) — Mon, 20 Jul 2009 17:11:00 +0200

Sicher ist es dem einen oder anderen schon einmal passiert: Man hat über crontab -e Cronjobs definiert und möchte an diesen etwas ändern. Nach der Änderung stellt man fest, dass es nicht so funktioniert, und möchte die Änderungen rückgängig machen. Unglücklicherweise hat man aber so viel geändert, dass man nicht mehr genau weiß, wie es davor war.
Aber zum Glück macht man ja regelmäßige Backups des Systems, weshalb die alte Version ja noch nicht ganz verloren sein dürfte. Doch dann stellt sich die Frage, wo die so definierten Cronjobs im Dateisystem abgelegt werden.
Die Antwort hierzu ist jedoch ganz einfach: Im Verzeichnis /var/spool/cron/crontabs/ gibt es für jeden User eine Datei, in der dessen Cronjobs hinterlegt sind. Stellt man die betreffende Datei dann aus dem Backup wieder her, so sind die Cronjobs wieder auf dem Stand vor den Änderungen.

Mehrfach vergebene Partitions-UUID

nospam@example.com (Pascal Uhlmann) — Sat, 09 May 2009 16:25:51 +0200

Unter Ubuntu und anderen Linux-Distributionen werden für die Identifizierung von Festplatten-Partitionen mittlerweile meist so genannte UUIDs verwendet. Da dabei jeder Partition eine (zumindest theoretisch) eindeutige ID zugewiesen wird, vereinfacht dies oft die Arbeit. Dies macht sich insbesondere dann bemerkbar, wenn man Änderungen an der Hardware vornimmt, da UUIDs im Gegensatz zum herkömlichen Bezeichnung (z.B. /dev/sda3) stets gleich bleiben.

Doch so groß der Vorteil von UUIDs ist, so leicht kann es damit auch zu Problemen kommen. Vor einem Upgrade von Ubuntu 8.10 auf 9.04 wollte ich zur Sicherheit meine System-Partition duplizieren. Mittels dd war dies einfach und ohne Probleme möglich. Nach dem Upgrade wurde jedoch plötzlich wieder das alte System gestartet, obwohl diese Partition im Dateisystem nirgendwo gemountet oder im GRUB hinterlegt war. Nach langer Fehlersuche bin ich schließlich darauf gekommen, dass beim Kopieren der Partition auch deren UUID mitkopiert wurde, so dass ich zwei Partitionen mit der gleichen UUID hatte. Das musste natürlich unweigerlich zu Problemen führen.

Lösen lässt sich dies, indem man für eine der beiden Partitionen eine neue UUID vergibt. Dies kann mittels tune2fs folgendermaßen gemacht werden:

tune2fs -U random [Partition]

# Beispiel:
tune2fs -U random /dev/sda3

Dadurch gibt es die bisher doppelt vergebene UUID nur noch einmal, so dass das bisherige Fehlverhalten nicht mehr auftritt.

Startskripte bequem zu den einzelnen Runlevels hinzufügen

nospam@example.com (Pascal Uhlmann) — Sat, 18 Apr 2009 12:13:00 +0200

Wenn man auf einem Linux-System beispielsweise ein eigenes Startscript erstellt hat, das beim Systemstart automatisch ausgeführt werden soll, legt man dieses typischerweise unter /etc/init.d/ ab. Allein dadurch wird es natürlich noch nicht automatisch ausgeführt. Dazu muss noch in den entsprechenden Verzeichnissen der verschiedenen Runlevels ein symbolischer Link angelegt werden.
"Startskripte bequem zu den einzelnen Runlevels hinzufügen" vollständig lesen

Apache-Weiterleitung mittels RedirectMatch

nospam@example.com (Pascal Uhlmann) — Sat, 06 Dec 2008 13:41:30 +0100

Wenn in meinem Blog ein Kommentar zu einem Eintrag geschrieben wird, werde ich über diesen per E-Mail benachrichtigt und muss diesen erst manuell freischalten. Dazu gibt es in der Benachrichtigung entsprechende Links, über die der jeweilige Kommentar direkt freigeschalten bzw. gelöscht werden kann.

Seitdem ich meine Admin-Oberfläche über HTTPS aufrufe, habe ich dabei jedoch das Problem, dass die Links nicht mehr funktionieren, da diese mit http:// angegeben sind. Also musste ich den Link bisher immer korrigieren. Da ich das aber ziemlich umständlich finde, habe ich nach einer Lösung gesucht und bin dabei auch schnell fündig geworden.

"Apache-Weiterleitung mittels RedirectMatch" vollständig lesen

Probleme mit NetworkManager unter Ubuntu 8.10

nospam@example.com (Pascal Uhlmann) — Wed, 12 Nov 2008 09:15:43 +0100

In der aktuellen Ubuntu-Version ist nun Version 0.7 des NetworkManagers enthalten, in der einige Verbesserungen vor allem in Bezug auf die Konfiguration von VPN- und Mobilfunk-Verbindungen vorgenommen wurden.
Trotz der komfortablen Handhabung scheint es bezüglich der Konfiguration von Netzwerkverbindungen aber auch noch ein paar Probleme damit zu geben. Wie in meinem Blog-Eintrag zu VPN unter Ubuntu 8.10 bereits erwähnt, funktioniert die Konfiguration der Netzwerkverbindungen nicht einwandfrei. Der darin angesprochene Lösungsweg hierfür scheint jedoch nicht immer zu funktionieren. Daher will ich noch einen weiteren aufzeigen, der bei mir bisher auf allen Systemen funktioniert hat.

"Probleme mit NetworkManager unter Ubuntu 8.10" vollständig lesen

Greylisting mit Postfix

nospam@example.com (Pascal Uhlmann) — Tue, 11 Nov 2008 16:17:10 +0100

Aufgrund des immer größer werdenden Spam-Aufkommens gibt es mittlerweile auch einige Gegenmaßnahmen, derartige Mails zu bekämpfen. Neben Black- / Whitelisting, Content-Analyse, etc. gibt es seit einiger Zeit auch noch Greylisting, was sich als relativ einfache aber besonders effektive Abwehrtechnik herausgestellt hat. Dabei werden E-Mails beim ersten Zustellversuch pauschal einmalig abgelehnt. Erst wenn nochmal versucht wird, die Mail zuzustellen, wird diese angenommen.

So wurde Greylisting mittlerweile in viele Mail-Systeme integriert, was die Anwendung dessen ziemlich erleichtert. Auf Greylisting.org gibt es eine Liste von MTAs, für die es bereits entsprechende Implementierungen gibt.

Im Folgenden werde ich nun erklären, wie dies für Postfix problemlos eingerichtet werden kann:

"Greylisting mit Postfix" vollständig lesen

Probleme mit VPN-Verbindung unter Ubuntu 8.10

nospam@example.com (Pascal Uhlmann) — Thu, 06 Nov 2008 20:44:48 +0100

Nachdem ich das neue Ubuntu Intrepid Ibex gleich am Tag der Veröffentlichung per Upgrade installiert hatte, wollte ich auch sofort testen, ob die Unterstützung für VPN-Verbindungen (in meinem Fall PPTP) verbessert wurde. Bis einschließlich Ubuntu Hardy Heron war es so, dass nur dann eine VPN-Verbindung aufgebaut werden konnte, wenn der Rechner seine Netzwerk-Einstellungen per DHCP bezieht.

"Probleme mit VPN-Verbindung unter Ubuntu 8.10" vollständig lesen