EmanuelDuss.ch.

Eine WPA2 WLAN Verbindung herstellen mit wpa_supplicant

Emanuel Duss — Thu, 26 Jan 2012 16:36:14 +0000

Standardmässig verschlüsselt man heutzutage sein WLAN mit WPA2 PSK. Mit wpa_supplicant kann man sich an diesem WLAN authentifizieren. Die Konfigurationsdatei dafür wird mit wpa_passphrase generiert.

WLAN Netzwerk finden

Zuerst wird das WLAN-Interface aktiviert (in meinem Fall heisst das Interface wlan0):

$ sudo ifconfig wlan0 up

Dann scannt man nach verfügbaren Netzwerken:

$ sudo iwlist wlan0 scan
wlan0 Scan completed :
Cell 01 - Address: 00:19:CB:03:E7:6A
Channel:6
Frequency:2.437 GHz (Channel 6)
Quality=60/70 Signal level=-50 dBm
Encryption key:on
ESSID:"discordia"
Bit Rates:1 Mb/s; 2 Mb/s; 5.5 Mb/s; 6 Mb/s; 9 Mb/s
11 Mb/s; 12 Mb/s; 18 Mb/s
Bit Rates:24 Mb/s; 36 Mb/s; 48 Mb/s; 54 Mb/s
Mode:Master
[...]
IE: IEEE 802.11i/WPA2 Version 1
Group Cipher : CCMP
Pairwise Ciphers (1) : CCMP
Authentication Suites (1) : PSK
[...]
[...]

Wir sehen, das WLAN mit der ESSID discordia ist 802.11i/WPA2 Version 1 PSK verschlüsselt.

Konfiguration generieren

Mit wpa_passphrase kann man die Konfigurationsdatei generieren. Falls man das Passwort nicht als zweiten Parameter angibt, liest wpa_passphrase von STDIN (Tastatureingabe). Am einfachsten schreibt man die Ausgabe direkt in eine Datei:

$ wpa_passphrase discordia | sudo tee /etc/wpa_supplicant.conf.discordia

Nach der Eingabe vom Passwort kann man sich die Konfigurationsdatei anschauen:

$ sudo cat /etc/wpa_supplicant.conf.discordia
# reading passphrase from stdin
network={
ssid="discordia"
#psk="meinpasswort"
psk=129ffd04eefcce833590d91d88b00497584d3feb3d5fd05bc36218b301b978e0
}

Die Kommentar-Zeilen kann man löschen. Diese werden von wpa_supplicant ignoriert. Vor allem das Passwort in Klartext sollte entfernt werden.

Mit dem Netzwerk verbinden

Um wpa_supplicant zu testen, startet man wpa_supplicant im Debugging-Modus:

$ sudo wpa_supplicant -i wlan0 -c /etc/wpa_supplicant.conf.discordia -d

Falls die Verbindung erfolgreich zustande kam, sieht mal folgende Meldung:

[...]
EAPOL authentication completed successfully
[...]

Mit Ctrl-C beendet man die Verbindung.

Funktioniert die Verbindung, kann man wpa_supplicant im Hintergrund als Daemon laufen lassen:

$ sudo wpa_supplicant -i wlan0 -c /etc/wpa_supplicant.conf.discordia -B

Mit ps sieht man gut, dass der wpa_supplicant im Hintergrund läuft:

$ ps -ef | grep [w]pa_supplicant
root 20405 1 0 16:59 ? 00:00:00 wpa_supplicant -i wlan0 -c /etc/wpa_supplicant.conf.discordia -B

Das Tool iwconfig zeigt einem die Verbindung an:

$ iwconfig wlan0
wlan0 IEEE 802.11abgn ESSID:"discordia"
Mode:Managed Frequency:2.437 GHz Access Point: 00:19:CB:03:E7:6A
Bit Rate=54 Mb/s Tx-Power=15 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
Link Quality=49/70 Signal level=-61 dBm
Rx invalid nwid:0 Rx invalid crypt:0 Rx invalid frag:0
Tx excessive retries:1 Invalid misc:30 Missed beacon:0

Netzwerk konfigurieren

Jetzt hat man sich aber erst gegenüger dem Accespoint authentifiziert. Eine Netzwerkkonfiguration vom Interface wlan0 ist noch nicht vorhanden. Mit dhclient kann man sich von einem DHCP-Server die Konfiguration holen:

$ sudo dhclient -v wlan0
Internet Systems Consortium DHCP Client 4.2.3-P2
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/wlan0/58:94:6b:e9:fd:78
Sending on LPF/wlan0/58:94:6b:e9:fd:78
Sending on Socket/fallback
DHCPREQUEST on wlan0 to 255.255.255.255 port 67
DHCPACK from 10.0.0.20
bound to 10.0.0.23 -- renewal in 34113 seconds.

Die Verbindung ins Internet steht:

$ ping -c 3 google.ch
PING google.ch (173.194.35.24) 56(84) bytes of data.
64 bytes from mil01s16-in-f24.1e100.net (173.194.35.24): icmp_req=1 ttl=56 time=29.3 ms
64 bytes from mil01s16-in-f24.1e100.net (173.194.35.24): icmp_req=2 ttl=56 time=30.1 ms
64 bytes from mil01s16-in-f24.1e100.net (173.194.35.24): icmp_req=3 ttl=56 time=28.2 ms

--- google.ch ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 28.252/29.265/30.199/0.821 ms

Die Netzwerkkonfiguration kann man natürlich auch manuell ohne DHCP herstellen.

Verbindung beenden

Wenn man die Verbindung trennen will, kann man den wpa_supplicant beenden:

$ sudo pkill wpa_supplicant

Links und weitere Informationen

Manpage: ifconfig(8)
Manpage: iwconfig(8)
Manpage: iwlist(8)
Manpage: wpa_passphrase:(8)
Manpage: wpa_supplicant(8)
Manpage: dhclient(8)

Arbeiten mit VI: In Register speichern und abrufen

Emanuel Duss — Mon, 21 Nov 2011 21:13:09 +0000

In VI kann man eine oder mehrere Zeilen kopieren oder ausschneiden und diese in Register ablegen. Auf diese Register kann man dann später zugreifen und so den Text wieder einfügen.

Syntax

Die Befehle beginnen mit einem Anführungszeichen (“) gefolgt von einem Buchstaben. Dieser Buchstabe ist der Name vom Register. Danach kommt der eigentliche Befehl von VI.

“add: Löscht die aktuelle Zeile und speichert sie in Buffer “a”
“bY: Kopiert die aktuelle Zeile in den Buffer “b”
“ap: Fügt die gelöschte Zeile aus Buffer “a” ein
“bp: Fügt die kopierte Zeile aus Buffer “b” ein
:registers: Alle Register auflisten

Beispiel

Wir haben folgende drei Zeilen in einer Textdatei:

* Zeile 1: Diese Zeile wird in Register 'a' kopiert.
* Zeile 2: Diese Zeile wird in Register 'b' ausgeschnitten.
* Zeile 3:

Folgende Aktionen werden durchgeführt:

“aY: Die erste Zeile wird in das Register a kopiert.
j: Es wird auf die nächste Zeile gewechselt.
“bdd: Die Zeile wird gelöscht und in Register b gespeichert.
“ap: Der Inhalt vom Register a wird unterhalb eingefügt.
“bp: Der Der Inhalt vom Register b wird unterhalb eingefügt.

Danach sieht der Text so aus:

* Zeile 1: Diese Zeile wird in Register 'a' kopiert.
* Zeile 3:
* Zeile 1: Diese Zeile wird in Register 'a' kopiert.
* Zeile 2: Diese Zeile wird in Register 'b' ausgeschnitten.

Dieses Beispiel erklärt den Einsatz von Registern sehr gut.

Weitere Informationen

VI-Hilfe: :help registers

Arbeiten mit VIM: Dateien in Tabs öffnen

Emanuel Duss — Sun, 23 Oct 2011 19:31:57 +0000

VIM kann Dateien in Tabs darstellen. Dies ist sehr praktisch, wenn man mehrere Files gleichzeitig in einem Fenster bearbeiten und zwischen den einzelnen Dateien hin- und her wechseln will.

Befehle

Folgende Befehle sollte man in VIM kennen, um mit Tabs zu arbeiten:

$ vim -p foo.tex bar.tex : Öffnet die zwei Files foo.tex und bar.tex mit VIM in Tabs
:tabe : Neues File in neuem Tab öffnen
:tabe fnord.tex : File fnord.tex in neuem Tab öffnen
gt : Zum nächsten Tab wechseln
gT : Zum vorhergehenden Tab wechseln
5gt : Gehe zum 5. Tab

Beispiel

Die Dateien /etc/hosts, /etc/resolv.conf und /etc/rc.local kann VIM in Tabs folgendermassen öffnen:

$ vim -p /etc/hosts /etc/resolv.conf /etc/rc.local

Mit :tabe erstellt man eine neue leere Datei. Das sieht danach folgendermassen aus:

Weitere Informationen

Hilfe in VIM über Tabs: :help tabs

Arbeiten mit VIM: Befehle aufzeichnen und abspielen (Recording)

Emanuel Duss — Mon, 10 Oct 2011 17:01:41 +0000

In VIM kann man Tastatureingaben aufzeichnen und später wieder abspielen. So kann man Abläufe, welche man in einer Datei mehrmals durchführen muss, schnell und einfach automatisieren. Damit kann man sich Arbeiten sehr erleichtern!

Syntax

qx: Beginnt eine neue Aufnahme und speichert diese ins Register x
q: Beendet die aktuelle Aufnahme
@x: Führt die Befehle vom Register x aus
@@: Führt die Befehle vom zuletzt ausgeführten Register aus

Dabei steht x für den Registernamen, welcher die Werte [0-9a-z] haben darf.

Beispiel

Wir haben folgende zwei Zeilen in VIM, welche wir unterstreichen möchten:

Das ist ein Titel

Das ist auch ein Titel

Der erste Titel wird jetzt unterstrichen, wobei wir gleichzeitig die Befehle in das Register a speichern.

qa: Neue Aufnahme starten und in Register a speichern
Yp: Zeile kopieren und darunter einfügen
Vr-: Alle Zeichen der Zeile markieren und durch - ersetzen
o: Neue Zeile unterhalb einfügen und in Normal-Mode wechseln
q: Aufnahme beenden

Das erzeugt folgendes Ergebnis:

Das ist ein Titel
-----------------

Das ist auch ein Titel

Jetzt kann man auf den zweiten Titel springen und mit @a die aufgenommenen Sequenzen abspielen. Das Ergebnis sieht danach so aus:

Das ist ein Titel
-----------------

Das ist auch ein Titel
----------------------

Falls man noch weitere Titel unterstreichen will, wiederholt man die zuletzt abgespielte Aufnahme mit @@.

Weitere Informationen

VIM-Hilfe: :help recording

Ein DHCP-Server unter Debian einrichten

Emanuel Duss — Tue, 30 Aug 2011 22:31:43 +0000

DHCP steht für Dynamic Host Configuration Protocol. Mit einem DHCP-Server kann man Clients in einem Netzwerk automatisch eine IP-Konfiguration zuweisen. Somit muss man bei den Clients nicht manuell eine IP-Konfiguration vornehmen. Meistens wird über den DHCP-Server die IP-Adresse des Clients, die Subnetzmaske vom Netzwerk, der Default-Gateway und der zu verwendende DNS-Server verteilt.

Installation

Unter Debian heisst das Paket vom DHCP-Server isc-dhcp-server (früher dhcp3-server). Installiert wird es folgendermassen:

$ sudo aptitude install isc-dhcp-server

Nach der Installation ist der DHCP-Server noch nicht aktiv. Dieser muss zuerst konfiguriert werden.

Konfiguration

Das Konfigurationsfile vom DHCP-Server befindet sich nach der Installation im Verzeichnis /etc/dhcp und heisst dhcpd.conf.

Meine Konfiguration vom DHCP-Server ist relativ simpel und sieht folgendermassen aus:

########################################################################
#
# /etc/dhcp/dhcpd.conf
# Konfigurationsfile vom DHCP-Server (isc-dhcp-server)
#
# 2011-08-28; Emanuel Duss; Erste Version
#
########################################################################

########################################################################
# DHCP-Server
########################################################################

# Authoritative = Aktiv (Sendet DHCPNAK)
authoritative;

# Logging
log-facility local7;

# Lease-Time (86400 = 1 Tag)
default-lease-time 86400;
max-lease-time 86400;

########################################################################
# Globale Optionen
########################################################################

# Domain
option domain-name "duss.xy";

# DNS-Server
option domain-name-servers 10.0.0.20;

# NTP-Server
option ntp-servers 10.0.0.20;

########################################################################
# Subnetz
########################################################################

# Subnetz 10.0.0.0/24
subnet 10.0.0.0 netmask 255.255.255.0 {
# Range
range 10.0.0.100 10.0.0.200;
# Default-Gateway
option routers 10.0.0.1;
}

########################################################################
# Hosts
########################################################################

# Statische Adressen
host eris {
hardware ethernet 58:94:6B:E9:FD:78;
fixed-address 10.0.0.23;
}

# EOF

Authoritative bedeutet, dass der DHCP-Server Clients im Netzwerk konfigurieren darf. Die Konfiguration ist ein Tag lang gültig. Dann muss der Client erneut eine Konfiguration anfordern. Meldungen schreibt der Daemon ins syslog (/var/log/messages).
Die Clients bekommen die Domain duss.xy. Als DNS-Server wird 10.0.0.20 an die Clients verteilt.
Aus dem Netz 10.0.0.0/24 können IP-Adressen aus dem Bereich 10.0.0.100 bis 10.0.0.200 verteilt werden. Um in andere Netze zu gelangen, wird der Default-Gateway 10.0.0.1 verteilt. Der Host eris mit der angegebenen MAC-Adresse bekommt immer dieselbe IP-Adresse 10.0.0.23 zugewiesen.

Kontrolle auf dem Server

Folgende Meldungen schreib der Syslog-Daemon ins File /var/log/messages:

$ sudo tail -f /var/log/messages | grep dhcpd
Aug 30 23:49:31 debian dhcpd: DHCPDISCOVER from 00:15:af:dd:4f:ab via eth0
Aug 30 23:49:32 debian dhcpd: DHCPOFFER on 10.0.0.108 to 00:15:af:dd:4f:ab (chaos) via eth0
Aug 30 23:49:32 debian dhcpd: DHCPREQUEST for 10.0.0.108 (10.0.0.20) from 00:15:af:dd:4f:ab (chaos) via eth0
Aug 30 23:49:32 debian dhcpd: DHCPACK on 10.0.0.108 to 00:15:af:dd:4f:ab (chaos) via eth0

Daran sieht man, dass die vier DHCP-Message-Types DHCPDISCOVER, DHCPOFFER, DHCPREQUEST und DHCPACK verschickt wurden.

Die selben vier Nachrichten sieht man auch mit dem Netzwerk-Sniffer tcpdump:

$ sudo tcpdump -n port 67 -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
23:49:31.921845 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:15:af:dd:4f:ab, length 323
23:49:32.000143 IP 10.0.0.20.67 > 10.0.0.108.68: BOOTP/DHCP, Reply, length 300
23:49:32.010123 IP 0.0.0.0.68 > 255.255.255.255.67: BOOTP/DHCP, Request from 00:15:af:dd:4f:ab, length 335
23:49:32.038398 IP 10.0.0.20.67 > 10.0.0.108.68: BOOTP/DHCP, Reply, length 300

Was jedoch wirklich im DHCP-Protokoll steckt, zeigt das Tool dhcpdump. Dieses stellt die DHCP-Nachrichten schön leserlich dar.

$ sudo dhcpdump -i eth0
TIME: 2011-08-30 23:49:31.922
IP: 0.0.0.0 (0:15:af:dd:4f:ab) > 255.255.255.255 (ff:ff:ff:ff:ff:ff)
OP: 1 (BOOTPREQUEST)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: 39ab2218
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 0.0.0.0
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: 00:15:af:dd:4f:ab:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 1 (DHCPDISCOVER)
OPTION: 57 ( 2) Maximum DHCP message size 1500
OPTION: 60 ( 49) Vendor class identifier dhcpcd-5.2.12:Linux-2.6.39-ARCH:i686:GenuineIntel
OPTION: 12 ( 5) Host name chaos
OPTION: 55 ( 15) Parameter Request List 1 (Subnet mask)
121 (Classless Static Route)
33 (Static route)
3 (Routers)
6 (DNS server)
12 (Host name)
15 (Domainname)
26 (Interface MTU)
28 (Broadcast address)
42 (NTP servers)
51 (IP address leasetime)
54 (Server identifier)
58 (T1)
59 (T2)
119 (Domain Search)

---------------------------------------------------------------------------

TIME: 2011-08-30 23:49:32.000
IP: 10.0.0.20 (0:1e:b:27:a2:94) > 10.0.0.108 (0:15:af:dd:4f:ab)
OP: 2 (BOOTPREPLY)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: 39ab2218
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 10.0.0.108
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: 00:15:af:dd:4f:ab:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 2 (DHCPOFFER)
OPTION: 54 ( 4) Server identifier 10.0.0.20
OPTION: 51 ( 4) IP address leasetime 86400 (24h)
OPTION: 1 ( 4) Subnet mask 255.255.255.0
OPTION: 3 ( 4) Routers 10.0.0.1
OPTION: 6 ( 4) DNS server 10.0.0.20
OPTION: 15 ( 7) Domainname duss.xy
OPTION: 58 ( 4) T1 43200 (12h)
OPTION: 59 ( 4) T2 75600 (21h)
---------------------------------------------------------------------------

TIME: 2011-08-30 23:49:32.010
IP: 0.0.0.0 (0:15:af:dd:4f:ab) > 255.255.255.255 (ff:ff:ff:ff:ff:ff)
OP: 1 (BOOTPREQUEST)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: 39ab2218
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 0.0.0.0
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: 00:15:af:dd:4f:ab:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 3 (DHCPREQUEST)
OPTION: 50 ( 4) Request IP address 10.0.0.108
OPTION: 54 ( 4) Server identifier 10.0.0.20
OPTION: 57 ( 2) Maximum DHCP message size 1500
OPTION: 60 ( 49) Vendor class identifier dhcpcd-5.2.12:Linux-2.6.39-ARCH:i686:GenuineIntel
OPTION: 12 ( 5) Host name chaos
OPTION: 55 ( 15) Parameter Request List 1 (Subnet mask)
121 (Classless Static Route)
33 (Static route)
3 (Routers)
6 (DNS server)
12 (Host name)
15 (Domainname)
26 (Interface MTU)
28 (Broadcast address)
42 (NTP servers)
51 (IP address leasetime)
54 (Server identifier)
58 (T1)
59 (T2)
119 (Domain Search)

---------------------------------------------------------------------------

TIME: 2011-08-30 23:49:32.038
IP: 10.0.0.20 (0:1e:b:27:a2:94) > 10.0.0.108 (0:15:af:dd:4f:ab)
OP: 2 (BOOTPREPLY)
HTYPE: 1 (Ethernet)
HLEN: 6
HOPS: 0
XID: 39ab2218
SECS: 0
FLAGS: 0
CIADDR: 0.0.0.0
YIADDR: 10.0.0.108
SIADDR: 0.0.0.0
GIADDR: 0.0.0.0
CHADDR: 00:15:af:dd:4f:ab:00:00:00:00:00:00:00:00:00:00
SNAME: .
FNAME: .
OPTION: 53 ( 1) DHCP message type 5 (DHCPACK)
OPTION: 54 ( 4) Server identifier 10.0.0.20
OPTION: 51 ( 4) IP address leasetime 86400 (24h)
OPTION: 1 ( 4) Subnet mask 255.255.255.0
OPTION: 3 ( 4) Routers 10.0.0.1
OPTION: 6 ( 4) DNS server 10.0.0.20
OPTION: 15 ( 7) Domainname duss.xy
OPTION: 58 ( 4) T1 43200 (12h)
OPTION: 59 ( 4) T2 75600 (21h)
---------------------------------------------------------------------------

Die DHCP-Message-Types bedeuten folgendes:

DHCPDISCOVER: Der Client sendet per Broadcast eine Anfrage ins Netzwerk und fragt nach einer IP-Konfiguration. Dabei sagt er dem Server, wie er heisst und welche Parameter er annehmen kann. Unter der Parameter-Liste ist z. B. die Subnetzmaske, der DNS-Server, der Default-Gateway oder die Domain zu finden.
DHCPOFFER: Der Server antwortet mit einem Konfigurations-Angebot.
DHCPREQUEST: Falls das Angebot dem Client passt, fordert er die gewünschten Parameter an.
DHCPACK: Falls alles funktioniert hat, bestätigt der DHCP-Server die Konfiguration.

Kontrolle auf dem Client

Der Client hat die IP-Adresse 10.0.0.108 mit der Subnetzmaske 255.255.255.0 zugewiesen bekommen. Das sehen wir mit ifconfig -a wlan0:

$ ifconfig -a wlan0
wlan0 Link encap:Ethernet HWaddr 00:15:AF:DD:4F:AB
inet addr:10.0.0.108 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::215:afff:fedd:4fab/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:162 errors:0 dropped:0 overruns:0 frame:0
TX packets:121 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:16929 (16.5 Kb) TX bytes:19607 (19.1 Kb)

In der Routing-Tabelle sieht man den Default-Gateway 10.0.0.1. Der Default-Gateway erkennt man immer an der Destination 0.0.0.0.

$ netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 wlan0
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 wlan0

In der Datei /etc/resolv.conf sieht man die Domain (duss.xy) und der DNS-Server (10.0.0.10):

$ cat /etc/resolv.conf
# Generated by dhcpcd from wlan0
# nameserver 8.8.8.8
domain duss.xy
nameserver 10.0.0.10
# /etc/resolv.conf.tail can replace this line

Es lohnt sich auch die Konfiguration vom DHCP-Client anzuschauen! Wird der DHCP-Client dhclient verwendet, befindet sich die Konfiguration unter /etc/dhcp/dhclient.conf (Debian) bzw. unter /etc/dhclient.conf (Arch Linux).

Links und weitere Informationen

Wikipedia: DHCP: http://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
RFC2131: DHCP: http://www.rfc-editor.org/rfc/rfc2131.txt
Debian Manpage: dhcpd.conf(5)
Debian Manpage: dhcpd(8)

IP-Adressen in DenyHosts wieder zulassen

Emanuel Duss — Sun, 03 Jul 2011 21:07:54 +0000

DenyHosts kann dazu verwendet werden, BruteForce-Angriffe abzuwehren. DenyHosts durchsucht Logfiles auf fehlerhafte Logins und sperrt diese nach einer gewissen Anzahl. Blöd ist nur, wenn man sich selber raussperrt. Mit meinem kleinen Skript kann man eine IP-Adresse in DenyHosts wieder entsperren.

Manuell

Zuerst stoppt man den DenyHosts-Daemon:

$ sudo /etc/init.d/denyhosts stop
Stopping DenyHosts: denyhosts.

Die IP-Adresse muss danach aus dem File /etc/hosts.deny gelöscht werden.

$ sudo vi /etc/hosts.deny

Dies genügt jedoch noch nicht ganz. Die IP-Adresse ist immer noch nicht erlaubt. DenyHosts führt seperate Listen in einem eigenen Verzeichnis. Das Verzeichnis findet man mit folgendem Befehl heraus:

$ grep ^WORK_DIR /etc/denyhosts.conf
WORK_DIR = /var/lib/denyhosts

Standardmässig wird das Verzeichnis /var/lib/denyhosts verwendet. In diesem Verzeichnis muss man die IP-Adresse ebenfalls aus den Files hosts-restricted, hosts-root, hosts-valid und users-hosts löschen. Das kann man z.B. mit dem VI-Editor machen:

$ sudo vi `grep -l 23.42.05.13 *`

Zum Schluss startet man den Daemon wieder:

$ sudo /etc/init.d/denyhosts start
Starting DenyHosts: denyhosts.

Skript

Das geht natürlich viel einfacher mit einem Skript! Folgendes Skript löscht eine IP-Adresse aus den nötigen Files:

########################################################################
#
# rmdenyhosts
# Entfernt DenyHosts-Eintraege
#
# Copyright 2011 Emanuel Duss
# Licensed under GNU General Public License
#
# 2011-07-03; Emanuel Duss; Erste Version
#
########################################################################

########################################################################
# Variabeln
DENYHOSTS="/etc/init.d/denyhosts"
DENYDIR="/var/lib/denyhosts"
GOODHOST="$1"

########################################################################
# Funktionen
usage() {
cat << EOF
Usage:
$0 IP-Adresse
EOF
}

########################################################################
# Main

# Variable gesetzt?
if [ -z "$GOODHOST" ]
then
echo "Keine IP-Adresse angegeben!"
usage
exit 1
fi

# DenyHosts stoppen
$DENYHOSTS stop

# Eintraege entfernen
for i in $DENYDIR/hosts \
$DENYDIR/hosts-restricted \
$DENYDIR/hosts-root \
$DENYDIR/hosts-valid \
$DENYDIR/users-hosts \
/etc/hosts.deny
do
sed '/'$GOODHOST'/d' $i > $i.tmp
mv $i.tmp $i
done

# DenyHosts starten
$DENYHOSTS start

# EOF

Download

rmdenyhosts.tar (MD5: b84463ec481766701ef48d0aa5d3ce59)

Weitere Informationen / Links

DenyHosts auf SourceForge: http://denyhosts.sourceforge.net/

Samba/CIFS Filesysteme vor dem Herunterfahren automatisch umounten

Emanuel Duss — Sun, 24 Apr 2011 12:34:14 +0000

Oft dauert das Herunterfahren von Linux-Systemen sehr lange, weil noch Samba bzw. CIFS-Filesysteme gemountet sind. Diese Filesysteme können jeweils nicht sauber ausgehängt werden, was lange dauert. Deshalb hängt man diese am besten vor dem Herunterfahren der Maschine aus.

Manuell
Die Filesysteme können manuell ausgehängt werden:

$ sudo umount /media/nasdata

Automatisch
Dieser Teil bezieht sich auf Arch Linux.

Einfacher geht es jedoch mit dem rc.local.shutdown Skript. Dieses Skript wird bei jedem Herunterfahren automatisch ausgeführt.

Man bearbeitet die Datei rc.local.shutdown, welche im /etc Verzeichnis liegt.

$ sudo vi /etc/rc.local.shutdown

Folgende Zeilen werden in die Datei /etc/rc.local.shutdown geschrieben:

# umount all cifs filesystems
for i in `awk '/cifs/{ print $2 }' /etc/mtab`
do
umount $i
done

Jetzt werden diese Filesysteme vor dem Herunterfahren automatisch ausgehängt und das Herunterfahren geht viel schneller.

Meine Konfigurationsdatei für VIM (.vimrc)

Emanuel Duss — Sat, 09 Apr 2011 18:03:07 +0000

Der Texteditor VIM kann mit der Datei ~/.vimrc konfiguriert werden. Alle Befehle in dieser Datei werden beim Start ausgeführt.

Dies ist meine Konfigurationsdatei für VIM:

"#######################################################################
"
" ~/.vimrc
" vim Konfigurationsdatei
"
" Copyright 2011 Emanuel Duss
" Licensed under GNU General Public License
"
" 2010-06-19; Emanuel Duss; Erste Version
" 2011-02-08; Emanuel Duss; Neu: set list; set listchars
" 2011-02-14; Emanuel Duss; Neu: endocing=utf8
"
"#######################################################################

"#######################################################################
" Einstellungen
set nocompatible " VIM-Zusätze aktivieren
set encoding=utf8 " UTF8 als Zeichensatz
set mouse=a " Mausunterstüzung aktivieren
set number " Zeilennummern angeben
set incsearch " Zeigt Suchergebnisse während dem Suchen an
set hlsearch " Suchresultate farbig hervorheben
set ignorecase " Ignoriert Gross/Kleinschreibung beim Suchen
set smartcase " Nur Gross/Kleinschreibung beachten, wenn Grossbuchstabe vorhanden
set autoread " Liest die Datei neu, wenn ausserhalb von VIM geändert.
set backup " Erstellt eine Backup-Datei
set tabstop=2 " Tabulator entspricht 2 Leerzeichen
set softtabstop=2 " Weicher Tabulator
set shiftwidth=2 " Einrücktiefe
set autoindent " Automatisch einrücken
set expandtab " Tabulatoren in Spaces umwandeln
set wrap " Zeilenumbruch aktivieren
set list " listchars anzeigen
set listchars=tab:»·,trail:· " Tabs und Leerzeichen am Zeilenende anzeigen

colorscheme default " Farbschema
" colorscheme desert " Farbschema

syntax on " Code farbig darstellen

"#######################################################################
" Makros
map :w!:!aspell --lang=de check %:e! %
map :w! :! pdflatex %

map hex :%!xxd " Hexeditor mit \hex starten
map nhex :%!xxd -r " Hexeditor mit \nhex beenden

map i########################################################################
map :r!date +\%Y-\%m-\%d
map :r!date +\%Y-\%m-\%d_\%H-\%M-\%S

" EOF

Anregungen, Kritik und Fragen können gerne in den Kommentaren hinterlassen werden.

Dateisystem verschlüsseln mit LUKS

Emanuel Duss — Tue, 15 Mar 2011 20:31:12 +0000

Mit dm-crpyt kann man unter Linux Festplatten bzw. Dateisysteme verschlüsseln. LUKS (Linux Unified Key Setup) erweitert dm-crypt um einige Funktionen. LUKS ermöglicht zum Beispiel das Verwalten von mehreren Schlüsseln, sowie das automatische erkennen und einbinden von verschlüsselten Geräten ins Dateisystem. LUKS wird mit dem Tool cryptsetup eingerichtet.

Logical Volume verschlüsseln
10 GB grosses Logical Volume mit dem Namen seucre in der Volume Group rootvg anlegen:

lvcreate -n secure -L 100G rootvg

Logical Volume verschlüsseln (sicheres Passwort auswählen):

cryptsetup -c aes-xts-plain -y -s 512 luksFormat /dev/mapper/rootvg-secure

Verschlüsseltes Logical Volume öffnen (Passwort eingeben):

cryptsetup luksOpen /dev/mapper/rootvg-secure secure

Dateisystem anlegen:

mkfs.ext4 /dev/mapper/secure

Mountpoint erstellen:

mkdir /home/emanuel/secure

Filesystem mounten:

mount /dev/mapper/secure /home/emanuel/secure

Jetzt werden alle Dateien für den Benutzer transparent verschlüsselt.

Dateisystem aushängen:

umount /home/emanuel/secure

Verschlüsseltes Logical Volume schliessen (erst dann ist das Logical Volume wieder geschützt!!!):

cryptsetup luksClose /dev/mapper/secure

Verschlüsseltes Logical Volume verwenden
Folgende Schritte sind immer nötig um das Logical Volume verwenden zu können:

Filesystem einbinden:

cryptsetup luksOpen /dev/mapper/rootvg-secure secure
mount /dev/mapper/secure /home/emanuel/secure

Filesystem aushängen:

umount /home/emanuel/secure
cryptsetup luksClose /dev/mapper/secure

Automatisch mounten
Das verschlüsselte Dateisystem kann beim Booten automatisch gemountet werden. Man wird während dem Bootvorgang nach dem Passwort gefragt.

Label anlegen:

tune2fs -L secure /dev/mapper/secure

Datei /etc/crypttab bearbeiten:

vi /etc/crypttab

secure /dev/mapper/rootvg-secure ASK

Datei /etc/fstab bearbeiten:

vi /etc/fstab

/dev/mapper/secure /home/emanueL/secure ext4 defaults 0 1

Logical Volume über ein Skript mounten
Ich mounte mein verschlüsseltes Dateisystem lieber bei Gebrauch mit einem kleinen Skript:

#!/bin/bash
########################################################################
#
# securelv
# Mountet ein LUKS verschuesseltes Device
#
# Copyright 2011 Emanuel Duss
# Licensed under GNU General Public License
#
# 2011-03-14; Emanuel Duss; Erste Version
#
########################################################################

########################################################################
# Variabeln
MOUNTPATH="/home/emanuel/secure"
LV="/dev/mapper/rootvg-secure"
NAME="secure"

########################################################################
# Funktionen
usage () {
echo "Usage:
$0 { mount | umount }"
}

########################################################################
# Main
case $1 in
mount)
cryptsetup luksOpen $LV $NAME
mount /dev/mapper/secure $MOUNTPATH
;;
umount)
umount $MOUNTPATH
cryptsetup luksClose /dev/mapper/$NAME
;;
*)
usage
;;
esac

#EOF

Weitere Aufgaben
Status vom verschlüsseltem Logical Volumes abfragen:

cryptsetup status secure

Weiteres Passwort hinzufügen:

cryptsetup luksAddKey /dev/mapper/rootvg-secure

Passwort entfernen:

cryptsetup luksDelKey /dev/mapper/rootvg-secure

Links für weitere Informationen

Arch Linux Grundinstallation mit LVM

Emanuel Duss — Thu, 03 Mar 2011 18:45:14 +0000

Das verändern der Grösse von einem Filesystem während der Laufzeit ist nur einer der Vorteile vom Logical Volume Manager (LVM). Deshalb habe ich bei meiner Arch Linux Installation auf LVM gesetzt.

Der Logical Volume Manager
Mit dem Logical Volume Manager kann man Festplatten verwalten. Folgende Grafik (welche ich auch auf Wikipedia veröffentlicht habe), zeigt den Zusammenhang zwischen Physical Partition (PP), Physical Volumes (PV), Logical Volumes (LV) und Volume Groups (VG) sehr gut:

Kurz gesagt: Ein Logical Volume gehört immer zu einer Volume Group und besteht aus mehreren Physical Partitions, welche auf verschiedenen Physical Volumes liegen können. Das Filesystem wird auf dem Logical Volume angelegt und kann dann gemountet werden.

Arch Linux herunterladen und starten
Das ISO-Image von Arch linux wird heruntergeladen und auf den USB-Stick kopiert:

wget ftp://archlinux.puzzle.ch/iso/2010.05/archlinux-2010.05-netinstall-dual.iso
dd if=archlinux-2010.05-netinstall-dual.iso of=/deb/sdX

Dann bootet man ab dem USB-Stick und meldet sich als root an. Der Benutzer root hat kein Passwort.

Als nächstes wird das Tastaturlayout geändert:

# km

- Keymap: i386/quertz/de_CH-latin1.map.gz
- Console Font: default8x16.psfu.gz

Ich arbeite besser, wenn ich den VI-Mode in der Shell aktiviert habe:

# set -o vi

Festplatten vorbereiten
Mit cfdisk erstellt man zwei Partitionen:

# cfdisk

Diese sehen folgendermassen aus:

sda1 Boot Primary Linux 100MB
sda2 Primary Linux LVM 400GB

Physical Volume (PV) erstellen:

# pvcreate /dev/sda2

Volume Group (VG) mit dem vorher angelegten Physical Volume erstellen:

# vgcreate rootvg /dev/sda2

Logical Volumes erstellen:

# lvcreate -n swap -L 4G -C y rootvg
# lvcreate -n root -L 25G rootvg
# lvcreate -n home -L 320G rootvg

Das LVM-Layout kann mit den Befehlen pvs, vgs und lvs überprüft werden. Die Befehle pvdisplay, vgdisplay und lvdisplay geben noch mehr Informationen aus.

# pvs
PV VG Fmt Attr PSize PFree
/dev/sda2 rootvg lvm2 a- 465.66g 16.66g

# vgs
VG #PV #LV #SN Attr VSize VFree
rootvg 1 4 0 wz--n- 465.66g 16.66g

# lvs
LV VG Attr LSize Origin Snap% Move Log Copy% Convert
home rootvg -wi-ao 320.00g
root rootvg -wi-ao 25.00g
swap rootvg -wc-ao 4.00g

Arch Linux installieren
Setup starten:

# /arch/setup

1) Select Source
- DHCP
- Mirror aus der Nähe auswählen

2) Set clock
- Timezone: Europa / Zürich
- Zeit einstellen: UTC
- Abgleich mit NTP

3) Prepare Hard Drive(s)
- Manually Configure block devices, filesystems and mountpoints → dev

/dev/sda1 ext2 /boot boot
/dev/mapper/rootvg-home ext4 /home home
/dev/mapper/rootvg-root ext4 / root
/dev/mapper/rootvg-swap swap

4) Select Packages
- [*] base

5) Install Packages

6) Configure System
/etc/rc.conf

LOCALE="de_CH.UTF-8"
KEYMAP="de_CH-latin1"
USELVM="YES"
HOSTNAME="eris"
MODULES=(... !pcspkr ...)

/etc/fstab

/dev/mapper/rootvg-home /home ext4 defaults 0 1
/dev/mapper/rootvg-root / ext4 defaults 0 1
/dev/mapper/rootvg-swap swap swap defaults 0 0
/dev/sda1 /boot ext2 defaults 0 1

/etc/mkinitcpio.conf

HOOKS="base udev usb usbinput keymap autodetect pata scsi sata lvm2 filesystems"

/etc/hosts

127.0.0.1 localhost.localdomain localhost eris

/etc/locale.gen

de_CH.UTF-8 UTF-8
de_CH ISO-8859-1

- Root-Passwort setzen.

7) Install Bootloader
Der Bootloader Grub wird auf /dev/sda installiert.

8 ) Exit Install

Danach startet man das Gerät neu:

# reboot

Das Minimalsystem von Arch Linux ist jetzt installiert. Viel Spass!

Links
https://wiki.archlinux.org/index.php/LVM