Hardware

The main system is based on a AVR microcontroller from Atmel (Wikipedia). The current model is called Arduino Uno. It has 14 digital pins for input or output and additional 6 analog input pins. The I/O pins are powered by 5V and 40 mA. If you are willing to wait two weeks for delivery, you can buy one from China at eBay. But to realy support the open source project you should get an original version which is labeled ”made in italy”.

Arduino IDE

The main reason for the widespread of Arduino is that the developing interface is available for Window, Linux and Mac (Download), while the programming language is C++. With Ubuntu you can easily install the current available package through the ubuntu software manager, which is surely not the most up to date version, but it runs perfectly out of the box.

Quick Start Guide

1. connect your Arduino via USB with your Computer
2. run Arduino IDE
3. check the correct setting at Tools->Board (Arduino Uno) and Tools->Serial Port (/dev/ttyACM0) – may differ on other operating system
4. run a Example from File->Examples->1.Basic->Blink
5. press verify button to compile the code (play symbol)
6. press upload button (right arrow symbol)

After uploading (TX/RX blinking) you will see that the integrated red LED (pin 13) will continuously turn on and off for a second. This is the so called Blink Tutorial. For a more detailed step-by-step and well explained tutorial take a look at ladyada.net/learn/arduino. If you are interested you can watch “Arduino The Documentary (2010)” where you learn something more about the creation and history of Arduino.

Arduino Programming Language Reference

Backup anlegen

Zuerst ist ein gutes Backup wichtig. Das Programm Déjà Dup ist an Einfachheit kaum zu überbieten: Neben dem Einstellungsdialog gibt es lediglich zwei Buttons: Wiederherstellen und Sichern. Es integriert sich außerdem in das Kontextmenü, so dass per Rechtsklick von jedem Ordner aus vermisste Dateien wiederherzustellen sind. Gesichert wird auf eine exteren Festplatte, auf FTP oder auf einen Cloud-Dienst wie Amazon S3. Und mit der nächsten Ubuntu-Version 11.10 soll Déjà Dup das Standard-Backup-Programm von Ubuntu werden.

SSD-Festplatte vorbereiten

Allgemeine Hinweise habe ich bereits unter Eine Woche mit Ubuntu 10.10 beschrieben, jedoch gibt bei SSD Besonderheiten bei der Partitionierung zu beachten: Wird beim Partition Alignment ein Fehler gemacht, so wird die SSD sehr langsam. Der aktuelle Ubuntu-Installer setzt die Werte allerdings richtig wenn man die ganze Festplatte für Ubuntu nutzt. Wenn allerdings verschiedene Partitionen gewünscht sind, oder mehrere Betriebssysteme, heißt es zunächst sich in das Thema SSD einzulesen.

“Look and Feel”

Komischerweise waren nach der Neuinstallation von 11.04 alle Ordnersymbole in sämtlichen Menüs nicht vorhanden. Im ubuntuusers-Forum fand ich die Lösung. Ebenfalls gibt es dort den Hinweis wie der Ton vom Anmeldedialog deaktiviert werden kann.

“pimp my Unity”

Unity ist bekanntlich die neue Ubuntu Oberfläche. Leider gibt es standardmäßig kaum Konfigurationsmöglichkeiten. Installiert man das Programm ccsm kann über Systemeinstellungen -> CompizConfig Einstellungs-Manager -> Ubuntu-Unity-Plugin beispielsweise die “Launcher icon size” auf 32 gesetzt werden. Dies schafft etwas Platz auf dem Desktop.

Eine weitere Besonderheit von Unity ist die obere Status- bzw. Application-Indicator Leiste. Aus den vielen möglichen Erweiterungen finde ich persönlich zwei besonders nützlich:

indicator-sysmonitor: zeigt die aktuelle CPU- und Arbeitsspeicher-Auslastung sowie auf Wunsch die CPU-Temperatur via “lm-sensors”. Damit die Anzeige nach jedem Neustart angezeigt wird ist ein manueller Eintrag unter Systemeinstellungen -> Startprogramme notwendig.

sudo add-apt-repository ppa:alexeftimie/ppa
sudo apt-get update
sudo apt-get install indicator-sysmonitor
sudo apt-get install lm-sensors

touchpad-indicator: ist für Laptop-Benutzer mit zusätzlicher externer Maus sehr nützlich; sobald diese angeschlossen ist kann das Touchpad deaktiviert werden und stört nicht mehr bei Tastatureingaben. Die Einstellung für den Autostart ist über das Programm selbst möglich.

sudo add-apt-repository ppa:atareao/atareao
sudo apt-get update
sudo apt-get install touchpad-indicator

Das mit PuTTYgen erzeugte Schlüsselpaar ließ sich unter Windows unkompliziert verwenden. Der öffentliche Teil wird auf Servern in die .ssh/authorized_keys eingetragen und der private Teil sorgt mit Hilfe von Pageant und PuTTY für eine problemlosen Login auf Konsole.

Unter Linux muss man nun nicht einen Schlüssel erstellen und überall neu eintragen, sondern kann diesen von den putty-tools umwandeln lassen:

sudo apt-get install putty-tools

die Putty Schlüssel können unter ~/.ssh angelegt werden um dort die Konvertierung des privaten Schlüssels zu zu starten:

puttygen datei.ppk -O private-openssh -o id_dsa

Nach der Eingabe der Passphrase kann nun auch noch der öffentliche Schlüssel erstellt werden:

puttygen datei.ppk -O public-openssh -o id_dsa.pub

Ab jetzt wird bei jedem Login per ssh zu einen anderen Server zuerst die Datei ~/.ssh/id_dsa geprüft und nach Eingabe der Passphrase ist der Login erfolgt.

Festplatte vorbereiten

Wenn man nicht sofort komplett auf Windows 7 verzichten möchte, gibt es die Möglichkeit Ubuntu parallel zu einem bestehenden Windows einzurichten, vorausgesetzt es ist noch genug Speicherplatz auf der Festplatte vorhanden. Ich habe verschiedene Anleitungen gelesen und zunächst wird empfohlen eine Windows-Rettungs-Disk bereit zu halten – welche glücklicherweise nicht gebraucht wurde. Selbstverständlich sollte auch ein Backup der wichtigen Daten angelegt und auf einer externen Festplatte gespeichert werden. Zunächst wird die Festplatte gründlich defragmentiert und über die Datenträgerverwaltung verkleinert. Dies wird der manuellen Partitionierung z.B. mit einer GParted-Live-CD vorgezogen, da Windows selbst die NTFS-Eigenheiten besser kennt. So ließ sich in meinem Fall die Festplatte ungefähr halbieren und Windows startete anschließend auch problemlos.

Ubuntu installieren

Nach dem Herunterladen und Brennen der Installations- CD wird über die manuelle Partitionierung “(advanced)” der zuzvor vorbereitete, freie Speicherplatz für eine kleine Swap-Partition, z.B. 5 GB und der Rest für die root-Partition (ext4, Mountpoint /) verwendet. Dann die root-Partition auswählen und den Button zur “Installation starten” klicken. Das eingegebene Benutzerkennwort wird auch später immer für root-Aktionen in Kombination mit sudo verwendet, da in Ubuntu der root-Benutzer standardmäßig deaktiviert ist.

Updates installieren

Nach erfolgreicher Installation und Login können nun die neuesten Updates installiert werden. Dazu unter System > Systemverwaltung > Aktualisierungsverwaltung den Anweisungen folgen. Bekommt man einen neuen Kernel, so wächst auch das GRUB-Bootmenü stetig an. Anstatt hier die Einträge auszukommentieren ist es einfacher die überflüssigen Kernel zu deinstallieren.

die ersten Pakete installieren

Wenn eine Funktion oder Programm vermisst wird lohnt immer ein Blick unter Anwendungen > Ubuntu Software-Center oder System > Systemverwaltung > Synaptic-Paketverwaltung. So installiere ich mir meinen Lieblingseditor vim und nmap. Ein kurzer Scan zeigt, dass auf dem neuen System keine offenen Ports existieren:

sudo nmap -P0 -F –open 192.168.1.0/24

User-Login umbenennen

Falls man es wie ich geschafft hat bei der Installation einen falschen User-Login zu erstellen oder diesen einfach umbenennen möchte: mit Hilfe von usermod und groupmod ist dies einfach möglich. Anschließend noch die Datei ~/.gtk-bookmarks anpassen, da sonst unter “Orte” alle Favoriten-Ordner verwunden sind. Auch lassen sich in dieser Datei eigene Verknüpfungen definieren.

Firefox und Thunderbird migrieren

Die Profile von Firefox und Thunderbird lassen sich samt installierter Plugins, Passwörter usw. komplett übernehmen. Da die Windows NTFS Festplatte unter “Orte” mit einem Klick direkt mit schreibendem Zugriff gemountet wird, lassen sich die Profile direkt kopieren. Wenn man beides Portable verwendet hat folgt man dieser Anleitung um die Profile zu migrieren. Das jeweilige Profilverzeichnis in Ubuntu wird komplett gelöscht und mit den alten Inhalten befüllt:

cd .mozilla/firefox/ bzw. .thunderbird/
rm -rf profilname123anpassen.default/*
cp -a ~/backup/altes-profil/* profilname123anpassen.default/

Flash-Bug

Leider gibt es ein Problem mit Flash-Videos im Vollbildmodus. Das Bild stoppt oder flackert, während der Ton weiter läuft. Der GPU-Beschleunigungs-Spuk hat ein Ende, wenn die Datei /etc/adobe/mms.cfg (Verzeichnis vorher erstellen) und mit folgendem Inhalt angelegt wird:

OverrideGPUValidation=true

“Look and Feel”

Wem die Schriftarten allgemein auch zu groß erscheinen, können diese unter System > Einstellungen > Erscheinungsbild > Schriftarten jeweils um 1 reduziert werden. Unter Visuelle Effekte kann man auf Wunsch die höchste Einstellung wählen.

Die Reihenfolge der Fensterknöpfe lässt sich an die von Windows gewohnte Ansicht anpassen. Dazu über Alt+F2 den gconf-editor starten. Unter /apps/metacity/general/button_layout lässt sich nun die gewünschte Reihenfolge eintragen, z.B.:

:minimize,maximize,close

Die Systemtöne wie auch die Startmelodie bringt man zum Schweigen, wenn unter System > Einstellungen > Klang unter Klangthema keine Klänge ausgewählt werden.

Ein Mac-ähnliche Programme-Dock-Leiste erhält man indem das Paket avant-window-navigator installiert wird. Zur dauerhaften Verwendung in den Einstellungen noch “Awn automatisch starten” makieren und ggf. das untere Panel per Rechtsklick löschen. Fehlende Funktionen werden nun dem neuen Dock oder dem oberen Panel hinzugefügt.

“pinp my Nautilus”

Nautilus ist der verwendete Dateibrowser, für den es viele Erweiterungen gibt. Nützlich finde ich:

nautilus-open-terminal: öffnet das Konsolen-Fenster im aktuellen Verzeichnis. Nach der Installation den Prozess Neustarten über:

nautilus -q

nautilus-script-collection-svn: integriert SVN in das Rechtsklick-Menü. Nach der Installation die Script-Erweiterungen aktivieren:

nautilus-script-manager enable Subversion

Fazit

Ich bin sehr begeistert von Ubuntu und den vielfältigen Anpassungsmöglichkeiten. Es gibt immer etwas was verändert werden kann, ohne das tiefe Eingriffe in das System oder gar Kommerzielle Programme nötig wären. Besonders hat mich die Integration von gängigen Chat-Diensten und sozialer Anwendungen wie last.fm ohne Zusatzprogrammen überrascht.

Ubuntu 10.10 Installations-Guide
Wiki und Forum rund um Ubuntu

Update vom 23.01.2012: Um die System-Schriftgröße und Schriftarten unter Ubuntu 11.10 zu ändern ist das Programm “gnome-tweak-tool” nötig.

Der Editor vim wird installiert über:

apt-get install vim

dann wird die Konfigurationsdatei für den angemeldeten Benutzer angelegt über vi ~/.vimrc und mit folgendem Inhalt befüllt:

set tabstop=2
set bs=2
syn on
set noai

weitere Vim-Tipps

Was DD-WRT ist

DD-WRT ist aus der von Linksys für ihre Router entwickelten Software entstanden, welche unter der GPL-Lizenz veröffentlicht wurde. Somit steht auch DD-WRT unter GPL und kann kostenlos heruntergeladen und verwendet werden. Es gibt unterschiedliche Versionen die sich im Funktionsumfang und somit auch in der Dateigröße unterscheiden. Darum bitte zuerst einen Blick in die unterstützten Hardware-Router werfen um die passende Version zu finden. Dies ist abhängig von dem im Router verfügbarem Flash-Speicher. Es wird außerdem noch eine kostenpflichtige Spezialversion angeboten.

Vor der Installation der neuen Firmware sollte zuerst eine passende Anleitung gelesen werden. Hilfe kann man im DD-WRT Forum finden. abhängig von der Hardware kann die Installation direkt über die bestehende Firmware installiert werden oder muss in zwei Schritten eingerichtet werden. Dazu wird erst die bestehende Firmware vom Router gelöscht und im zweiten Schritt über TFTP neu installiert. Die Standard-Zugangsdaten sind anschließend root/admin.

Verbindungsprobleme beheben

Je mehr Benutzer oder Programme gleichzeitig über den Router das Internet benutzen, umso mehr Verbindungen muss dieser gleichzeitig verarbeiten und halten. Falls es zu Verbindungsabbrüchen kommt, kann unter Administration->Management bei IP-Filter-Einstellungen die maximal mögliche Anzahl von 4096 bei Maximale Ports eingetragen werden.

WLAN Reichweite erhöhen mit WDS

Ein weiteres Feature von DD-WRT ist der sogenannte WDS-Modus (Wikipedia). Hierüber kann über ein weiteren Router der WLAN-Bereich vergrößert werden. Der Vorteil von WDS gegenüber vielen einzelnen Access-Points ist, dass der Benutzer unterbrechungsfrei von einem Raum zum anderen gehen kann, ohne sich in ein anderes WLAN Einbuchen zu müssen, da überall die gleiche SSID verwendet wird. Für diesen zweiten (bzw. jeden weiteren) Router ist keine Verkabelung über ein LAN-Kabel nötig. Wichtig ist hierbei, dass die Router untereinander per WDS lediglich in einer gedachten Linie verbunden werden und nicht jeder Router mit jedem anderen Router eine WLAN-Verbindung aufbaut, da es sonst zu Routing-Problemen kommt da verschiedene Wege genommen werden könnten. Nachzulesen ist alles in der Anleitung WDS im DD-WRT-Wiki.

mit DynDNS zum eigenen VPN-Server

Ist DynDNS und der PPTP-Server konfiguriert kann man sich von unterwegs zum Büro oder Daheim ins Netzwerk verbinden und sogar mit der IP-Adresse vom DD-WRT-Router surfen, während die Verbindung verschlüsselt wird. Dazu wird neben der Konfiguration von DynDNS unter Services->VPN unter PPTP-Server die lokale IP des Routers bei DNS1, WINS1 und Server-IP eintragen. Unter Client-IP(s) werden die zu vergebenden IP-Adressen hinterlegt, welche natürlich nicht im DHCP-Bereich liegen sollten, z.b. 192.168.0.100-150 um 50 VPN Adressen zu bekommen. Bei CHAP-Secrets werden die Zugangsdaten zeilenweise im Klartext hinterlegt in Form von Username * Password * – Wichtig ist hierbei die Reihenfolge einzuhalten und die Lehrzeichen vor und nach den Sternen bestehen zu lassen. Falls eine Verbindung von Außen nicht klappt, einfach unter NAT / QoS eine Port-Weiterleitung für 1723 auf die Router-IP selber einrichten.

Das Access-Log von Apache liegt im Klartext vor, wohingegen die älteren Zugriffe bereits mit Hilfe von Logrotate abgeschnitten und zusammen gepackt in separaten Dateien mit der Endung .gz gespeichert wurden.

Um nun nicht alle Archive von Hand zu entpacken und manuell die Zugriffe auf eine bestimmte Datei z.B. favicon.ico zusammen zählen zu müssen wird der folgende Befehl verwendet:

echo $((`grep ” /favicon.ico” *access*log | wc -l`+`zcat *access*gz | grep ” /favicon.ico” | wc -l`))

Das Ergebnis aller Zugriffe wird direkt von der Bash Konsole zusammengezählt und angezeigt.

Bitte beachten, dass das Suchwort von doppelten Anführungszeichen umschlossen ist, während die Summe der Zugriffe innerhalb der sog. Backticks ausgelesen und mit wc aufsummiert wird, während die Ergebnisse der Klartext und bereits gepackten Dateien von der Konsole zusammenzählt werden.

Die Änderung wird direkt in der Haupt-Konfigurations-Datei /etc/proftpd.conf eingepflegt. Angenommen es soll einen Benutzer (ftp-write) mit vollem Zugriff geben und einen Benutzer (ftp-read) welcher lediglich Lesezugriff hat, dann wird die folgenden Konfiguration übernommen:

<Directory /var/www/example.de/ftp-dir>
<Limit WRITE>
AllowUser ftp-write
DenyAll
</Limit>
</Directory>

Falls es keinen Benutzer mit Vollzugriff auf den Ordner geben soll, dann entfällt die Zeile “AllowUser ftp-write” und es wird lediglich ein Benutzer (ftp-read) angelegt.

Damit der Benutzer mit lesendem Zugriff nicht aus seinem Verzeichnis “ausbrechen”, also nicht eine Ebene höher springen kann, ist die folgende Option wichtig:

DefaultRoot ~

ProFTPD Handbuch

Webalizer bietet keine Einstellung um die Ausgabe in einer bestimmten Sprache zu generieren. Ein manueller Aufruf vom Webmin über “Report generieren” aus bringt als Statusreport unter anderem die folgende Zeile:

Webalizer V2.01-10 (Linux 2.6.18-5-amd64) locale: C

Dahingeben wird mit einem Aufruf von webalizer von der Konsole aus die richtige Systemsprache verwendet. Unter Debian wird die  Standardsprache definiert über:

dpkg-reconfigure locales

Erst wenn man sich als root in den Webmin einloggt und dort unter “Webmin -> Webmin-Konfiguration -> Betriebssystem und Betriebsumgebung” die Systemsprache erzwingt mit:

Variablenname: LC_ALL
Wert: de_DE@euro

dann wird auch Webalizer die Auswertungen auf deutsch anzeigen:

Webalizer V2.01-10 (Linux 2.6.18-5-amd64) locale: de_DE@euro

Webmin
Webalizer

So könnte man beispielsweise das Backup vereinfachen oder mit Eclipse direkt auf dem Webspace arbeiten. Zuerst wird das erforderliche Paket installiert. Debian löst die Abhängigkeiten auf und installiert weitere dazu benötige Programme gleich mit.

apt-get install curlftpfs

nun wird das lokale Verzeichnis erstellt, welche später die FTP-Daten enthält

mkdir -p /mnt/backup_ftp/

Dann muss FUSE (Wikipedia) eingerichtet werden

mknod -m 666 /dev/fuse c 10 229

nun wird der FTP-Server eingebunden

curlftpfs BENUTZER:PASSWORT@FTPSERVER /mnt/backup_ftp/

jetzt kann in dem Verzeichnis gearbeitet werden als ob alle Daten lokal vorliegen würden. Änderungen werden sofort auf den FTP-Server übertragen.

Nach vollendeter Arbeit wird natürlich das Verzeichnis wieder aus dem System genommen

umount /mnt/backup_ftp

Zuerst braucht man das deutsche Wörterbuch. Natürlich ist auch jede andere Sprache dazu geeignet.

apt-get install wngerman

In Debian enthält wngerman die neue Rechtschreibung, wohingegen das Paket wogerman die alte Rechtschreibung enthält.

Um ein bestimmten Wortteil zu finden hilft ein einfacher grep-Befehl, z.B.:

grep –color heim /usr/share/dict/ngerman

einheimischer
einheimsen

oder um ein Wort zu finden, welches auf eine bestimmte Endung, z.B. net aufhört:

grep ‘.*net$’ /usr/share/dict/ngerman | sed ‘s/net/\.net/g’

gekennzeich.net
geleug.net

tcpspy

Protokolliert im Syslog alle ein- und ausgehende TCP/IP-Verbindungen. Aufgezeichnet wird der Benutzername, die lokale Adresse mit Port, die entfernte Adresse mit Port, und optional der Name des Dienstes.

iptraf

Zeigt bestehende Verbindungen an und summiert so z.B. den darüber laufenden Trafic. Angezeigt werden so TCP Info, UDP Zähler, ICMP und OSPF Information, Ethernet Lastinformation, Node Statistiken, IP Checksummen Fehler, usw.

Munin

Erzeugt eine HTML-Auswertung mit Statistiken zum System, wie die offene Verbindung und Prozesse, MySQL-Abfragen, ein- und ausgehender Traffic, Prozessor und Arbeitsspeicher Auslastung.

mtop

Zeigt die Abfragen einer MySQL-Datenbank an und stellt hebt die Dauer der Abfragen farblich hervor, so können “slow queries” gefunden werden.

SSH (Wikipedia) ist ein Netzwerkprotokoll über welches von extern verschlüsselt der Server gesteuert werden kann und Daten ausgetauscht werden können.

Unter Windows ist ein SSH-Login mit PuTTY (Wikipedia) zur Konfiguration und das kopieren von Dateien mit WinSCP (Wikipedia) möglich.

Sehr unsicher ist jedoch das verwenden eines Kennwortes für den direkten root-Zugriff (Wikipedia) auf den Server. Darum wird zuerst ein eigenes Zertifikat erzeugt, dann der Zugriff eingeschränkt und anschließend das Passwort-Raten per sog. Brute-Force Angriff (Wikipedia) blockiert.

1. eigenes Zertifikat erzeugen

Mit dem Windows Programm PuTTYgen kann ein eigener Schlüssel erzeugt werden. Der Vorteil ist, dass wenn mehrere Server zu betreuen sind, dass man diesen Schlüssel auf jedem Server ablegen kann (siehe dazu Punkt 2. Zugriff einschränken) und auch nicht jedesmal ein Kennwort eingeben muss. Denn dies wird von nun an mit dem zusätzlichen Programm Pageant erledigt.

Das hier verwendete Prinzip setzt auf einem öffentlichen Schlüssel (Wipipedia), der ohne Bedenken weitergegeben werden kann und einem privaten Schlüssel (Wikipedia) auf, welcher mit einem Kennwort und vor fremdem Zugriff geschützt werden muss.

In PuTTYgen wird unter Parameters die Einstellung auf SSH-2 DSA gewählt und mit einem Klick auf Generate der Schlüssel erstellt. Nachdem Mausbewegungen für Zufallsparameter gesorgt haben kann ein Kommentar wie z.B. der eigene Name oder E-Mail Adresse eingegeben werden um später mehrere Schlüssel auseinander zu halten.

Für maximale Sicherheit muss der Schlüssel mit einer Passphrase geschützt werden. Im Unterschied zu einem Passwort kann hier auch ein ganzer Satz eingegeben werden.

Der Public key für OpenSSH wird aus dem Fenster rauskopiert und in einer Textdatei gespeichert. Der mit einer Passphrase geschützten Private key wird mit der Endung .ppk auf der Festplatte gespeichert. Dieser kann später mit Pageant geöffnt werden und verschwindet dann als Icon in der Statuszeile neben der Windows-Uhr, um dann Logins mit PuTTY oder WinSCP automatisch mit dem passenden Schlüssel zu versorgen und so einem Zugriff ohne eine nochmalige Passwort-Eingabe zu ermöglichen.

2. Zugriff einschränken

Der eben eingerichteten und kopierten öffentlichen Schlüssel aus dem Feld Public key für OpenSSH wird nun auf dem Server eingerichtet. Dazu benötigt man zuerst einen neuen Benutzer, wenn man sich vorher nur über root verbunden hat.

adduser –ingroup users –disabled-password BENUTZERNAME

im neu erstellten Home-Verzeichniss wird ein neuer Ordner .ssh erstellt und eine neue Datei authorized_keys erstellt und mit den richtigen Rechten versehen:

mkdir /home/BENUTZERNAME/.ssh
touch /home/BENUTZERNAME/.ssh/authorized_keys
chown -R BENUTZERNAME:users /home/BENUTZERNAME/

In diese neue Datei authorized_keys wird der öffentliche Schlüssel kopiert.

Während die Verbindung mit root-Rechten offen bleibt, wird versucht eine neue zusätzliche Verbindung zum Server aufzunehmen. Klappt alles hat man sich nicht selber ausgesperrt.

Nun ist es soweit den Root-Login auf den Server zu verbieten, in der Datei /etc/ssh/sshd_config wird folgende Einstellung vorgenommen:

PermitRootLogin no

Somit wird in Zukunft, nach einem Neustart von sshd ein direkter Root-Zugriff verhindert:

/etc/init.d/ssh restart

Befehle oder Aktionen, wie das einspielen der Sicherheitsupdates, erfordern natürlich auch weiterhin root-Rechte, die aber für normale Benutzer mit entsprechender Kenntnis des Root-Kennworts einfach zu erlangen sind:

su -

3. Brute-Force Angriffe blockieren

beim verfolgen der Einträge in der Protokolldatei /var/log/auth.log fällt sofort auf, dass hier ständig probiert wird Benutzernamen und entsprechende Passwörter zu raten. Die passiert per Brute-Force und meist sogar ohne Wissen der Benutzer der IP. Dies kann sowohl ein von Viren befallener PC, oder ein gehackter Server sein. Da diese meist im Ausland beheimatet sind, ist eine Meldung oder Anzeige kaum erfolgreich.

Hier hilft nur den Server selber mit einer eigenen Firewall zu schützen. Das Tool iptables (Wikipedia) ist dafür ausgelegt, Pakete zu prüfen und entsprechend eingestellter Regeln zu verwerfen.

Wenn gewünscht ist den Angreifer auszubremsen und ihm so ein Passwort-Raten zu erschweren wird ein Shell-Script angelegt, z.b. bfstopper.sh und mit dem folgenden Inhalt befüllt:

iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp –dport ssh -m recent –update –seconds 600 -j DROP
iptables -A INPUT -p tcp –dport ssh –tcp-flags syn,ack,rst syn -m recent –set -j ACCEPT

Somit werden alle wiederholten Verbindungen auf den SSH-Port 22 von der gleichen IP für 600 Sekunden, also 10 Minuten geblockt.

Alternativ gibt es natürlich weitere Methoden, wie das verlegen von SSH auf einen anderen Port, oder ein aktives Pflegen der hosts.allow und hosts.deny Dateien, oder durch das verwenden von fail2ban. Alles etwas überdimensioniert.

OpenSSH
iptables