Bei Login Mail

In der aktuellen Ausgabe des Linux Magazins gibt es in der Rubrik "Aus dem Alltag eines Sysadmins" mal wieder einen sehr interessanten Artikel von Charly Kühnast.

Unter dem Titel "Türspion: Bei Login Mail" beschreibt er dort, wie man seine Systeme so "konfiguriert", dass bei einer sich öffnenden Shell sofort eine Mail an eine festgelegte Mailadresse geschickt wird. Aus der Mail geht dann hervor, wer sich von welchem System aus eingeloggt hat.

Da er so leider nicht dazugeschrieben hat, welche Distribution(en) er einsetzt und ich zeitgleich festgestellt habe, dass dies so unter Produkten von Novell, openSUSE oder auch Debian nicht direkt zu laufen scheint, hier die Kurzanleitung. Immer natürlich abhängig davon, welche Shells den Benutzer zugewiesen sind! Charly spricht im Artikel davon, dass er den im Artikel erwähnten Einzeiler

echo 'Login on' `hostname` `date` `who` | \
mail -s "Login on `hostname` from `who | \
awk '{print $5}'`" user@example.com

in die systemweite "bashrc" einträgt. Unter dem SUSE Linux Enterprise Server, openSUSE und Debian funktioniert dies so allerdings nicht unbedingt. Entweder gibt es beim Einloggen bereits eine Fehlermeldung, die auch einen ungebetenen Gast hellhörig werden lassen würde oder aber die versendete Mail enthält nicht ganz die gewünschten Informationen in der Betreffzeile. Daher gehen wir das hier mal entsprechend für die einzelnen Distributionen durch :-)

Um im SUSE Linux Enterprise Server einen wie im Artikel erwähnten Effekt für den Benutzer root zu erwirken muss die Datei

/etc/bash.bashrc.local

angelegt und mit folgendem Inhalt

WHO_AKTUELL=`who -m | /usr/bin/awk '{print $6}'`
echo 'Login on' `hostname` `date` `who -m` | \
mail -s "Login on `hostname` from $WHO_AKTUELL" \ user@example.com

gefüllt werden. Wird die Variable "WHO_AKTUELL" vorher nicht gesetzt, sondern der entsprechende Befehl mit in die echo-Zeile gepostet, erscheint der Rechnername von dem aus der Login erfolgte nicht in der Betreffzeile der Mail. Dies würde jetzt für alle Logins funktionieren, bei denen der Benutzer die bash als Standard-Shell hat.

Die normalen Benutzer erhalten bei mir zum Beispiel die tcsh als Standard-Shell. Um auch diesen Fall mit abzudecken legen wir erst einmal die Datei

/etc/csh.login.local

an und füllen Sie mit dem folgenden Inhalt

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | /usr/bin/awk '{print $6}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mail -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

Nachdem dies dann gespeichert ist, bekommen wir auch von diesen Benutzern beim Login eine entsprechende Mail-Benachrichtigung. "user@example.com" steht hier natürlich jeweils für die Mail-Adresse, an die die Information gesendet werden soll.

"Normale" Benutzer berücksichtige auch auch deshalb, weil es ja vielleicht durchaus Systeme gibt (geben könnte), auf denen zum Beispiel ein Login des Benutzers "root" komplett untersagt ist um vielleicht besser nachzuvollziehen, welcher Benutzer via "su" zum Administrator geworden ist.

Kommen wir nun zu den openSUSE-Produkten. Hier ist es eigentlich ähnlich, lediglich der awk-Befehl unterscheidet sich im zweiten Fall ein wenig. Für bash als die Standard-Shell muss die Datei

/etc/bash.bashrc.local

angelegt und mit dem Inhalt

WHO_AKTUELL=`who -m | /usr/bin/awk '{print $6}'`
echo 'Login on' `hostname` `date` `who -m` | \
mail -s "Login on `hostname` from $WHO_AKTUELL" \ user@example.com

gefüllt werden. Ist also nichts anderes als oben auch. Für die tcsh als Standard-Shell muss auch hier erst einmal die Datei

/etc/csh.login.local

angelegt werden. Hier kommt als Füllung folgendes zum Einsatz

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | /usr/bin/awk '{print $5}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mail -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

Der/Die aufmerksame Leser/in wird hier das "/usr/bin/awk '{print $5}'" bemerkt haben. Dies sorgt bei openSUSE mit der tcsh als Shell für die Ausgabe des Rechnernamens, von dem aus der Login erfolgte. Würden wir hier $6 verwenden, wäre die Ausgabe leer.

Was Debian als Distribution angeht: Für Benutzer mit der bash als Standard-Shell funktioniert es wie im Artikel selbst beschrieben. Für meine Benutzer, die die tcsh als Standard-Shell benutzen musste ich die Datei

/etc/csh/login.d/csh.login.local

anlegen und mit folgendem Inhalt füllen:

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | awk '{print $5}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mail -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

Naja, und wenn ich schon einmal dabei bin, kann ich mich ja auch noch "kurz" Sun Solaris annehmen :-) Hier habe ich für die bash als Standard-Shell einfach mal kurz die Zeile

echo 'Login on' `hostname` `date` `who` | \
mailx -s "Login on `hostname` from `who | \
awk '{print $6}'`" user@example.com

an die Datei

/etc/profile

angehängt. Wichtig ist hier anstatt dem Befehl "mail" den Befehl "mailx" zu verwenden, da die Betreffzeile ansonsten leer bleibt. Für Benutzer mit der tcsh als Standard-Shell wird eine Datei

/etc/.csh

angelegt und mit dem Inhalt

setenv HOSTNAME `hostname`
setenv DATE `date`
setenv WHO `who -m`
setenv WHO_AKTUELL `who -m | awk '{print $6}'`
echo 'Login on' $HOSTNAME $DATE $WHO | \
mailx -s "Login on $HOSTNAME from $WHO_AKTUELL" \ user@example.com

gefüllt. Et voilà: It works ;-) Auch hier natürlich wieder mit "mailx" anstelle von "mail".

Ein kleines "Problem" tritt aber dennoch auf. Nutzt man zum Beispiel Skripte oder ähnliches, die per SSH mit SSH-Keys Befehle auf Zielrechnern ausgeführen, ist die Zeitspanne wohl so gering, dass es nicht reicht um zu schauen, von welchem Rechner der Login kommt. Also ein einfaches "ssh who Rechnername" führt dazu, dass man zwar eine Meldung bekommt, dass dort was war, aber es geht aus der Mail nicht hervor, wer oder was es war. Hierfür habe ich auf die Schnelle so auch keine Lösung parat. Wird aber weiter untersucht.

Durchsuchung verschiedener Arten von Dateien/Dokumenten

Durch einen Eintrag auf der deutschen openSUSE-User-Mailingliste bin ich auf eine Fragestellung bzgl. der Durchsuchung von Dokumenten verschiedenster Arten aufmerksam geworden.

Das ganze ist eine Problematik, die bei uns auch des öfteren mal autritt. Daher habe ich die beiden neben "Google Desktop" genannten Tools Recoll und DocFetcher einmal einer näheren Überprüfung unterzogen. Wichtig war hier neben der Tatsache, dass es nicht unbedingt das Google-Produkt sein sollte/musste, der Punkt, das es möglichst auf verschiedenen Plattformen (Linux, Solaris, Windows, etc.) lauffähig sein sollte.

Da Recoll ein Tool für Linux/Unix ist, fällt es daher eigentlich schon einmal raus. Angesehen habe ich es mir trotzdem einmal, da ich selbst eigentlich nur unter Linux bzw. Unix arbeite. Nach dem Start fängt das Tool dann auch gleich erst einmal an, das gesamte Homeverzeichnis zu indizieren. Neben der Tatsache, dass dies recht lange dauern kann, werden auch alle möglichen Cache-Dateien, Logdateien, usw. durchlaufen. Ist nicht so wirklich praktisch. Der "normale" Anwender will es sicherlich auf Office-Dokumente, PDF-dateien, etc. beschränken. Kann man aber auch entsprechend konfigurieren. Klickt man nach dem Start so allerdings erst einmal auf weiter, muss man die Indizierung entweder einmal komplett durchlaufen lassen oder aber abbrechen.

Komfortabler ist da schon das Tool DocFetcher. Auffällig hier: Es gibt auch eine portable Version, die sich zum Beispiel auch für USB-Stick o. ä. eignet. Nach dem Start sind auf der linken Seite alle Dokumenttypen ausgewählt. In der Spalte drunter kann man dann zum Beispiel das zu indizierende Verzeichnis festlegen. Die eigentliche Indizierung der Dateien dauert dann je nach Anzahl und Größe aber natürlich auch wieder seine Zeit. Anschließend kann man recht komfortabel in diesen Dateien suchen.

Fazit: Bei uns auf der Arbeit wird wohl DocFetcher bei den Kolleginnen und Kollegen einmal einen ausführlichen Test machen.

Shinken - Ein weiterer Nagios-Fork

Ich hatte ja bereits vor knapp einem Jahr schon einmal darüber geschrieben, dass mit Icinga ein Nagios-Fork oder -Clone entstanden ist, weil man mit der aktuellen Entwicklung von Nagios nicht mehr wirklich zufrieden ist. Es tut sich einfach viel zu wenig.

Nun gab es in der aktuellen Ausgabe 04/2010 des Linux Magazins einen Artikel mit dem Titel "Auf Messers Schneide - Ein neuer Nagios-Fork bietet bereits vielversprechende Features". Hierbei geht es um das Monitoring-Tool Shinken, welches federführend vom Franzosen Jean Gabès entwickelt wird.

Eigentlich hat er Shinken (Erklärung der Namensherkunft bei Wikipedia) entwickelt um zu verhindern, dass ein neues Produkt oder ein Abkömmling von Nagios selbigem den Rang ablaufen. Hintergrund ist, dass sich in der Entwicklung von Nagios seit geraumer Zeit nicht mehr wirklich etwas tut. Zudem wirkt es teilweise recht altbacken und unmodern, ist in C geschrieben und laut dem Artikel aus dem Linux Magazin wohl auch schlichtweg nicht mehr wartbar.

Daher schrieb Gabès Nagios komplett in der Skriptsprache Python neu und schlug auch dem Nagios-Erfinder Ethan Galstad vor, diese Neuimplementierung als Grundlage für die künftige Version 4 von Nagios zu verwenden. Leider erhielt er wie viele andere auch keinerlei Antwort oder eine Reaktion von Galstad selbst, lediglich von anderen Personen.

Aus diesem Grund wird er Shinken nun als Nagios-Fork weiterentwickeln. Es wird damit gerechnet, dass Shinken bereits im Mai 2010 zu 100% kompatibel mit den Konfigurationsdateien von Nagios ist. Zudem hat Gabès die Tür für eine Rückführung des Codes in das Nagios-Projekt nicht ganz zugeschlagen.

Wird für mich heißen: Neben einem Test von Icinga steht wohl auch einer von Shinken an ...

Role-based access control

Ebenfalls wurde im Rahmen der Veranstaltung "Solaris - Secure by Design" von Jörg Möllenkamp (Principal Field Technologist, Sun Microsystems) über das sogenannte Role-based access control gesprochen.

Jeder, der mit Linux- oder Unix-Systemen zu tun hat, dürfte der Administratoraccount root etwas sagen. Mit diesem Account ist man Superuser und hat eigentlich Zugriff auf alles im System. Nun gibt es aber auch Fälle, wo man überlegt, ob man einem Kollegen oder sogar einer studentischen Hilfskraft bspw. an einer Universität den Vollzugriff auf das System gibt, nur damit zum Beispiel eine einzelne Aktion durchgeführt werden kann.

Hoer kommt auf einem Solaris-System dann das Role-based access control (RBAC) ins Spiel. Hiermit ist nämlich möglich einem Benutzer bzw. einem Account nur ganz bestimmte Rechte zuzuweisen, die beispielsweise notwendig sind, um einen Webserver zu starten. Zusätzliche, nicht benötigte "normale" Benutzerrechte können zeitgleich entzogen werden.

Ein gutes um umfassendes Whitepaper dazu gibt es unter dem Titel "RBAC in the Solaris Operatin Environment" (PDF) direkt bei Sun. Aber auch Jörg Möllenkamp hat auf seinem Blog unter dem Titel "Less known Solaris features: RBAC and Privileges" eine dreiteilige An- bzw. Einleitung mit Beispielen veröffentlicht.

Basic Audit Reporting Tool (BART)

Durch die Veranstaltung "Solaris - Secure by Design" von Jörg Möllenkamp (Principal Field Technologist, Sun Microsystems) bin ich auf das Basic Audit Reporting Tool (BART) für Solaris aufmerksam geworden.

Es handelt sich dabei um ein Tool, mit dem sich Veränderungen im Dateisystem aufspüren lassen. Interessant ist es daher in erster Linie sicherlich für Systeme, die neu aufgesetzt werden. Wer kann bei bereits laufenden Systemen schon zu 100% sagen, dass alles in Ordnung ist?!

BART arbeitet auf der Dateisystem-Ebene. Das Tool wird nach der Systeminstallationen, -konfiguration und der Einspielung aller notwendigen Updates einmal ausgeführt. Die dabei entstehenden Ergebnisse sollte man am besten in eine Datei schreiben und gut (also sicher :-) ) zur Seite legen. So hat man für jeden beliebigen, späteren Zeitpunkt einen Vergleich, was sich im System verändert hat.

BART kann zudem nach den eigenen Voraussetzungen bzw. Wünschen konfiguriert werden. So lassen sich dann auch nur bestimmte Verzeichnisse oder Dateien "überwachen". Weitere Informationen hierzu finden sich im "System Administration Guide: Security Services" (PDF) ab Kapitel 5, Seite 101ff. sowie im Blog-Eintrag "Less known Solaris features: BART" von Jörg Möllenkamp.

Sun Days North 2009

Auch im Jahr 2009 hat die Firma Sun Microsystems GmbH wieder ihre sogenannten Sun Days durchgeführt. Am 12. Mai 2009 gab es im Regionalen Rechenzentrum für Niedersachsen (RRZN) in Zusammenarbeit mit der Firma MCS Moorbek Computer Systeme GmbH den Sun Day in Hannover.

Zum Thema mit der Übernahme von Sun durch Oracle wurde vorab nicht viel gesagt. Zum Teil weil es nichts zu sagen gibt, zum Teil, weil man nichts sagen darf. Verwiesen wurde diesbezüglich nur auf die Internetseiten http://www.sun.com/oracle bzw. http://www.oracle.com/sun. Dort sollen im Laufe der Zeit alle wichtigen Informationen veröffentlicht werden.

Im Laufe der Veranstaltung gab es fünf größere Themenblöcke. Den Anfang machte das Thema Solaris/OpenSolaris. Demnach kann man mit dem Nachfolger für Solaris 10 evtl. Mitte 2010 rechnen. Weitere Themen waren OpenStorage, Software, Storage und Virtualisierung. Bei letzterem Punkt konnte aber bspw. auch noch nicht gesagt werden, wie es mit Sun xVM Server aussieht bzw. weitergeht. Zudem wurden noch einige interessante Anwendungsbeispiele für Dtrace gezeigt. Habe das dazu passende Video jetzt aber leider nicht zur Hand ...

Buch "OpenSolaris"

Ein etwas dickeres Buch ist nun auch endlich "durchgearbeitet". Es trägt den Titel "OpenSolaris für Anwender, Administratoren und Rechenzentren" und hat knapp 1.160 Seiten.

Da es sich allerdings mehr um ein Komplettwerk und aus meiner persönlichen Sicht um ein Nachschlagewerk handelt, würde ich auch nicht unbedingt empfehlen, es von vorne bis hinten durchlesen zu wollen. Aber es gibt eine nette Übersicht über das Betriebssystem und erläutert alle entsprechend vorhandenen und notwendigen Tools. Und dies vor allem auf der reinen Kommandozeilenebene. Ist ja nicht unwichtig, denn bei einem Systemcrash oder ähnlichem steht einem ja meist auch keine GUI zur Verfügung!

Das Buch:
OpenSolaris für Anwender, Administratoren und Rechenzentren
Dietze, Rolf; Heuser, Tatjana; Schilling, Jörg
Springer-Verlag, 2006, Berlin Heidelberg
ISBN 978-3-540-29236-4
Preis 79,95€

Solaris, OpenLDAP & NFS II

Ein weiterer Bericht zum Thema Solaris in Verbindung mit OpenLDAP. Auch die Benutzerauthentifizierung funktioniert mittlerweile einwandfrei. Hierzu sind neben den Unterlagen von Gary Tay auf jeden Fall auch noch der Blogeintrag von "Lord Mac" zu empfehlen. Das Solaris-Tool "ldapclient" ist aus meiner Sicht allerdings nicht unbedingt zu empfehlen. Die Schritte habe ich dann doch lieber von Hand gemacht. Denn wenn man da nicht aufpasst bzw. nicht dran denkt bspw. hinterher die Datei /etc/nsswitch.conf wieder entsprechend anzupassen, sucht man evtl. etwas länger nach Problemen. Und selbst der SSH-Login via Publickey-Verfahren funktioniert einwandfrei.

Solaris, OpenLDAP & NFS

Aktuell ärgere ich mich mal wieder mit Problemen von Sun Solaris 10-Clients herum. Diese sollen per Automount Verzeichnisstruktur über einen OpenLDAP-Server wie unter anderem die Homeverzeichnisse mounten. Es ging einige Zeit lang trotz intensivster Recherche nicht, bis ich dann unter Solaris im Verzeichnis /etc mal die Dateien auto_master sowie auto_home entfernt habe. Und siehe da: Geht! Nur für den Fall, dass auch noch mal jemand sucht (oder ich in einigen Monaten selbst ...).

Ein recht merkwürdiges Problem ist mir dann noch beim Export von Verzeichnissen unter Solaris aufgefallen. Als Import-Clients kommen Rechner mit diversen openSUSE-Versionen zum Einsatz. Mit openSUSE 10.2 und openSUSE 11.0 lief das auch alles ohne Probleme. Lediglich openSUSE 10.3 zickte rum. Der Grund liegt darin, dass mit der Version 10.3 von Novell wohl das "Tool" mount.nfs eingeführt wurde, dass im Verzeichnis /sbin liegt. Dies kann aber vom normalen Benutzer nicht ausgeführt werden, lediglich von root. Ein chmod u+s /sbin/mount.nfs behebt das Problem dann. In der Version 11.0 ist diese Einstellung auch der Standard ...

So, und jetzt kommt noch ein bißchen Sun Solaris in Verbindung mit OpenLDAP-Authentifizierung, etc. dran.
Da klappt leider auch noch nicht alless. Aber ich habe ja schon von verschiedensten Seiten gehört, dass man da nicht nur Tage reinstecken kann.

Happy Birthday ...

... und zwar zum 2. Geburtstag! Wer? Natürlich die ultimative Plattform der SYSTEMHELDEN. Zu finden unter http://www.systemhelden.com.

Wie schnell doch zwei Jahre ins Land gehen können. Mittlerweile haben sich über 500 Personen zusammengefunden.

Sun SPARC Enterprise CoolThreads Server

Da hier auf der Arbeit gerade einige Skripte, etc. durchlaufen, bleibt momentan etwas Zeit zum bloggen :-)

Am gestrigen Freitag habe ich dem Webcast "Sun SPARC Enterprise CoolThreads Server" durch Rolf Kersten von Sun Microsystems beigewohnt und muss schon sagen: Die beiden Servermodelle T5140 und T5240 könnten mir durchaus gefallen. Gerade auch durch die Möglichkeit bis zu 128 Logical Domains und dort jeweils bis zu 8.000 Solaris Container betreiben zu können. Und auch preislich liegen die Geräte durchaus gut im Rennen. Selbst wenn man die aktuellen Angebote von Sun mit bis zu 45% Rabatt einmal außen vor lässt!

Tja, nur leider leider wird es hier eine solche Anschaffung in der kommenden Zeit wohl nicht geben ...