Kategorien
Forensik Linux security

Hostkeys und Moduli für sshd erneuern

Bei einem neu eingespielten Raspberry Pi Betriebssystem Image sollten die Hostkeys und die Moduli Datei des SSH Dienstes sshd ausgetauscht werden.

Die Hostkeys dienen der Authentifizierung des Servers und, zusammen mit der Moduli Datei, der Initialisierung der Verschlüsselung. Um die Verschlüsselung nicht angreifbarer zu halten als unbedingt notwendig sollten die Moduli und Keys für jeden Computer unterschiedlich sein.

1.) löschen der alten Hostkeys und der Moduli Datei von sshd

sudo rm /etc/ssh/ssh_host_key
sudo rm /etc/ssh/ssh_host_key.pub
sudo rm /etc/ssh/ssh_host_rsa_key
sudo rm /etc/ssh/ssh_host_rsa_key.pub
sudo rm /etc/ssh/ssh_host_dsa_key
sudo rm /etc/ssh/ssh_host_dsa_key.pub
sudo rm /etc/ssh/moduli

2.) Hostkey für sshd neu generieren

sudo /usr/bin/ssh-keygen -t rsa1 -f /etc/ssh/ssh_host_key -N ""
sudo /usr/bin/ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N ""
sudo /usr/bin/ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N ""
sudo /usr/bin/ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -C "" -N ""
sudo /usr/bin/ssh-keygen -t ecdsa -f /etc/ssh/ssh_host_ecdsa_key -C "" -N ""

3.) Moduli Kandidaten für sshd generieren und wählen

# moduli kandidaten generieren

ssh-keygen -G moduli-2048.candidates -b 2048

# sichere kandidaten wählen

ssh-keygen -T moduli-2048 -f moduli-2048.candidates
cat moduli-2048 > /etc/ssh/moduli

Wenn jetzt, nach diesem Hostkey und Moduli Update eine Verbindung zu disem SSH-Server hergestellt werden soll wird die Fehlermedung „WARNING: POSSIBLE DNS SPOOFING DETECTED!“ und die Fehlermeldung „WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!“ angezeigt. Mit ssh-keygen kann der alte Hostkey aus der known_hosts Datei entfernt werden.:

ssh-keygen -R servername
Kategorien
Linux Windows

iperf nutzen die Netzwerkgeschwindigkeit zu ermitteln

TCP Netzwerk-Geschwindigkeit via iPerf zwischen einem Windows und einem Linux Server prüfen.

Unter Windows den iPerf-Server starten

C:\iperf>iperf.exe -s
------------------------------------------------------------
Server listening on TCP port 5001
TCP window size: 64.0 KByte (default)
------------------------------------------------------------

durch die Option -s startet iperf im Servermodus und lauscht auf Port 5001. Alternativ kann via -p oder –port ein Port angegeben werden auf dem iperf lauschen soll.

Unter Linux mit dem iPerf Client auf den Server zugreifen

[root@LinuxTest ~]# iperf -c 10.0.0.5
------------------------------------------------------------
Client connecting to 10.0.0.5, TCP port 5001
TCP window size: 16.0 KByte (default)
------------------------------------------------------------
[  3] local 10.0.0.4 port 47326 connected with 10.0.0.5 port 5001
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.0 sec   308 MBytes   258 Mbits/sec

Interval: Wie lange der Test ausgeführt wurde
Transfer: Welche Datenmenge übertragen wurde
Bandwidth: Die bei der Übertragung erreichte Bandbreite

Auch hier kann wieder mit der Option -p oder –port der Port angegeben werden den iperf verwenden soll.

iPerf startet dann eine Netzwerkverbindung zum angegebenen Server und überträgt Zufallsdaten.

iPerf ist aktuell für Windows, Linux, Android, MacOS X, FreeBSD, OpenBSD, NetBSD, VxWorks und Solaris verfügbar.

Download des Quellcodes unter https://iperf.fr/

Kategorien
Windows

Hörbücher vom mp3 nach AAC umwandeln

Ich versuche mich hier an einer einfach zu folgenden Anleitung nach der das umwandeln eines im mp3 Format gespeicherten Hörbuchs in das AAC Format jedem gelingen Sollte.

Vorbereitungen

Voraussetzungen das dies gelingt sind zwei Tools, der Nero AAC Encoder und das Tool „sox“.:

In meinem Beispiel habe ich die im Ordner „win32“ des Zip-Archives NeroAACCodec-1.5.1.zip enthaltene Datei „neroAacEnc.exe“ auf einen USB Stick „e:“ entpackt. Die Datei sox-14.4.2-win32.zip entpackte ich ebenfalls nach „e:“ und benannte den entstandenen Ordner „sox-14.4.2“ um in „sox“, das ist schneller zu tippen.

SOX kann leider nicht ohne weiteres mp3 Dateien lesen. In das SOX-Verzeichnis muss noch die Bibliothek LibMAD (Lib Mpeg Audio Decoder) kopiert werden, welche unter dem folgenden Link gefunden werden kann:
http://ossbuild.googlecode.com/svn/trunk/Shared/Build/Windows/Win32/bin/libmad-0.dll

Für den Fall das wir irgendwann einmal mp3 Dateien mit Sox erzeugen möchten brauchen wir auch die Biblithek mp3 Lame Encoder. Diese wird genau wie die LibMAD direkt in das Verzeichnis sox auf Laufwerk e: kopiert.
http://ossbuild.googlecode.com/svn/trunk/Shared/Build/Windows/Win32/bin/libmp3lame-0.dll

mp3 in Wave Dateien „Entpacken“

Hörbuch Ordner mit e: auf das Laufwerk des Hörbuchs wechseln, im Anschluss mit cd „hörbuch“ in den Hörbuch Ordner wechseln und die beiden Ordner „mp3“ und „wav“ anlegen.

mkdir mp3 wav

Im Anschluss die mp3 Dateien in den Ordner mp3 verschieben:

move *.mp3 mp3

Die MP3 Dateien entpacken, hier wird je nach Länge des Hörbuchs sehr viel Platz beanschlagt, um die 10 MB je Minute Audiomaterial.

FOR %A IN ("mp3\*.mp3") DO e:\sox\sox.exe "%A" "wav\%~nA.wav"

Wave Dateien AAC Codieren

Nach dem das Audiomaterial wieder entpackt vorliegt kann der nero AAC Encoder NeroAacEnc auch wieder etwas mit dem Material anfangen. Mit der folgenden Schleife werden alle auf „.wav“ endenden Dateien von neroAacEnc in das aktuelle Verzeichnis als .aac Datei mit einer Qualität von 0,25 gespeichert.:

FOR %A IN ("wav\*.wav") DO e:\neroAacEnc.exe -q .25 -if "%A" -of "%~nA.aac"

Die Dateierweiterung „.aac“ hat es keine nähere bewandnis. Die legitimen Dateierweiterungen für das MPEG-2 Dateiformate der Ausgabedatei sind .aac, .3gp, .mp4, .m4a, .m4b, .mpg und .mpeg jedoch spielt die Dateierweiterung für den Inhalt der Datei keine Rolle.

Zusatzinformationen

Ich habe mit dem zusammenzufügen der AAC Dateien und mit Kapietelmarkern und Covern in den zusammengefügten Audiobüchern experimentiert, genau wie dies im „m4b“ Audiobook Format von Apple vorgesehen ist. Leider bietet dies keine vorteile im von mir präferierten „Smart AudioBook Player“

Kategorien
Linux Video

Linux Desktop als Stream im Netzwerk bereitstellen

manchmal wünsche ich mir den Linux-Desktop riesengroß auf meinem Projektor im Wohnzimmer darzustellen. Meinen PC zum Projektor tragen, Steckdosen und langes HDMI Kabel suchen mag ich aber nicht. Da ich meinen Projektor jedoch über einen Raspberry Pi mit Kodi-Mediacenter betreibe kann ich mit Hilfe von avconv (oder, wer dies lieber mag, auch mit ffmpeg die Optionen sind die gleichen) das Audiosignal und Videobild vom meinem Desktop aufnehmen und das Ergebnis zum Kodi streamen.

X11 Desktop als Stream Aufnehmen

Den Aufgezeichneten Stream sende ich via VLC in mein lokales Netzwerk. Auf meinem XBMC erstelle ich dann eine neue Quelle, in der eine  STRM Datei liegt.

avconv -f alsa -ac 2 -i default -f x11grab -r 25 -s 1920x1080 -i :0.0 -acodec libmp3lame -vcodec libx264 -preset ultrafast -threads 0 -f mpegts - | vlc -I dummy - --sout='#std{access=http,mux=ts,dst=:37777}'

Die Audioquelle ist hier Alsa (-f alsa), über die ich den Stereoton (-ac 2) von dem Standard Audiogerät der gewählten Soundkarte (-i default) aufnehme.
Die Videoquelle ist der x11 Desktop (-f x11grab), deb ich mit einer Bildwiederholrate von 25 Bildern in der Sekunde (-r 25) und in der Auflösung des Desktops 1920×1080 Pixel aufnehme. Der Linux Desktop :0.0, dies ist der erste gestartete X11 Desktop, wird aufgenommen (-i :0.0).

Die Kompression der Audioaufnahme soll mit mp3 in den Standarteinstellungen erfolgen (-acodec libmp3lame), als Videocodec soll x264 (libx264) mit dem Preset „Ultrafast“ und allen verfügbaren CPU Kernen um die Kompression zu verteilen. Die Ausgabe soll in einem MPEG TS Container erfolgen (-f mpegts).

Dann wird das Fertige Video an vlc übergeben (vlc -I dummy -) und an das Netzwerk ausgegeben.

den Stream Wiedergeben

Wenn der Stream auf dem Linux-PC gestartet wurde kann er im Kodi-Mediacenter mit Hilfe einer, folgend beschriebenen, STRM Datei geöffnet werden.

Die STRM Datei „Stream.strm“ ist eine Textdatei, Sie enthält das Protokoll, die IP-Adresse des Streamenden Computers und den Port über den der Stream ausgegeben wird.:

http://192.168.0.13:37777
Kategorien
Allgemein

Vice Konfiguration für das SpielRegal

Im SpieleRegal verwenden wir die EMulationStation, für den RaspberryPi greifen über das GPIO-Interface Arcade-Knöpfe auf fest vorgegebene Buchstaben Tasten. In dieser Anleitung beschreibe ich die Vice Konfiguration, um die Cursortasten dem Joystik in Port 2 des C64, die Taste A der Feuertaste des Joystik und die für das Spiel Turrican die benötigten Tasten [Space] für die Energielinien, [F7] für die Granate und [CTRL] um den Pause-Modus zu aktivieren.

Die Tastaturbelegung für den C64 Emulator Vice wird in der Datei /home/pi/.vice/sdl-keymap.vkm festgelegt. diese Erhält den Folgenden Inhalt.:

!CLEAR
98 7 4 8 /* B => Space */
121 0 3 8 /* Y => F7 */
13 7 2 8 /* Start (enter) => CTRL (Pause) */

Die in den Bereichen /* Kommentar */ enthaltenen Kommentare erklären die Funktion der vorangegangenen Zahlenfolgen. Die erste Zahl ist der Tastaturcode, die zwei bis drei folgenden Tahlen was im C64 ankommen soll.

Die Joystick belegung kommt in die Datei /home/pi/.vice/sdl-joymap-C64.vjm und lautet wie folgt.:

276 -2 4 /* CRSR LEFT => joy2 left /*
273 -2 8 /* CRSR UP => joy2 up */
275 -2 6 /* CRSR RIGHT=> joy2 right */
274 -2 2 /* CRSR DOWN => joy2 down */
97 -2 0 /* A => joy2 fire */

Und zum Exit des Emulators legen wir noch die Datei /home/pi/.vice/sdl-hotkey-C64.vkm mit dem folgenden Inhalt an.:

KEY             27          IDM_EXIT                          X

Hier wird das Verlassen des EMulators auf die Taste [ESC] gemappt, ursprünglich ist dies die Tastenkombination [Alt]+[X]

Zu guter letzt geben wir in der Datei /home/pi/.vice/sdl-vicerc noch an, welche Konfigurationsdateien der C64 Emulator Vice laden soll:

[C64]
KeymapSymFile="/home/pi/.vice/sdl-keymap.vkm"
MachineVideoStandard=-1
JoyMapFile="/home/pi/.vice/sdl-joymap-C64.vjm"
HotkeyFile="/home/pi/.vice/sdl-hotkey-C64.vkm"

Im Anschlus funktioniert die Steuerung des Vice C64 Emulators vollständig über die Arcade Knöpfe. Das Anschließen einer Tastatur an den Raspberry Pi ist zum Spielen von C64 Spielen nicht länger notwendig.

Kategorien
Allgemein

Apache mit vorkomprimierten Dateien

Dateien gz koprimiert vom Webserver ausliefern zu lassen kann Internetseiten erheblich beschleunigen. Leider kommt es bei der Anfrage immer zu einer kurzen Verzögerung, wärend mod_gzip oder mod_deflate die Dateien Komprimieren.
Diese Zeit lässt sich erheblich verkürzen, wenn die Dateien nicht erst bei der Auslieferung komprimiert werden sondern bereits als fertig komprimierte Dateien auf dem Server vorliegen und direkt ausgeliefert wird.

Auch lassen sich viele Dateien mit Zopfli erheblich besser komprimieren als mit dem klassischen gzip Programm.

Mit mod_rewrite kann auf einfache Weise anstelle einer Datei, die parallel zur Datei hinterlegte *.gz Datei augeliefert werden.

RewriteEngine On
RewriteCond %{HTTP:Accept-encoding} gzip
RewriteCond %{REQUEST_FILENAME}\.gz -s
RewriteRule ^(.*)\.css $1\.css\.gz [QSA]

Wenn eine Dateien deren Name der auf die Dateierweiterung „.css“ endet von einem Browser der bei der Anfrage der Datei angegeben hat das er gzip Unterstützung bietet angefragt wird, prüft mod_rewrite ob eine Datei gleichen Namens als „.css.gz“ im gleichen Verzeichnis vorliegt. Sollte die entsprechende Datei vorliegen, wird diese Datei an stelle der angefragten „.css“ Datei mit gzip header ausgeliefert.

Die letzte angegebene Zeile kann für weitere Dateierweiterungen angepasst werden. Für JavaScript Dateien wird jedes Vorkommen von „.css“ auf „.js“ geändert.:

RewriteRule ^(.*)\.js $1\.js\.gz [QSA]

Eine Kompression ist für alle statischen Dateien Sinnvoll, die nicht andeweitig bereits komprimiert vorliegen. Besonders ist eine Vorkompression für Javascript Dateien (.js), HTML-Dateien (.html, .htm), XML-Dateien (.xml), Textdateien (.txt) sowie Stylesheets (.css) angebracht.

Kategorien
Forensik Linux

FTP Geschwindigkeit von der Linux Shell aus messen

Manchmal erscheinen FTP Server unglaublich langsam. Um einen realistischen Geschwindigkeits Test durchzuführen habe ich mir den Folgenden Weg überlegt.

1.) Testdateien erstellen

~]> dd if=/dev/urandom of=~/test1M count=1 bs=1M
1+0 Datensätze ein
1+0 Datensätze aus
1048576 Bytes (1,0 MB) kopiert, 0,170467 s, 6,2 MB/s
~]> dd if=/dev/urandom of=~/test10M count=10 bs=1M
10+0 Datensätze ein
10+0 Datensätze aus
10485760 Bytes (10 MB) kopiert, 1,15114 s, 9,1 MB/s

2.) Verbindung zum FTP Server herstellen

~]> ftp ftp.server.local
Connected to ftp.server.local.
220 FTP-Backupspace
Name (ftp.server.local:root): benutzer
331 Password required for benutzer
Password:
230 User benutzer logged in
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>

3.) Die Testdateien zum Server übertragen

ftp> put test1M
local: test1M remote: test1M
200 PORT command successful
150 Opening BINARY mode data connection for test1M
226 Transfer complete
1048576 bytes sent in 0.12 secs (8661.7 kB/s)
ftp>
ftp> put test10M
local: test10M remote: test10M
200 PORT command successful
150 Opening BINARY mode data connection for test10M
226 Transfer complete
10485760 bytes sent in 1.81 secs (5655.2 kB/s)
ftp>

4.) Die Testdateien vom Server zurück übertragen

ftp> get test1M
local: test1M remote: test1M
200 PORT command successful
150 Opening BINARY mode data connection for test1M (1048576 bytes)
226 Transfer complete
1048576 bytes received in 0.11 secs (9278.0 kB/s)
ftp>
ftp> get test10M
local: test10M remote: test10M
200 PORT command successful
150 Opening BINARY mode data connection for test10M (10485760 bytes)
226 Transfer complete
10485760 bytes received in 1.13 secs (9039.9 kB/s)
ftp>

5.) Aufräumen

ftp> delete test1M
250 DELE command successful
ftp> delete test10
550 test10: No such file or directory
ftp> delete test10M
250 DELE command successful
ftp>
ftp> quit
221 Goodbye.
~]> rm test1M
~]> rm test10M

6.) Auswertung

Die Übertragung der Dateien erfolgte in meinem Beispiel mit mindestens (5655.2 kB/s) zum FTP Server und mit mindestens (9039.9 kB/s) vom Server zum Computer.

Wenn ihr einen Besseren Weg kennt die FTP Geschwindigkeit zu messen, meldet euch

Kategorien
Linux security

Webhosting Datei und Ordnerrechte korrigieren.

Da viele dubiose Anleitungen behaupten das in Webhosting Paketen, Dateien ungewöhnliche Rechte erhalten sollen. Die meisten Anleitung sind der Überzeugung das die einzigen gültigen Rechte für einen Ordner 777 seien, das jedem alles erlaubt sein soll.
Manchmal sollen auch völlig chaotische Dateirechte, möglichst kreativ vergeben werden.

Die meisten Provider geben jedoch die Rechte 644 für Dateien und 755 für Ordner vor. Häufig werden, wenn „andere“ Schreibrechte bekommen auch die Aufrufe über http blockiert, ein freundliches „403 Forbidden“ wird dann den Besuchern angezeigt.

Dieses Rechtegewirr kann jedoch durch 3 einfache Zeilen in der Linux Shell schnell wieder behoben werden.

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
find . -name .ht* -exec chmod 640 {} \;

 

Kategorien
Linux

Raspberry Pi 2 – Arch Linux Installation aus einem Linux System

Vorbereiten der SD-Karte. Ersetze sdX in den folgenden Schritten durch den entsprechenden Namen des Gerätes unter dem deine SD-Karte in Linux erschienen ist. (leicht über dmesg|tail direkt nach Anschluss der SD-Karte zu finden)

  1. Starte fdisk um die SD-Karte zu partitionieren:
    sudo –s # um alle folgenden Schritte als Benutzer root auszuführen
    fdisk /dev/
    sdX
  2. In der fdisk Eingabe lösche die alten Partitionen und erstelle die neuen:
    1. Der Befehl o löscht alle Partitionen auf der Karte.
    2. p zeigt alle vorhandenen Partitionen an. Es sollte keine mehr existieren
    3. Wähle n, für neue Partition, dan p für primäre Partition, im Anschluss 1 für die erste Partition, danach ENTER um den ersten Sektor zu bestätigen und +100M für den letzten Sektor.
    4. Im Anschluss t, danach c um den Typ der Partition auf „W95 FAT32 (LBA)“ zu setzen.
    5. Drücke n, dan p im Anschluss 2 für die zweite Partition dann ENTER zwei mal um sowohl den ersten als auch den letzten Sektor zu bestätigen.
    6. Schreibe die Partitionstabelle und verlasse das Programm mit w.
  3. Erstellen des ext4 Dateisystems:
    mkfs.ext4 /dev/sdX2
    mkdir /mnt/root
    mount /dev/sdX2 /mnt/root
  4. FAT-Dateisystem erstellen und mounten:
    mkfs.vfat /dev/sdX1
    mkdir /mnt/root/boot
    mount /dev/sdX1 /mnt/root/boot
  5. Lade die ArchLinux Distribution auf das root Dateisystem:
    wget http://archlinuxarm.org/os/ArchLinuxARM-rpi-2-latest.tar.gz
    tar -xpf ArchLinuxARM-rpi-2-latest.tar.gz -C /mnt/root
    sync
  6. Die beiden Partitionen unmounten:
    umount /mnt/root/boot /mnt/root

Jetzt ist die SD-Karte bereit für den Raspberry Pi. Nach dem Anschluss von Netzwerk und 5V-Stromversorgung startet er ArchLinux.
Eine Verbindung ist über angeschlossenen Monitor und Tastatur, SSH und Serielle Konsole möglich.
Der Benutzername des default Benutzers ist „alarm“ sein Passwort lautet „alarm“.
Das root-Password lautet „root“.

Kategorien
Linux

head und tail – Anfang und Ende

head bei einer Eingabedatei mit 100 durchnummerierten Zeilen:

head <(seq 1 100)

Ausgabe:

1
2
3
4
5
6
7
8
9
10

tail bei einer Eingabedatei mit 100 durchnummerierten Zeilen:

tail <(seq 1 100)

Ausgabe:

91
92
93
94
95
96
97
98
99
100

Head zeigt beim Aufruf die ersten 10 Zeilen der angegebenen Datei an, Tail die letzten 10 Zeilen.

Optionen

Mit der Option -n [Zahl] lässt sich die Ausgaben von head als auch von tail auf „Zahl“-Zeilen begrenzen.

Mit der Option -f lassen sich die Ausgabe tail fordlaufend, um neu an die Datei angehängte Zeilen vergrößern.

zurück zum Hauptartikel