Manchmal möchte man Dateien oder Verzeichnisse nach dem aktuellen Datum benennen, z.B. Logfiles, Zip-Dateien oder ein Backup-Verzeichnis für das tägliche Backup.

set dirname="C:Backup-%DATE%"
mkdir %dirname%

Einen großen Nachteil hat dieser Weg: Beim alphabetischen Anordnen im Windows-Explorer ist der 20. Mai vor dem 31. Januar. Der einfachte Weg ist die Verwendung des ISO-Formats JJJJ-MM-TT, also zuerst Jahr, dann Monat, dann Tag. So wird immer erst nach dem Größten (Jahr), zum Ende nach dem Kleinsten (Tag) sortiert.

Leider bietet die Windows Commandline ein solches Format nicht an, das läßt sich aber leicht korrigieren: Wir nehmen einfach aus %DATE% die nötigen Stellen heraus und basteln ein eigenes Format:

set TAG=%date:~-10,2%
set MONAT=%date:~-7,2%
set JAHR=%date:~-4%
set ISODATE=%JAHR%-%MONAT%-%TAG%

Fertig ist unser neues Datum %ISODATE%, das wir nun statt %DATE% verwenden:

set dirname="C:Backup-%ISODATE%"
mkdir %dirname%

In größeren Download-Clustern hat der Administrator häufig den Wunsch, über einen zweite Uplink auch dann administrativen Zugriff auf die Rechner zu erhalten, wenn der erste Uplink gerade mal voll gelaufen ist.

So trivial der Wunsch klingt, es genügt nicht, einfach eine zweite Netzwerkkarte zu kaufen, diese mit dem Router zu verbinden und eine IP-Adresse zu vergeben. Denn hier spielt das Routing des Servers eine große Rolle.

Üblicherweise entscheidet ein System anhand der ZIEL-Adresse wohin ein Paket geschickt wird. Wird also auf dem zweiten Interface eine IP-Adresse konfiguriert werden zwar eingehende Pakete dort empfangen, sofern der Absender aber nicht im gleichen Netz sitzt wird die Antwort über den Default-Gateway – und damit den vollen Link – zugestellt.

Um das zu verhindern gibt es unter Linux die Möglichkeit, eine weitere Routing-Table mit einem Default-Gateway im zweiten Netz einzurichten.


ip route add table 6 default via ${GATEWAY-AUF-ETH1}


Die Table 6 benutze ich weil sie frei ist, könnte hierfür aber jede andere freie Table benutzt werden. Notfalls mit ‘ip route show table 6′ vorher prüfen, ob die Table benutzt wird. Nun muss per Regel noch festgelegt werden, dass die Source-Adresse von eth1 auch durch diese Routing-Table geschickt wird:


ip rule add table 6 from ${IP-AUF-ETH1}


Gehen wir also davon aus, dass wir auf der zweiten Netzwerkkarte das Netz 203.0.113.0/30 konfiguriert haben (Gateway: .1, unser System: .2). Dann würden die Kommandos wie folgt lauten:


ip route add table 6 default via 203.0.113.1
ip rule add table 6 from 203.0.113.2


Und schon werden alle Pakete, die von 203.0.113.1 kommen an das Gateway 203.0.113.2 (also die 2. Netzwerkkarte) geschickt.

Ziel soll es sein, auf einem Server OpenVPN so zu installieren, dass es auf einem UDP-Port eine verschlüsselte Verbindung entgegennimmt. Als Client benutze ich dazu unter Windows die Software OpenVPN-Portable, da diese gleich die GUI mit dabei hat und darüberhinaus auch auf dem USB-Stick mitgenommen werden kann.

Eine einfache Steuerung von Serverdiensten ohne die Dienste dabei frei im Internet erreichbar zu haben, wie es Maxe im SSH-Tunnel Thema ansprach, ist damit sehr einfach möglich.

Zuerst installieren wir den Server, was unter Debian oder Ubuntu mit einem einfachen `apt-get install openvpn` geschieht. Danach in /etc/openvpn alle Beispiele löschen und im gleichen Verzeichnis mit `openvpn –genkey –secret server.key` eine Keydatei anlegen, die künftig als Passwort zum VPN dient. Vor dem Neustart des Servers (/etc/init.d/openvpn restart) sollte mit `modprobe tun` noch das Tunnel-Device unter Linux angelegt werden.

Nun ist noch die Server-Konfiguration zu erstellen. Hier schlage ich folgenden Inhalt für die server.conf vor:

mode p2p                          # Connection Mode: Point-2-Point
dev tun                           # Device: Tunnel

proto udp                         # Protocol (udp/tcp-server/tcp-client)
port 1194                         # Listen port

secret server.key                 # Secred "password" file

ifconfig 10.1.75.1 10.1.75.2      # local ip <-> remote ip

ping 10                           # Keepalive ping every 10 seconds
ping-restart 60                   # Reconnect after 60 seconds of no answer
ping-timer-rem                    # Restart ping only if we have a remote ip
persist-key                       # Don't re-read key files across ping-restart
persist-tun                       # Don't reopen TUN/TAP across ping-restart

user root                         # Systemuser
group nogroup                     # Systemgroup

verb 3                            # Give some more informations (default: 1)
log-append /var/log/openvpn.log   # Logfile

Auf der Client-Seite (Windows) ist OpenVPN Portable von der Sourceforge Projektseite (http://sourceforge.net/projects/ovpnp/) herunterzuladen und zu entpacken. Im Ordner data/config ist dann das Keyfile vom Server (und zwar genau das gleiche!) sowie die Konfiguration abzulegen. Diese ender unter Windows mit .ovpn, als Dateiname empfielt sich den Namen des Servers zu wählen, also z.B. meinserver.opvn. Das File könnte so aussehen:

mode p2p                          # Connection Mode: Point-2-Point
dev tun                           # Device: Tunnel

proto udp                         # Protocol (udp/tcp-server/tcp-client)
remote meinserver.de 1194         # Server address and port
nobind                            # Do not bind any fixed port

secret hostname.key               # Secred "password" file

ifconfig 10.1.75.2 10.1.75.1      # local ip <-> remote ip

ping 10                           # Keepalive ping every 10 seconds
ping-restart 60                   # Reconnect after 60 seconds of no answer
ping-timer-rem                    # Restart ping only if we have a remote ip
persist-key                       # Don't re-read key files across ping-restart
persist-tun                       # Don't reopen TUN/TAP across ping-restart

# Use this only if you want to change your default routes!
# redirect-gateway def1             # change default gateway
# dhcp-option DNS 8.8.8.8           # set DNS resolver in the new network

# When having problems with vista use this options:
# route-method exe
# route-delay 2

Damit haben wir alles Konfiguriert. Startet man OpenVPN Portable nun und erlaubt die Installation der Tunnel-Netzwerktreiber, so kann das VPN zum Server sofort gestartet werden. Nach dem Start findet man ein neues Netzwerk-Interface mit der Adresse 10.1.75.2, welcher auf der Seite des Servers endet. Der Server kann nun direkt über die VPN-Adresse 10.1.75.1 angesprochen werden.

Sollte das nicht klappen könnte eventuell noch eine lokale Firewall schuld sein. Wir sollten erstmal Pakete zum OpenVPN-Server sowie Pakete vom tun-Interface durchlassen:

iptables -A INPUT -m udp -p udp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT

Wenn alles klappt kann man sich überlegen, ob man mit der Verbindung nur den Server erreichen will oder auch gleich alle Routen darüber schicken möchte, um z.B. mit der IP-Adresse des Servers online zu sein.

Um alle Routen beim Verbindung umzubiegen sind in der Client-Config die beiden auskommentierten Zeilen redirect-gateway sowie die dhcp-option einzufügen. Ausserdem muss dem Server klargemacht werden, dass er nun für das Routing zuständig ist und die privaten IP-Adressen auch gleich per NAT auf seine eigene umschreiben soll:

# Routing & Masquerade aktivieren
sysctl -w net/ipv4/ip_forward=1
iptables -t nat -A POSTROUTING -s 10.1.75.0/24 -o eth0 -j MASQUERADE

Nach dem Neuverbinden sollte man nun über den Server und mit dessen IP-Adresse im Internet hängen. Mit dem Link http://www.butschek.de/tools/ip/ kann man das schnell und einfach prüfen.

Gerade in Intranets oder bei Tests ist es auch oft gebräuchlich, nur bestimmte IP-Bereiche mit Allow und Deny zu erlauben oder zu verbieten. So kann man schnell bestimmte Störer einfach sperren.  Oder bei Tests mit dem neuen Design mal kurz nur den eigenen PC oder das Büro freischalten.

Genauso einfach jedoch weniger bekannt ist die Kombination aus beidem: Man gibt bestimmte Bereiche (z.B. das Entwicklerbüro) anhand der IP-Adresse frei und erlaubt allen anderen den Zugang nur per Passwort. So läßt sich die Entwicklung ohne Klimmzüge wie im Live-Betrieb testen, eingeladene Tester von unbekannten IP-Adressen können die Seite mit einem Passwort vorab sehen und alle anderen bleiben aussen vor.

# HTTP Basic Access Authentication
AuthType Basic
AuthName "Dieser Bereich ist passwortgeschuetzt. [www.butschek.de]"
AuthUserFile /path/to/your/.htpasswd
require valid-user

# Erlaube einige IP-Bereichen (10.1.75.x sowie 192.168.x.x)
# und verbiete alle anderen Anfragen
Order deny,allow
Deny from all
Allow from 10.1.75.
Allow from 192.168.

# Nur EINE der Bedingungen oben muss erfuellt sein.
Satisfy ANY

Der Aufbau der .htaccess Datei ist einfach: Zuerst kommt die übliche Sperre für den Passwortschutz. Danach folgt die IP-Sperre. Zuletzt legt die Satisfy-Regel fest, dass nicht alle (=ALL) sondern nur irgendeine (=ANY) der obenstehenden Regeln zutreffen muss, um den Zugriff zu erlauben.

Mit einem einfachen Registry-Eingriff läßt sich Windows dazu bewege, im Kontextmenü aller Dateien einen Eintrag anzuzeigen, der direkt zum bevorzugten Editor führt.

Im Bereich HKEY_CLASSES_ROOT ist der Schlüssel * (steht für ALLE Dateitypen) zu öffnen und dort sofern nicht schon vorhanden den Unterschlüssel ‘shell’ anzulegen. Darunter legt man nun einen Schlüssel mit dem Text an, der im Menü erscheinen soll, z.B. ‘Bearbeiten mit Editor’ und darunter dann einen Schlüssel namens ‘command’.

Die Hierarchie sieht dann so aus:

HKEY_CLASSES_ROOT -> * -> shell -> Bearbeiten mit Editor -> command

Den Standardschlüssel in ‘command’ bearbeitet man dann durch Doppelklick und trägt dort den Pfad des Programms ein, gefolgt von eventuellen Parametern, wobei %1 als Platzhalter für den Dateinamen der zu öffnenden Datei steht. Beispiel:

notepad.exe %1

Das ganze kann man auch als Registry-File anlegen und per Doppelklick einfach importieren. Das würde dann so aussehen:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT*shellBearbeiten mit Editor]
@=""

[HKEY_CLASSES_ROOT*shellBearbeiten mit Editorcommand]
@="notepad.exe %1"

Das ganze geht natürlich nicht nur mit dem Notepad-Editor von Windows, hier läßt sich jeder beliebige Editor, Hex-Editor, Viewer oder sonstige Programme einbinden. Wichtig ist nur, dass ggf. der vollständige Pfad anzugeben ist.

Als Serveradmin kennt man ja das Problem, dass man gerne mal auf einem System angemeldet bleibt, weil man vielleicht später eh noch was sehen will. Doch manchmal wünscht man sich ein Auto-Logout, wenn man längere Zeit nichts macht, um nicht immer eine Session offen zu halten.

Die Bash wertet die Variable TMOUT aus. Enthält sie eine Zahl größer als Null, so wird nach so vielen Sekunden Inaktivität die Shell automatisch beendet. Dies läßt sich relativ leicht z.B. in der .bashrc setzen, so dass die Einstellung bei jedem neuen Login automatisch aktiv ist:

export TMOUT=1800   # 30m

Vorsicht ist bei niedrigen Werten geboten. Wer es dummerweise mit 5 Sekunden versucht muss sich beim nächsten Login beeilen, den Editor zu öffnen, bevor er rausfliegt

WinDirStat: Ungewöhnliche Ansicht, hilft aber sehr beim Finden von Leichen...

Kürzlich wurde ich von der Windows-Fraktion kritisiert, da ich beruflich dank meiner Microsoft-Zertifizierung oft als Windows-Fachmann durchgehe, in meinem Blog jedoch ausschließlich über Linux berichte.

Gut, ich will mich bemühen, künftig auch die Windows-Welt etwas zu bedienen. Fangen wir gleich mal damit an:

WinDirStat ist ein kostenloses Windows Tool, welches die Belegung der Festplatte analysiert und die Verzeichnisse und Dateien in Form von rechteckigen Boxen darstellt. Das klingt erstmal verwirrend und ist es beim ersten Start des Programms wohl auch, doch wer erstmal seine Platte damit aufgeräumt hat, wird sowas nicht mehr vermissen wollen.

Das Programm zeigt sehr deutlich und besser als jede Statistik-Ausgabe, mit welchen Inhalten die Platte gefüllt ist. Große Platzfresser sind in Sekunden gefunden. Auch alte, vergessene Programminstallationen, nie gelöschte temporäre Files oder nicht mehr benötigte DVD-ISOs schaffen es nicht, sich vor dem Box-Modell zu verstecken.

PS: Ein ähnliches Programm finden Linux’er unter dem Namen Baobab.

echo “$(($RANDOM%256)).$(($RANDOM%256)).[...]”

Die Variable $RANDOM gibt eine Zufallszahl zwischen 0 und 32767. Das Prozent-Zeichen (%) berechnet aus einer Zahl deren Modulo, also den Rest aus der Division zweier ganzer Zahlen. Einfach gesagt berechnet es den Rest einer Teilung der geraden Zahlen.

Grundschul-Beispiel: 100 durch 23 = 4, Rest 8
Das Ergebnis aus 100 mod 23 ist also 8.

Der Modulo eigenet sich gut, eine Zahl auf einem Wert zu kürzen, denn das Ergebnis liegt immer zwischen 0 und dem Divisor-1. Das ist auch logisch, denn der Rest-Wert einer Division muss unter dem Divisor liegen. Also eine zufällige Zahl mod 8 wird ganzzahlig sein und zwischen 0 und 7 liegen.

Der Syntax $(($RANDOM%256)) macht also nichts anderes als die Variable $RANDOM (Zufallswert zwischen 0 – 32767)  modulo 256 zu nehmen – womit ein Ergebnis zwischen 0 und 255 herauskommt.

Interessant gelöst fand ich auch diese Codestelle:

while true; do
sleep 1
echo -n .
if [ $(($RANDOM%13)) -eq 2 ]; then break; fi
done

Hier wurde durch $(($RANDOM%13)) eine zufällige Zahl zwischen 0 und 12 ermittelt und mit -eq 2 mit dem Wert 2 verglichen. Die 2 ist dabei nur eine beliebige Zahl, die if-Anweisung heißt übersetzt nichts anderes als  “In einem von 13 Fällen” (0-12 = 13 Möglichkeiten!), die Bedingung wird also zufällig mit einer Wahrscheinlichkeit von 1/13tel erfüllt.

Übrigens: Wer Zufallszahlen zwischen 1 und … braucht, kann $((RANDOM % 9 +1)) nutzen. Der erste Teil erzeugt eine Zufallszahl zwischen 0 und 9, danach wird das Ergebnis +1 gerechnet, das ergibt also eine Zufallszahl zwischen 1 und 10.

#!/bin/bash
echo -n Starting firewall.

while true; do
sleep 1
echo -n .
if [ $(($RANDOM%13)) -eq 2 ]; then break; fi
done

echo
echo "Your system is now secure!"

while true; do
sleep $(($RANDOM%53))
HOST="$(($RANDOM%256)).$(($RANDOM%256)).$((RANDOM%256)).$(($RANDOM%256))"
PORT="$(($RANDOM%65535+1))"
echo "Blocked attack from host $HOST on port $PORT!!!"
done

Es gibt jedoch eine Theme-Engine, die GTK-Anwendungen an das Layout des laufenden KDE-Desktops anpasst. Unter Ubuntu (bzw. Kubuntu) ist diese wie folgt zu installieren:

sudo apt-get install gtk-qt-engine-kde4

Nach einem Neustart stehen GTK-Programme dann in KDE-Optik zur Verfügung.