Butschek.de

Ein normales Image einer Partition kann mit losetup zum Loop-Device gemacht werden und so über /dev/loopX als Gerät angesprochen und z.B. gemountet werden. Schwieriger wird es jedoch, wenn das Loop-Device eine komplette Platte inklusive Partitionen enthält.

Ein einfaches Beispiel: Ein mit “dd if=/dev/sda of=/imagefile” erstelltes Image kann zwar mit losetup zu /dev/loop0 gemacht werden, jedoch ist ein direktes Ansprechen der Partitionen, die ehemals auf /dev/sda existierten, nicht möglich. Dazu müßte es ja ein /dev/loop0_1, /dev/loop0_2 oder /dev/loop0_3 geben.

Gut, möglich ist es schon, denn losetup kann mit –offset auch nur Teile der Image-Datei als Loop-Device nutzen, nur müßte man so auf’s Byte genau die Partitionen finden, wobei ein Irrtum möglicherweise die Daten vernichten würde.

Diese Aufgabe löst kpartx. Der Einsatz ist ganz einfach: Installieren und loslegen.

apt-get install kpartx
kpartx -av /imagefile
oder
kpartx -av /dev/loop0

Schon stehen unter /dev/mapper je Partition ein Loop-Device zur Verfügung, also zum Beispiel:

• /dev/mapper/loop0p1 (ehemals /dev/sda1)
• /dev/mapper/loop0p2 (ehemals /dev/sda2)
• /dev/mapper/loop0p3 (ehemals /dev/sda3)

Der Parameter -a steht für add, das v dagegen für verbose, so dass ich gleich sehe, was er mir angelegt hat. Mit dem Parameter -l zeigt man die Mappings an, mit -d löscht man sie wieder.

Typischer Anwendungszweck:

Mit losetup kam ich noch gut klar. Als ich jedoch das erste mal ein Image erstellt habe und darin eine virtuelles Debian von einer virtuellen CD (.ISO-Datei) installierte, hat mir dieses in der Image-Datei mehrere Partitionen angelegt. Hier war kpartx meine Rettung, denn so konnte ich noch auf die Daten im Image-File zugreifen.

IT, LST kpartx, Linux, losetup, Shell

Mit einem Loop-Device kann man unter Linux nette Dinge machen: Man kann Dateien wie ein Gerät, z.B. eine Festplatte oder eine Partition (also ein Block Device) behandeln.

Normalerweise besteht eine Festplatte aus mehreren Partitionen. Diese werden uns dank udev im /dev Verzeichnis angezeigt und lassen sich mit Ihrem Namen /dev/sda1, /dev/sda2, … ansprechen.

Was aber, wenn nur ein Dump einer Partition in Form einer Datei vorliegt? Zum Beispiel wenn jemand eine komplette Kopie mit “dd if=/dev/sda3 of=/file” erstellt hat. Hier hilft losetup.

Um eine Datei als sog. Loop-Device zu benutzen, muss es – sofern nicht schon vorhanden – erstmal erstellt werden:

dd if=/dev/zero of=/home/test bs=1M count=1k

Damit erstellen wir eine Datei mit eine Größe von 1 GB (1000 Blöcke [1k] zu je 1MB). Diese wird nun eingebunden.

losetup -f /home/test

Mit ‘losetup  -a’ läßt sich jetzt herausfinden, welchen Gerätenamen unser Gerät nun erhalten hat, üblicherweise wird dies beim ersten Versuch /dev/loop0 sein. Man hätte übrigens mit ‘losetup -f’ auch vorher schon nachsehen können, welches der nächste freie Gerätename ist – für Scripte ist dieser Weg wohl einfacher.

So, nun können wir /dev/loop0 benutzen wie eine normale Partition, z.B. so:

mkfs.ext3 /dev/loop0
mount /dev/loop0 /mnt
df -h /mnt

Nach dem entmounten läßt sich das Loop Device auch wieder entfernen:

umount /dev/loop0
losetup -d /dev/loop0

Damit ist unsere Datei auch wieder nur eine Datei.

Mit dem Parameter -e läßt sich übrigens auch ein verschlüsseltes Loop-Device erzeugen (z.B. losetup -e des -f file, siehe Manpage, doch nutze ich hier lieber LUKS, das in Kürze in einem Artikel erklärt wird.

IT, LST Linux, losetup, Shell

Dateien werden in Linux mit rm gelöscht. Doch der Löschvorgang entfernt nur Inode und Verzeichnis-Eintrag, nicht jedoch die wirklich gespeicherten Daten. Diese bleiben in den Sektoren der Festplatte liegen, bis sie durch eine neue Datei überschrieben werden. Bei vertrautlichen Daten stellt dies ein Problem dar: Mit entsprechenden Tools lassen sich die gelöschten Daten (oder Teile davon) eventuell wieder herstellen.

Um dies zu verbindern gibt es Tools wie shred. Es überschreibt den Inhalt einer Datei mit Zufallsdaten und sorgt so dafür, dass eine Datei unwiederbringlich gelöscht ist. Dazu ruft man shred genauso wie rm auf, wobei es einige interessante Parameter gibt:

• Mit -v wird die ausführliche Ausgabe aktiviert. Eigentlich unnötig, aber interessant, um die Funktion zu sehen. Auch bei sehr großen Dateien ist es eventuell hilfreich, um grob zu wissen, wo das Programm gerade steckt.
• Mit -n legt man die Anzahl der Durchläufe fest, also wie oft die Daten überschrieben werden sollen. Nachdem Forensikexperte Craig Wright 2008 feststellte, dass einmaliges Ãœberschreiben der Daten absolut genügt, sollte wir also -n1 nutzen. Alles andere verwendet nur Zeit und Strom.
• Mit -z gibt man an, dass die Datei nach dem letzten Durchlauf nochmal ausgenullt werden soll. Dies ist zwar nicht nötig, doch monkische Menschen wie ich mögen die Ordnung.
• Mit -u wird die Datei nicht nur überschrieben, sondern am Ende auch gleich gelöscht. Das spart ein nachträgliches aufrufen von rm.

In der Shell sieht das dann wie folgt aus:

# shred -v -n1 -z -u secret
shred: secret: pass 1/2 (random)...
shred: secret: pass 2/2 (000000)...
shred: secret: removed

Freien Speicher löschen

Falls eine Datei aus Versehen schon gelöscht wurde, kann man sie nicht mehr mit shred behandeln. Es hilft dann jedoch, einfach den gesamten freien Platz der Festplatte zu überschreiben. Da man den freien Platz nicht mit einem Namen ansprechen kann, legen wir einfach mit dd eine Datei an, die die ganze Platte füllt:

dd if=/dev/urandom of=/fillup.dat bs=1k

Die Angabe ohne den count-Parameter sorgt dafür, dass dd die Platte so lange mit zufälligen Daten von /dev/urandom beschreibt, bis sie voll ist. Danach kann die Daten mit rm wieder gelöscht werden: rm /fillup.dat

Partition oder ganz Festplatte löschen

Möchte man eine Partition (z.B. /dev/sda3) oder eine ganze Festplatte (z.B. /dev/sda) löschen, kann man einfach deren Gerätenamen in Kombination mit shred einsetzen:

shred -v -n1 -z /dev/...

Hier ist aber unbedingt auf korrekte Angaben zu achten, ist die falsche Partition erstmal überschrieben, gibt es kein Zurück mehr!

Einschränkungen

Moderne Dateisysteme (XFS, ReiserFS, JFS, …) speichern im Journal Daten zwischen, die auf die Festplatte geschrieben werden sollen. Dieses Journal wird von shred nicht gelöscht und kann damit unter umständen noch bereits gelöschte geglaubte Informationen erhalten.

Auch bei EXT3/4 tritt dieses Problem auf, wenn das Dateisystem mit der Option data=journal gemountet wurde. Dies läßt sich einfach durch Eingabe von ‘mount’ prüfen.

Gut, im Journal wird sich in der Praxis nach kurzer Zeit (einigen Schreibvorgängen) nicht mehr viel finden lassen. Wer dennoch auf Nummer Sicher gehen will, dem bleibt nur noch das Auslöschen der ganzen Partition, wie oben beschrieben. Damit werden nämlich nicht nur Dateien, sondern das ganze Filesystem (inkl. Verzeichnis und Journal) gelöscht.

Eine weitere Einschränkung sind die genutzten Festplatten selbst. Diese können nämlich defekte Sektoren für den Computer ausblenden und stattdessen andere, für diesen Zweck reservierte Sektoren, dorthin mappen. Somit ist es möglich, dass sich auch nach komplettem Löschen der Platte noch Informationen darauf befinden, die ein Datenretter wieder herstellen könnte.

Für alte Festplatten gilt daher: Vernichten statt verkaufen. Ein guter Vorschlaghammer genügt dafür übrigens

Allgemein, IT, LST dd, Linux, Shell, shred, Sicherheit, urandom

Mit der Option -D läßt sich ein Tunnel mit einer Gegenstelle aufbauen. Das funktioniert so: Der Client (z.B. der Arbeitsrechner) baut zuerst eine SSH-Verbindung mit einem Server auf und gibt dabei einen Port für den Tunnel an:

ssh -D 5000 user@host

SSH wird auf dem Client-Rechner nun auf Port 5000 einen SOCKS-Proxy zur Verfügung stellen und alle Anfragen dorthin an den Server weiterleiten. Somit erfolgt eine “Umleitung” aller Anfragen über den Server.

Auf dem Client kann man nun also den Firefox starten und im Menü Extras – Einstellungen – Erweitert – Netzwerk – Einstellungen die Einstellungen für den SOCKS-Proxy vornehmen:

(*) Manuelle Proxy Konfiguration
SOCKS-Host: localhost
Port: 5000
(*) SOCKS v5

So, nun noch kurz butschek.de/tools/ip/ öffnen und die IP-Adresse kontrollieren. Das sollte nun nicht mehr die vom Client, sondern die vom Server sein.

…das geht auch mit Putty unter Windows!

Windows-Benutzer können das gleiche ebenso einfach mit Putty erledigen:

Vor dem Aufbau der Verbindung links im Menü Connection – SSH – Tunnels wählen und dort unter Source Port den gewünschten lokalen SOCKS-Port (z.B. 5000) wählen. Dann unter Destination den Radio-Button auf Dynamic schalten (das ist wichtig, sonst geht es nicht!), erst danach auf ADD drücken.

Nun erscheint in der Liste der Forwarded ports der Eintrag “D 5000″. Nun kann die Verbindung wie gewohnt aufgebaut werden. Vorsicht, wer nun doppelt auf ein gespeichertes Profil klickt, löscht die Einstellungen! Hier also ZUERST Profil laden, dann Tunnel-Einstellungen machen, dann [Open] klicken.

Voila, fertig ist der SOCKS-Proxy-Tunnel! Natürlich muss Firefox (oder auch jedes andere Programm, welches einen SOCKS-Proxy nutzen kann und soll) auf den SOCKS-Proxy Port 5000 konfiguriert werden.

Ãœbrigens: Putty erlaubt auch das Einrichten eines Tunnels NACHDEM die Verbindung aufgebaut wurde. Dazu das Programm-Menü öffnen (Putty-Symbol oben links in der Programmleiste), dort “change settings” wählen. Dann kommt man in den gewohnten Dialog.

Und wozu braucht man das?

• Öffnen von Ports, wenn Firewalls dies verhindern
• Umgehen von IP-Sperren
• Schnellerer Download durch andere Route
• Pseudo-VPN
• …

Man sollte sich nur bewußt darüber sein, dass der Einsatz zu illegalen Zwecken natürlich nicht gestattet ist. Sollte der eigene Arbeitgeber in senier Firewall-Policy bestimmte Sperren vorsehen, wäre das Umgehen dieser nicht nur ein Sicherheitsproblem, sondern auch ein Grund für eine Abmahnung. Das will ich nur gesagt haben.

IT, LST Linux, Proxy, Shell, SSH, Tunnel

Linchat: Mini Konsolen-Chat auf der Linux Shell. Nicht komfortabel, doch schnell und universell einsetzbar.

Linchat ist ein kleines Chat-Programm für die Konsole. Das besondere an dem Programm ist, dass keine Verbindung mit einem externen Server (IRC, XMPP, …) aufgebaut wird, sondern nur lokale Benutzer auf einer Maschine damit kommunizieren können.

Wie oft stand ich schon im Serverraum und versuchte, mit einem Kollegen zu kommunizieren, um gemeinsam (lokal + remote) einen Fehler zu finden. Eine Shell alleine ist kaum zu gebrauchen. Telefone sind dank ca. 1000 Lüfter und Klimaanlagen schwer zu verstehen. Und ein richtiges Chat-Programm ist auch ein bischen übertrieben. Die Lösung ist so einfach: Den Kollegen bitten, sich kurz per SSH anzumelden und ‘linchat’ einzugeben.

Ein weiterer Anwendungszweck: Mit einem User auf meinem Server, welcher als Shell direkt /usr/local/bin/linchat startet kann ich auch technisch wenig versierten Bekannten blitzschnell temporär einen Gesprächskanal zur Verfügung stellen, welcher dank SSH gut verschlüsselt ist und keine Spuren auf dem lokalen Rechner hinterlässt – weder Account-Daten noch Gesprächlogs.

Update 2009:

Die Entwickler-Seite zu Linchat ist down, da das Programm nicht mehr weiterentwickelt wird. Leider kompiliert die alte Version mit dem g++ aus dem aktuellen Debian nicht mehr, da im Sourcecode veraltete Konversionen genutzt werden. Das sieht dann so aus:

# make
g++ -O -Wall -Werror -c linchat.cpp
cc1plus: warnings being treated as errors
In file included from linchat.cpp:39:
userstruct.h:46: error: ‘typedef’ was ignored in this declaration
userstruct.h:54: error: ‘typedef’ was ignored in this declaration
linchat.cpp: In function ‘void InitSocket()’:
linchat.cpp:72: error: deprecated conversion from string constant to ‘char*’
linchat.cpp:78: error: deprecated conversion from string constant to ‘char*’
linchat.cpp: In function ‘void LockScoreboard(bool)’:
linchat.cpp:96: error: deprecated conversion from string constant to ‘char*’
linchat.cpp: In function ‘void InitScoreboard()’:
linchat.cpp:111: error: deprecated conversion from string constant to ‘char*’
linchat.cpp:135: error: deprecated conversion from string constant to ‘char*’
linchat.cpp:146: error: deprecated conversion from string constant to ‘char*’
linchat.cpp: In function ‘void ProcessNetworkEvent()’:
linchat.cpp:313: error: deprecated conversion from string constant to ‘char*’
linchat.cpp: In function ‘void WaitForEvent()’:
linchat.cpp:406: error: deprecated conversion from string constant to ‘char*’
make: *** [linchat.o] Error 1

sh0 schrieb mir auf meine Bitte hin einen kleinen Patch, den ich in der Files-Sektion zum Download anbiete.

Install Mini HowTo [Debian Lenny]:

Installation der nötigen Pakete

apt-get install wget gcc libncurses5-dev

Runterladen und entpacken

wget http://www.butschek.de/files/stuff/linchat/linchat-1.0.tar.gz
tar xvzf linchat-1.0.tar.gz
wget http://www.butschek.de/files/stuff/linchat/linchat-1.0-cpp_fixes.patch
cp linchat-1.0-cpp_fixes.patch linchat-1.0/
cd linchat-1.0

Patchen

patch < linchat-1.0-cpp_fixes.patch

Kompilieren:

make

Installieren

chmod 755 linchat
mv linchat /usr/local/bin/

Testen

linchat

Beenden mit STRG-C

PS: Großen Dank an sh0 für den Patch – hast was bei mir gut!

IT, LST Chat, Linchat, Linux, Shell