LX-Ben
03.07.03, 10:23
1. Linux systematisch kennenlernen
Viele Umsteiger habe eine der gängigen Distributionen installiert, auch den einen
oder anderen kryptischen Befehl notiert, aber im Grunde warten sie skeptisch auf
den Tag, an dem dieses Wissen eingesetzt werden muss.
Hier hilft das bereits erwähnte "Wie werde ich UNIX-Guru? Einführung in UNIX, Linux&Co"
weiter: http://www.galileocomputing.de/katalog/openbook/ [Download 4MB],
wobei der Titel "..UNIX-Guru?.." wohl ironisch überhöht ist.
Erstes Kapitel: Anwendung: Hier steht die Anwendung und der Einstieg in UNIX
im Mittelpunkt. Da die Kommandosprache bei UNIX extrem leistungsfähig ist,
ist es sinnvoll, sie zu kennen, selbst wenn man in erster Linie die grafische
Oberfläche benutzt..
Diese Grundaussage 'ist Programm' und bestätigt sich für das gesamte
Kennenlern-Seminar: Im Gegensatz zu vielen anderen eher Nachschlagebüchern,
FAQs und Howtos wird per Wissensstand 2002 und mit sprechenden Beispielen
ein geschlossener sowie logischer Anwendungs- und Informationszusammenhang
hergestellt, ohne belehrend zu wirken - das Hereinschauen lohnt sich daher
auch für 'fertige Umsteiger.' Die Durcharbeitungszeit beträgt je nach Vor-
kenntnissen drei bis sechs Stunden.
2. Rettungs-CD
Es besteht gelegentlich die Notwendigkeit, Korrekturarbeiten am Linux-Plattensystem
durchzuführen, ohne dass die Produktions-Plattenpartition gestartet sein darf.
a) Eine gebootete Rettungs-CD startet als ca. 30 MB große RAM-Disk, und damit
sind Neu-Partionierungen, Größenveränderungen der Partitionen und Reparatur
defekter Partitionstabellen möglich. Vor allem startet die Rettungs-CD auch dann,
wenn das Linux-Plattensystem nicht mehr startet.
b) Die Suse8.x-CD1 beinhaltet mit dem Menüpunkt 'Rescue' die Funktion
Rettungs-CD. Allerdings setzt deren Beschränkung auf reine Konsolenbefehle schon
einige Erfahrung voraus: Interessanter sind die bei der Suse8.x-CD1 integrierten
Funktionen zu einem gründlichen RAM-Test als auch Wiederherstellen des grub-
Loaders zB. im MBR.
c) DIE Rettungs-CD schlechthin sind im Moment die aktuellen Knoppix-CDs,
insbesondere da der verfügbare NortonCommander-ähnliche 'mc' Systemarbeiten
erheblich erleichtert. Die Knoppix-CD findet sich als Beilage zu verschiedenen PC-
Zeitschriften oder aktuelle Quelle für ISOs zum Beispiel: ftp://ftp.leo.org/pub/knoppix/
-Bei der Anzeige 'Boot: ' führt das Antippen der Enter-Taste zum normalen Desktop.
Leider lässt der Start mit kde3-Oberfläche keine Nutzung als Anwender root zu -
einzige Ausnahme ist Start einer Konsole und 'sudo su' - ergibt eine root-Konsole.
Doch da der eingeschränkte root mit Namen sudo Plattenpartionen nur für sich
selbst, aber nicht den normalen User mounten(einhängen) kann, ist diese
Möglichkeit eigentlich nicht übermäßig brauchbar.
================
WICHTIGE EINFÜGUNG - siehe hierzu mein untenstehender Beitrag vom 23.07.2003
"Knoppix-Live-CD (=nur startbar, aber nicht installierbar) und Sicherheit:"
Die Knoppix-Live-CD bietet root-Rechte auch per kde3-Desktopstart!
================
-Daher kann man für eine root-Konsole gleich zum Start 'Boot: knoppix 2'
eingeben und spart sich den meist reparatur-schwachen Desktop. Beim Knoppix-
Start schien mir 'Boot: knoppix 1' als das Non-plus-Utra', ist doch das hiermit
verwendete 'init 1' die geringste Aktivitaetsstufe eines Linux-Systems, birgt also
die wenigsten Konfliktmöglichkeiten. Doch nur nach 'Boot: knoppix 2' kann man
durch Antippen von Strg+Alt+F1..F9 mit mehreren Fenstern/Tasks arbeiten, was
ja ein Multitasking-System auszeichnet und oft genug sehr nuetzlich ist!
-Mit Start der Knoppix-Cd sind die Mountpunkte(Subdirectories) der gefundenen
Partitionen und Geräte im Verzeichnis /mnt bereits vordefiniert. Um zB.
(nach Begriffen der alten PC-Welt) Laufwerk C: in Zugriff zu bekommen, ist
nur noch der Befehl 'mount -t auto /dev/hda1 /mnt/hda1' erforderlich, und
schon ist "Laufwerk C:" per Ordner /mnt/hda1 lesbar und beschreibbar: Da
die Knoppix-CD beim Starten eine neue /etc/fstab schreibt und Linux dort
Zuordnungsdaten ablesen kann, ist auch eine verkürzte Schreibweise wie
'mount -t auto /dev/hda1' oder 'mount -t auto /mnt/hda1' zulässig.
'help' auf der Konsole zeigt eine Kurz-Befehlsliste, ist aber überwiegend
Gedächtnisstütze für geübte user. Mit 'init 5' kann das Menüsystem kde3
nachgestartet werden.
3. root
a) "Was denn, mit der Knoppix-CD und durch Starteingabe 'boot: knoppix 2'
kommt man ohne Kennworteingabe an alle Plattenpartitionen heran?" -
ist eine häufig gestellte Frage: JA, das ist mit mehr oder weniger Aufwand
BEI ALLEN gängigen PC-Betriebssystemen möglich! Die Grundsatzregel lautet
"Wer physikalischen Rechnerzugang hat, kann sich Zutritt verschaffen.
Die Schutzmaßnahmen hiergegen sind starke BIOS-Kennwörter und verschlüsselte
Nutzdaten-Partionen.
b) root ist nicht gleich root: Bei gestartetem kde3-Desktop ist root ein
normaler Anwender mit zusätzlichen Systemkompetenzen, dh. die Daten
anderer user kann er häufig gar nicht einsehen, zumindest nicht verändern.
Diese Einschränkungen entfallen jedoch beim Start mit einer Rettungs-CD.
c) Der Anwender root kann je nach Verwendungszweck in der Konsole auf
verschiedene Arten gestartet werden - Beispiele:
su - f-prot / (REM Virenprüfer) - exit .. genügt für reine Konsolenbefehle
kdesu kwrite - exit .. ermöglicht dem root auch das Starten von Desktop-Anw.
ssh root@localhost .. root arbeitet mit einer besonders gesicherten
Verbindung zur lokalen Arbeitsstation (Konsolen- und Desktopbefehle).
4. Beispiele
a) Mit genügend Sachkenntnis können mit der Rettungs-CD auch per root-
Konsole alle essentiellen Aufgaben wahrgenommen werden einschließlich
Brennen einer Gesamtsicherung auf CD(RW). Wichtig ist ein vorheriges
Konzept und das Austesten.
b) Ein sinnvoller Einsatz der Rettungs-CD sind auch Reparaturen an
Dateien beispielsweise an einer fehlerhaften /etc/fstab, die das Mounten
von Partitionen und Geräten beim Start bestimmt: Die Knoppix-CD verfügt über
das NortonCommander-ähnliche Tool 'mc' (MidnightCommander), mit dem per
Taste F4 ein komfortabler Editor zum Bearbeiten aufgerufen werden kann.
Zum Beispiel könnte in der /etc/fstab eine andere startbare Partition als
"/" eingetragen werden. Oder eine fehlerhafte /boot/grub/menu.lst
[grub-boot-Datei - verhindert bei Fehlern den Linux-Plattenstart] wird
per Rettungs-CD - mc - F4 korrigiert.
c) Mit gpart, parted, fdisk usw. stehen leistungsfähige Bearbeitungstools
für die Festplatten-Partitionen zur Verfügung, sofern der User nicht
andere Werkzeuge einsetzt. Mit gpart kann man beispielsweise defekte
Partitionstabellen wieder herstellen lassen, nachdem root die im Probelauf
ermittelten Strukturdaten bestätigt hat.
d) root-Passwort vergessen? Per Rettungs-CD KEIN PROBLEM [wegen
Risiko-Abschätzung siehe Grundsätzliches bei Ziffer 3.a)!]:
Angenommen, die Kennwort-Datei shadow liegt auf /mnt/hda1, dann
'mc' starten, nach /mnt/hda1/etc navigieren und Markierung auf die
Datei shadow setzen. F4 antippen für Edit, der Rest ist simpel, in
meinem Beispiel lautet gleich die erste Zeile
root:.nOMDX.W4yu4E:12160:0:10000::::
Nach Edit lautet die Zeile ohne verschlüsseltes Kennwort
root::12160:0:10000:::: - dh. die Zeichen zwischen dem ersten
und dem zweiten Doppelpunkt wurden entfernt. Zum Zurücksetzen
von Kennwörtern anderer user kann man genauso verfahren. Neue
Kennwörter können in der Konsole mit 'passwd' eingegeben werden.
PS: Vor dem Testen habe ich mir zur Sicherheit eine Sicherungs-
kopie von shadow erstellt - sicher ist sicher..
Alle getroffenen Aussagen wurden nach bestem Wissen und Gewissen
überprüft. Dennoch kann keine irgendwie geartete Gewährleistung
übernommen werden, dass sich alle Distributionsversionen gleich
verhalten. AUCH FÜR LINUX GILT: Anwendungen sind Menschenwerk
und daher nie ganz frei von Fehlern - Datensicherungen sind daher
unverzichtbar.
----------------
Von Ernst_42 stammen folgende Tipps:
Interessant für Fortgeschrittene ist auch das folgende Projekt biatchux
bei SourceForge: http://sourceforge.net/projects/biatchux/
(Bootable CD Forensics/Virus Scanning/Recovery/PenTesting platform;
oder auch F.I.R.E = Forensics and Intrusion Response Environment), wenn
man einen Rechner checken will, bei dem man einen Einbruch vermutet.
Ist noch in der Entwicklung (Version 0.4 alpha ist aktuell), sieht aber
vielversprechend aus.
Ein Ergänzungstipp: Der in der Konsole eingegebene mount-Befehl wird vom
System manchmal anders/korrekter umgesetzt als der user sehen kann -
und der Versuch, die evtl. 'halbfertige Konsolen-mount-Syntax' in der /etc/fstab
automatisch abarbeiten zu lassen, führt dann evtl. zu Fehleranzeigen (zB. beim
mount-Versuch von *.ISOs): Sofern der Konsolen-mount-Befehl fehlerfrei funk-
tionierte, kann man in der /etc/mtab den Syntax-korrekten Befehl einsehen und
in die /etc/fstab übernehmen.
---
REM1 Der neue virtuelle Bildschirm nach Strg+Alt+F2 meldet sich korrekt mit
'root@tty2[/]# ' (tty ist das Bildschirm-Device) - einziger Schoenheitsfehler
ist, dass der Prompt des Linux-root's ueblicherweise mit $ und der des
einfachen Users mit # dargestellt wird - aber nicht ueberall muessen Dollars
die Hauptrolle spielen.
REM2 Trotz 'Boot: knoppix 2' kann man ausschliesslich per Tastatur navigieren
-eingeben. Doch wer hat es frueher geschafft, ein NortonCommander-aehnliches
Werkzeug wie 'mc' auf der frueher ueblichen DOS-Bootdiskette unterzubringen?!
Jedenfalls ein neues Stueck Unabhaengigkeit. Und mc kann nicht nur ASCII-Texte,
sondern ist auch grafikfaehig, wie der Klick auf eine *.jpg bestaetigt. Aber euren
Anwendungsbedarf fuer Knoppix-CD als Rettungs-CD muesst ihr selbst herausfinden.
Viele Umsteiger habe eine der gängigen Distributionen installiert, auch den einen
oder anderen kryptischen Befehl notiert, aber im Grunde warten sie skeptisch auf
den Tag, an dem dieses Wissen eingesetzt werden muss.
Hier hilft das bereits erwähnte "Wie werde ich UNIX-Guru? Einführung in UNIX, Linux&Co"
weiter: http://www.galileocomputing.de/katalog/openbook/ [Download 4MB],
wobei der Titel "..UNIX-Guru?.." wohl ironisch überhöht ist.
Erstes Kapitel: Anwendung: Hier steht die Anwendung und der Einstieg in UNIX
im Mittelpunkt. Da die Kommandosprache bei UNIX extrem leistungsfähig ist,
ist es sinnvoll, sie zu kennen, selbst wenn man in erster Linie die grafische
Oberfläche benutzt..
Diese Grundaussage 'ist Programm' und bestätigt sich für das gesamte
Kennenlern-Seminar: Im Gegensatz zu vielen anderen eher Nachschlagebüchern,
FAQs und Howtos wird per Wissensstand 2002 und mit sprechenden Beispielen
ein geschlossener sowie logischer Anwendungs- und Informationszusammenhang
hergestellt, ohne belehrend zu wirken - das Hereinschauen lohnt sich daher
auch für 'fertige Umsteiger.' Die Durcharbeitungszeit beträgt je nach Vor-
kenntnissen drei bis sechs Stunden.
2. Rettungs-CD
Es besteht gelegentlich die Notwendigkeit, Korrekturarbeiten am Linux-Plattensystem
durchzuführen, ohne dass die Produktions-Plattenpartition gestartet sein darf.
a) Eine gebootete Rettungs-CD startet als ca. 30 MB große RAM-Disk, und damit
sind Neu-Partionierungen, Größenveränderungen der Partitionen und Reparatur
defekter Partitionstabellen möglich. Vor allem startet die Rettungs-CD auch dann,
wenn das Linux-Plattensystem nicht mehr startet.
b) Die Suse8.x-CD1 beinhaltet mit dem Menüpunkt 'Rescue' die Funktion
Rettungs-CD. Allerdings setzt deren Beschränkung auf reine Konsolenbefehle schon
einige Erfahrung voraus: Interessanter sind die bei der Suse8.x-CD1 integrierten
Funktionen zu einem gründlichen RAM-Test als auch Wiederherstellen des grub-
Loaders zB. im MBR.
c) DIE Rettungs-CD schlechthin sind im Moment die aktuellen Knoppix-CDs,
insbesondere da der verfügbare NortonCommander-ähnliche 'mc' Systemarbeiten
erheblich erleichtert. Die Knoppix-CD findet sich als Beilage zu verschiedenen PC-
Zeitschriften oder aktuelle Quelle für ISOs zum Beispiel: ftp://ftp.leo.org/pub/knoppix/
-Bei der Anzeige 'Boot: ' führt das Antippen der Enter-Taste zum normalen Desktop.
Leider lässt der Start mit kde3-Oberfläche keine Nutzung als Anwender root zu -
einzige Ausnahme ist Start einer Konsole und 'sudo su' - ergibt eine root-Konsole.
Doch da der eingeschränkte root mit Namen sudo Plattenpartionen nur für sich
selbst, aber nicht den normalen User mounten(einhängen) kann, ist diese
Möglichkeit eigentlich nicht übermäßig brauchbar.
================
WICHTIGE EINFÜGUNG - siehe hierzu mein untenstehender Beitrag vom 23.07.2003
"Knoppix-Live-CD (=nur startbar, aber nicht installierbar) und Sicherheit:"
Die Knoppix-Live-CD bietet root-Rechte auch per kde3-Desktopstart!
================
-Daher kann man für eine root-Konsole gleich zum Start 'Boot: knoppix 2'
eingeben und spart sich den meist reparatur-schwachen Desktop. Beim Knoppix-
Start schien mir 'Boot: knoppix 1' als das Non-plus-Utra', ist doch das hiermit
verwendete 'init 1' die geringste Aktivitaetsstufe eines Linux-Systems, birgt also
die wenigsten Konfliktmöglichkeiten. Doch nur nach 'Boot: knoppix 2' kann man
durch Antippen von Strg+Alt+F1..F9 mit mehreren Fenstern/Tasks arbeiten, was
ja ein Multitasking-System auszeichnet und oft genug sehr nuetzlich ist!
-Mit Start der Knoppix-Cd sind die Mountpunkte(Subdirectories) der gefundenen
Partitionen und Geräte im Verzeichnis /mnt bereits vordefiniert. Um zB.
(nach Begriffen der alten PC-Welt) Laufwerk C: in Zugriff zu bekommen, ist
nur noch der Befehl 'mount -t auto /dev/hda1 /mnt/hda1' erforderlich, und
schon ist "Laufwerk C:" per Ordner /mnt/hda1 lesbar und beschreibbar: Da
die Knoppix-CD beim Starten eine neue /etc/fstab schreibt und Linux dort
Zuordnungsdaten ablesen kann, ist auch eine verkürzte Schreibweise wie
'mount -t auto /dev/hda1' oder 'mount -t auto /mnt/hda1' zulässig.
'help' auf der Konsole zeigt eine Kurz-Befehlsliste, ist aber überwiegend
Gedächtnisstütze für geübte user. Mit 'init 5' kann das Menüsystem kde3
nachgestartet werden.
3. root
a) "Was denn, mit der Knoppix-CD und durch Starteingabe 'boot: knoppix 2'
kommt man ohne Kennworteingabe an alle Plattenpartitionen heran?" -
ist eine häufig gestellte Frage: JA, das ist mit mehr oder weniger Aufwand
BEI ALLEN gängigen PC-Betriebssystemen möglich! Die Grundsatzregel lautet
"Wer physikalischen Rechnerzugang hat, kann sich Zutritt verschaffen.
Die Schutzmaßnahmen hiergegen sind starke BIOS-Kennwörter und verschlüsselte
Nutzdaten-Partionen.
b) root ist nicht gleich root: Bei gestartetem kde3-Desktop ist root ein
normaler Anwender mit zusätzlichen Systemkompetenzen, dh. die Daten
anderer user kann er häufig gar nicht einsehen, zumindest nicht verändern.
Diese Einschränkungen entfallen jedoch beim Start mit einer Rettungs-CD.
c) Der Anwender root kann je nach Verwendungszweck in der Konsole auf
verschiedene Arten gestartet werden - Beispiele:
su - f-prot / (REM Virenprüfer) - exit .. genügt für reine Konsolenbefehle
kdesu kwrite - exit .. ermöglicht dem root auch das Starten von Desktop-Anw.
ssh root@localhost .. root arbeitet mit einer besonders gesicherten
Verbindung zur lokalen Arbeitsstation (Konsolen- und Desktopbefehle).
4. Beispiele
a) Mit genügend Sachkenntnis können mit der Rettungs-CD auch per root-
Konsole alle essentiellen Aufgaben wahrgenommen werden einschließlich
Brennen einer Gesamtsicherung auf CD(RW). Wichtig ist ein vorheriges
Konzept und das Austesten.
b) Ein sinnvoller Einsatz der Rettungs-CD sind auch Reparaturen an
Dateien beispielsweise an einer fehlerhaften /etc/fstab, die das Mounten
von Partitionen und Geräten beim Start bestimmt: Die Knoppix-CD verfügt über
das NortonCommander-ähnliche Tool 'mc' (MidnightCommander), mit dem per
Taste F4 ein komfortabler Editor zum Bearbeiten aufgerufen werden kann.
Zum Beispiel könnte in der /etc/fstab eine andere startbare Partition als
"/" eingetragen werden. Oder eine fehlerhafte /boot/grub/menu.lst
[grub-boot-Datei - verhindert bei Fehlern den Linux-Plattenstart] wird
per Rettungs-CD - mc - F4 korrigiert.
c) Mit gpart, parted, fdisk usw. stehen leistungsfähige Bearbeitungstools
für die Festplatten-Partitionen zur Verfügung, sofern der User nicht
andere Werkzeuge einsetzt. Mit gpart kann man beispielsweise defekte
Partitionstabellen wieder herstellen lassen, nachdem root die im Probelauf
ermittelten Strukturdaten bestätigt hat.
d) root-Passwort vergessen? Per Rettungs-CD KEIN PROBLEM [wegen
Risiko-Abschätzung siehe Grundsätzliches bei Ziffer 3.a)!]:
Angenommen, die Kennwort-Datei shadow liegt auf /mnt/hda1, dann
'mc' starten, nach /mnt/hda1/etc navigieren und Markierung auf die
Datei shadow setzen. F4 antippen für Edit, der Rest ist simpel, in
meinem Beispiel lautet gleich die erste Zeile
root:.nOMDX.W4yu4E:12160:0:10000::::
Nach Edit lautet die Zeile ohne verschlüsseltes Kennwort
root::12160:0:10000:::: - dh. die Zeichen zwischen dem ersten
und dem zweiten Doppelpunkt wurden entfernt. Zum Zurücksetzen
von Kennwörtern anderer user kann man genauso verfahren. Neue
Kennwörter können in der Konsole mit 'passwd' eingegeben werden.
PS: Vor dem Testen habe ich mir zur Sicherheit eine Sicherungs-
kopie von shadow erstellt - sicher ist sicher..
Alle getroffenen Aussagen wurden nach bestem Wissen und Gewissen
überprüft. Dennoch kann keine irgendwie geartete Gewährleistung
übernommen werden, dass sich alle Distributionsversionen gleich
verhalten. AUCH FÜR LINUX GILT: Anwendungen sind Menschenwerk
und daher nie ganz frei von Fehlern - Datensicherungen sind daher
unverzichtbar.
----------------
Von Ernst_42 stammen folgende Tipps:
Interessant für Fortgeschrittene ist auch das folgende Projekt biatchux
bei SourceForge: http://sourceforge.net/projects/biatchux/
(Bootable CD Forensics/Virus Scanning/Recovery/PenTesting platform;
oder auch F.I.R.E = Forensics and Intrusion Response Environment), wenn
man einen Rechner checken will, bei dem man einen Einbruch vermutet.
Ist noch in der Entwicklung (Version 0.4 alpha ist aktuell), sieht aber
vielversprechend aus.
Ein Ergänzungstipp: Der in der Konsole eingegebene mount-Befehl wird vom
System manchmal anders/korrekter umgesetzt als der user sehen kann -
und der Versuch, die evtl. 'halbfertige Konsolen-mount-Syntax' in der /etc/fstab
automatisch abarbeiten zu lassen, führt dann evtl. zu Fehleranzeigen (zB. beim
mount-Versuch von *.ISOs): Sofern der Konsolen-mount-Befehl fehlerfrei funk-
tionierte, kann man in der /etc/mtab den Syntax-korrekten Befehl einsehen und
in die /etc/fstab übernehmen.
---
REM1 Der neue virtuelle Bildschirm nach Strg+Alt+F2 meldet sich korrekt mit
'root@tty2[/]# ' (tty ist das Bildschirm-Device) - einziger Schoenheitsfehler
ist, dass der Prompt des Linux-root's ueblicherweise mit $ und der des
einfachen Users mit # dargestellt wird - aber nicht ueberall muessen Dollars
die Hauptrolle spielen.
REM2 Trotz 'Boot: knoppix 2' kann man ausschliesslich per Tastatur navigieren
-eingeben. Doch wer hat es frueher geschafft, ein NortonCommander-aehnliches
Werkzeug wie 'mc' auf der frueher ueblichen DOS-Bootdiskette unterzubringen?!
Jedenfalls ein neues Stueck Unabhaengigkeit. Und mc kann nicht nur ASCII-Texte,
sondern ist auch grafikfaehig, wie der Klick auf eine *.jpg bestaetigt. Aber euren
Anwendungsbedarf fuer Knoppix-CD als Rettungs-CD muesst ihr selbst herausfinden.