Hallo Leute, Unsichtbare Dateien kenne ich nur mit dem . vorne dran. Ein ls -la listet sie auf. Root bekommt sie immer angezeigt. Zumindest bin ich das von meinen SuSis so gewöhnt. Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das? Diese Datei konnte ich mir übrigens mittels scp auf einen anderen Rechner kopieren, wo sie angezeigt wird. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga, On Tue, Nov 04, 2003 at 09:05:32PM +0100, Helga Fischer wrote:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
was heisst nicht aktuell? Die Befehle der momentanen Shell Session werden gecached und beim verlassen der Shell nach .bash_history (bei bash :) geschrieben. Wenn das nicht dein Problem sein sollte. echo $HISTIGNORE
Diese Datei konnte ich mir übrigens mittels scp auf einen anderen Rechner kopieren, wo sie angezeigt wird.
hmm, die Aussage verstehe ich nicht ganz. Es sei den du hast dich ausgelogged und dann per scp kopiert dann würde obiges zutreffen. Greetings Daniel -- Das ärgerliche am Ärger ist, daß man sich schadet, ohne anderen zu nützen. -- Kurt Tucholsky
Hallo Helga, hallo Leute, Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:
Unsichtbare Dateien kenne ich nur mit dem . vorne dran. Ein ls -la listet sie auf. Root bekommt sie immer angezeigt. Zumindest bin ich das von meinen SuSis so gewöhnt.
Siehe $LS_OPTIONS ;-)
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Theoretisch gar nicht. Schuss ins Blaue: fschk aufrufen und das Ergebnis abwarten ;-) Du warst ja beim "ls"-Aufruf im Homeverzeichnis, oder? Nochwas: was liefert denn /usr/bin/which ls und was type -a ls ? <paranoia> rpm --verify coreutils </paranoia>
Diese Datei konnte ich mir übrigens mittels scp auf einen anderen Rechner kopieren, wo sie angezeigt wird.
Seltsam... Gruß Christian Boltz -- Hmm ... Du meinst das RamA ... Das macht das Frühstück gut ... denn wenn Du RamA verwendest, dann meckert die Frau nicht, wenn Du schon zum Frühstück vor dem Rechner sitzt. [Konrad Neitzel in suse-linux]
Hallo Helga, On Wed, Nov 05, 2003 at 12:50:01AM +0100, Christian Boltz wrote:
Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das? ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ das habe ich vorher leider überlesen :(
Theoretisch gar nicht.
Stichwort LKM / Rootkit / Reiserfs :)
<paranoia> rpm --verify coreutils
chkrootkit / TCT
</paranoia>
Rechner vom Netz nehmen und überprüfen wäre IMHO eine gute Idee. Greetings Daniel -- nur tote Fische schwimmen mit dem Strom
Hallo Daniel, Am Mittwoch November 5 2003 01:16 schrieb Daniel Lord:
On Wed, Nov 05, 2003 at 12:50:01AM +0100, Christian Boltz wrote:
Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Stichwort LKM / Rootkit / Reiserfs :)
LKM kenne ich nicht. Rootkit - will ich nicht hören. Reiserfs hatte ich in Verdacht, meine Vorgänger haben aber klugerweise ext3 genommen.
<paranoia> rpm --verify coreutils
chkrootkit / TCT
</paranoia>
Rechner vom Netz nehmen und überprüfen wäre IMHO eine gute Idee.
:(( . Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hi,
* Helga Fischer
Hallo Daniel,
Am Mittwoch November 5 2003 01:16 schrieb Daniel Lord:
On Wed, Nov 05, 2003 at 12:50:01AM +0100, Christian Boltz wrote:
Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Stichwort LKM / Rootkit / Reiserfs :)
LKM kenne ich nicht. Rootkit - will ich nicht hören. Reiserfs hatte ich in Verdacht, meine Vorgänger haben aber klugerweise ext3 genommen.
XFS....(ohne jetzt einen FS-Disput vom Zaune zu brechen..)
<paranoia> rpm --verify coreutils
chkrootkit / TCT
</paranoia>
Rechner vom Netz nehmen und überprüfen wäre IMHO eine gute Idee.
:(( .
<stutzig werdend> du warst doch diejenige, die ohne Installation desselbigen einen telnetd laufen hattest...... </stutzigwerdend> sieht nach ner Menge Arbeit aus... Tripwire, aide oder nen Sentry am Laufen? ciao dieter -- registered linuxuser 199810 it's time to close windows....
Hallo Dieter, Am Mittwoch November 5 2003 07:16 schrieb Dieter Franzke:
* Helga Fischer
[031105 06:53]: Hallo Daniel,
Am Mittwoch November 5 2003 01:16 schrieb Daniel Lord:
On Wed, Nov 05, 2003 at 12:50:01AM +0100, Christian Boltz wrote:
Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Reiserfs hatte ich in Verdacht, meine Vorgänger haben aber klugerweise ext3 genommen.
XFS....(ohne jetzt einen FS-Disput vom Zaune zu brechen..)
Habe ich mir auf meiner zweiten SuSE-Installation mal gegönnt, kann allerdings noch keine Erfahrungswerte beibringen. Wirkt ein wenig langsam, kann aber auch an Susi selbst liegen.
<paranoia> rpm --verify coreutils
chkrootkit / TCT
</paranoia>
Rechner vom Netz nehmen und überprüfen wäre IMHO eine gute Idee.
:(( .
<stutzig werdend> du warst doch diejenige, die ohne Installation desselbigen einen telnetd laufen hattest...... </stutzigwerdend>
Ja, war ich. Ich habe einen offenen Telnetport, man kann sich aber nicht drüber einloggen, das wurde inzwischen versucht. Einen telnetd hatte ich nicht ausfindig machen können.
sieht nach ner Menge Arbeit aus... Tripwire, aide oder nen Sentry am Laufen?
Nein.
ciao Ebenfalls ;)
Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga, On Wed, Nov 05, 2003 at 06:53:55AM +0100, Helga Fischer wrote:
LKM kenne ich nicht.
LKM == Loadable Kernel Modul. Es waren hier aber solche LKM's gemeint die ähnlich wie die wrapper Programme "traditioneller" Rootkits Informationen vor dem Admin verbergen. Das gemeine bei LKM's ist, dass sie (wenn gut gemacht) im laufenden System überhaupt nicht auffallen. Tripwire und Co lassen sich mit solchen Methoden aushebeln. Auch ist es damit möglich TCP/IP Verbindungen an lokalen Firewalls und diversen lokalen Überwachungsprogrammen vorbei aufzubauen. ==> monolitischer Kernel und/oder schau dir mal auf http://www.linuxsecurity.com/tips/tip-14.html an was dir gefällt ;) SELinux, grsecurity haben die glaube ich vergessen...
Rootkit - will ich nicht hören.
... solltest Dich aber vielleicht trotzdem mal damit beschäftigen. Vor allem wenn Firma + Linux + 24/7 + unerfahrener Admin ;) Ist zum einen sehr interessant und zum anderen macht es klar wozu updates und Wrapper / Proxies / Stateful Packetfilter etc gut sind. Achso Tripwire ist auch wenn es umgangen werden kann alles andere als überflüssig :) Und der aberglaube Linux == sicher geht dann auch ganz schnell in Rauch auf. Was bleibt ist das Wissen wie du dein Linux sicher(er) machst ;) Greetings Daniel -- Träume nicht Dein Leben, lebe Deinen Traum!
Hallo Daniel, Am Mittwoch November 5 2003 11:59 schrieb Daniel Lord:
On Wed, Nov 05, 2003 at 06:53:55AM +0100, Helga Fischer wrote:
LKM kenne ich nicht.
LKM == Loadable Kernel Modul. Es waren hier aber solche LKM's gemeint die ähnlich wie die wrapper Programme "traditioneller" Rootkits Informationen vor dem Admin verbergen.
Jetzt fällt der Groschen, ja, habe ich doch schon gehört.
Das gemeine bei LKM's ist, dass sie (wenn gut gemacht) im laufenden System überhaupt nicht auffallen. Tripwire und Co lassen sich mit solchen Methoden aushebeln. Auch ist es damit möglich TCP/IP Verbindungen an lokalen Firewalls und diversen lokalen Überwachungsprogrammen vorbei aufzubauen.
*Auweia* das klingt böse.
==> monolitischer Kernel und/oder schau dir mal auf http://www.linuxsecurity.com/tips/tip-14.html
Werde ich, logisch, machen.
an was dir gefällt ;) SELinux, grsecurity haben die glaube ich vergessen...
Rootkit - will ich nicht hören.
... solltest Dich aber vielleicht trotzdem mal damit beschäftigen.
Ich dachte nicht, daß mich eine solche Problematik so schnell einholen könnte.
Vor allem wenn Firma + Linux + 24/7 + unerfahrener Admin ;)
_sehr_ unerfahrener Admin, paßt, aber irgendwann mußte ich es eben mal tun.
Und der aberglaube Linux == sicher geht dann auch ganz schnell in Rauch auf.
Dem hing ich auch nicht so sehr an, aber der Sprung vom Homeuser mit gelegentlichem Netzzugang zum Fulltime-Netzwerker, der ist halt heftig.
Was bleibt ist das Wissen wie du dein Linux sicher(er) machst ;)
Ja, unterstreiche ich. Ciao, Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Christian, Am Mittwoch November 5 2003 00:50 schrieb Christian Boltz:
Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:
Unsichtbare Dateien kenne ich nur mit dem . vorne dran. Ein ls -la listet sie auf. Root bekommt sie immer angezeigt. Zumindest bin ich das von meinen SuSis so gewöhnt.
Siehe $LS_OPTIONS ;-)
Richtig.
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Theoretisch gar nicht.
Ja, so dachte ich auch.
Schuss ins Blaue: fschk aufrufen und das Ergebnis abwarten ;-)
Mmmhhh...
Du warst ja beim "ls"-Aufruf im Homeverzeichnis, oder?
Ja.
Nochwas: was liefert denn /usr/bin/which ls und was type -a ls ?
Probiere ich bei nächster Gelegenheit aus.
<paranoia> rpm --verify coreutils </paranoia>
Scheint so, als müsse an etlichen Ecken Paranoia entwickeln.
Diese Datei konnte ich mir übrigens mittels scp auf einen anderen Rechner kopieren, wo sie angezeigt wird.
Seltsam...
In der Tat, wenn sich die Rätsel aber lösen, haben wir ein paar interessante Antworten auf klitzekleine Linuxgemeinheiten. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/
Hallo Helga Helga Fischer wrote:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Bist Du wirklich in deinem Homeverzeichnis gestanden? Daniel hat es ja schon gesagt: Die aktuelle History wird gecached, beim verlassen der bash wird Sie geschrieben. Nimm einfach mal zwei xterms und spiel ein wenig, dann klärt sich das ganz schnell.
Schuss ins Blaue: fschk aufrufen und das Ergebnis abwarten ;-)
Wenn es sich immer noch um deine "kranke" Firewall handelt kann das nicht schaden ;-)
<paranoia> rpm --verify coreutils </paranoia>
Scheint so, als müsse an etlichen Ecken Paranoia entwickeln.
Behalte dabei aber "Augenmaß" ;-) BTW: Wenn es sich immer noch um die "kranke" Firewall handelt, ist u.U. eine Installation "from scratch" in Betracht zu ziehen. Soweit ich aus dem Thread herauslesen konnte hast Du den Rechner von "Vorgängern" übernommen. D.h. Du kannst eben nicht _garantiert_ sagen, was auf der Maschine alles "schiefgelaufen" sein könnte. Die Frage die sich (zumindest für mich) stellt: Was ist der geringste Aufwand? Möglichkeit 1: Saubere Neuinstallation (minimale Paketauswahl, jeglichen "Mist" der unnötig ist entrümpeln), sauberes Protokoll (was wurde gemacht), Checkliste anlegen und abarbeiten (alle unnötigen Dienste stoppen und ggf. Pakete deinstallieren, etc.). Möglichkeit 2: Fehlersuche, Fehleranalyse, anschließend Beseitigung der selbigen. Dürfte vom Zeitaufwand wahrscheinlich in etwa gleich bleiben. Allerdings bleibt dann (vielleicht) noch das "ungute Gefühl" doch etwas übersehen zu haben.
In der Tat, wenn sich die Rätsel aber lösen, haben wir ein paar interessante Antworten auf klitzekleine Linuxgemeinheiten.
An den Antworten möchte ich, wie immer, partizipieren. Beste Grüße Gerald -- Gerald Engl AED-SICAD Aktiengesellschaft Lilienthalstrasse 7 / 85579 Neubiberg Tel.: +49 89 45026-110
Hallo Gerald, Am Mittwoch November 5 2003 10:53 schrieb Gerald Engl:
Helga Fischer wrote:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Bist Du wirklich in deinem Homeverzeichnis gestanden?
Ja, mehrfach überprüft, habe mich auch von zwei verschiedenen Rechner zu verschiedenen Zeiten eingeloggt.
Daniel hat es ja schon gesagt: Die aktuelle History wird gecached, beim verlassen der bash wird Sie geschrieben.
Ja, darauf habe ich geachtet, also sauberes Logout.
Nimm einfach mal zwei xterms und spiel ein wenig, dann klärt sich das ganz schnell.
Wenn's puttys auch tun ;) [...]
Scheint so, als müsse an etlichen Ecken Paranoia entwickeln.
Behalte dabei aber "Augenmaß" ;-)
Natürlich, ich will ja lernen, wie man es macht. Kopfloses Getue oder unbewiesene Vermutungen bringen es ja auch nicht.
BTW: Wenn es sich immer noch um die "kranke" Firewall handelt, ist u.U. eine Installation "from scratch" in Betracht zu ziehen.
Ja, ich würde das vermutlich schon in Betracht ziehen, ist aber gar nicht so einfach, wenn man das gegen Geld macht. Blöde Situation.
Soweit ich aus dem Thread herauslesen konnte hast Du den Rechner von "Vorgängern" übernommen. D.h. Du kannst eben nicht _garantiert_ sagen, was auf der Maschine alles "schiefgelaufen" sein könnte.
Du weißt vermutlich selbst, wie es mit dem Rumbasteln ist... Man kennt oft genug nicht alle Fakten und macht so lange weiter, bis alles läuft und an irgendeiner Stelle wird man von einem Seiteneffekt erwischt.
Die Frage die sich (zumindest für mich) stellt:
Was ist der geringste Aufwand?
Möglichkeit 1:
Saubere Neuinstallation (minimale Paketauswahl, jeglichen "Mist" der unnötig ist entrümpeln), sauberes Protokoll (was wurde gemacht), Checkliste anlegen und abarbeiten (alle unnötigen Dienste stoppen und ggf. Pakete deinstallieren, etc.).
Dazu gehören Konzepte und ausgearbeitete Checkliste und ein gerüttelt Maß an Erfahrung (oder ein wirklich guter Unterricht), aber letztendlich werde ich wohl Learning-by-Doing machen müssen. (Lesetipps nehme ich entgegen! Nach Büchern habe ich schon gesucht, aber sie hören meist bei den Sachen auf, die ich brauchen könnte).
Möglichkeit 2:
Fehlersuche, Fehleranalyse, anschließend Beseitigung der selbigen. Dürfte vom Zeitaufwand wahrscheinlich in etwa gleich bleiben.
Darauf wird es vermutlich rauslaufen.
Allerdings bleibt dann (vielleicht) noch das "ungute Gefühl" doch etwas übersehen zu haben.
Mich in die Irre oder an der Nase herumzuführen ist im Moment _noch_ einfach.
In der Tat, wenn sich die Rätsel aber lösen, haben wir ein paar interessante Antworten auf klitzekleine Linuxgemeinheiten.
An den Antworten möchte ich, wie immer, partizipieren.
Ich werde euch auf jeden Fall informieren, versprochen. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Offene Jobs -- http://www.eschkitai.de/openoffice/jobs.html
Hallo Liste, hallo Christian Boltz, Christian Boltz's Tastaturgeklapper:
Hallo Helga, hallo Leute,
[..]
Nochwas: was liefert denn /usr/bin/which ls und was type -a ls ?
<paranoia> rpm --verify coreutils </paranoia>
Diese Datei konnte ich mir übrigens mittels scp auf einen anderen Rechner kopieren, wo sie angezeigt wird.
Seltsam...
Na, das erhärtet doch deinen Verdacht: Problemmaschinen-"ls" zeigt's nicht! Gutemaschinen-"ls" zeigts - und scp funktioniert! Gruß Friedrich -- Beste Grüße von der Schwäbischen Alb _Das_ MailingListenarchiv für suse-linux: http://marc.theaimsgroup.com/?l
On Tue, Nov 04, 2003 at 09:05:32PM +0100, Helga Fischer wrote:
Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?
Was ergibt "ls -laQ"? Moeglicherweise hat eine Datei Steuerzeichen, die den Eintrag ueberschreiben. -- Have fun, Peter
participants (7)
-
Christian Boltz
-
Daniel Lord
-
Dieter Franzke
-
Friedrich Strohmaier
-
Gerald Engl
-
Helga Fischer
-
Peter Wiersig