Hallo Helga, On Wed, Nov 05, 2003 at 12:50:01AM +0100, Christian Boltz wrote:

Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:

...

Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das? ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ das habe ich vorher leider überlesen :(

Theoretisch gar nicht.

Stichwort LKM / Rootkit / Reiserfs :)

<paranoia> rpm --verify coreutils

chkrootkit / TCT

</paranoia>

Rechner vom Netz nehmen und überprüfen wäre IMHO eine gute Idee. Greetings Daniel -- nur tote Fische schwimmen mit dem Strom

Hi, * Helga Fischer [031105 06:53]:

Hallo Daniel,

Am Mittwoch November 5 2003 01:16 schrieb Daniel Lord:

...

On Wed, Nov 05, 2003 at 12:50:01AM +0100, Christian Boltz wrote:

...

Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:

...

Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?

...

Stichwort LKM / Rootkit / Reiserfs :)

LKM kenne ich nicht. Rootkit - will ich nicht hören. Reiserfs hatte ich in Verdacht, meine Vorgänger haben aber klugerweise ext3 genommen.

XFS....(ohne jetzt einen FS-Disput vom Zaune zu brechen..)

...

...

<paranoia> rpm --verify coreutils

chkrootkit / TCT

...

</paranoia>

Rechner vom Netz nehmen und überprüfen wäre IMHO eine gute Idee.

:(( .

<stutzig werdend> du warst doch diejenige, die ohne Installation desselbigen einen telnetd laufen hattest...... </stutzigwerdend> sieht nach ner Menge Arbeit aus... Tripwire, aide oder nen Sentry am Laufen? ciao dieter -- registered linuxuser 199810 it's time to close windows....

Hallo Helga, On Wed, Nov 05, 2003 at 06:53:55AM +0100, Helga Fischer wrote:

LKM kenne ich nicht.

LKM == Loadable Kernel Modul. Es waren hier aber solche LKM's gemeint die ähnlich wie die wrapper Programme "traditioneller" Rootkits Informationen vor dem Admin verbergen. Das gemeine bei LKM's ist, dass sie (wenn gut gemacht) im laufenden System überhaupt nicht auffallen. Tripwire und Co lassen sich mit solchen Methoden aushebeln. Auch ist es damit möglich TCP/IP Verbindungen an lokalen Firewalls und diversen lokalen Überwachungsprogrammen vorbei aufzubauen. ==> monolitischer Kernel und/oder schau dir mal auf http://www.linuxsecurity.com/tips/tip-14.html an was dir gefällt ;) SELinux, grsecurity haben die glaube ich vergessen...

Rootkit - will ich nicht hören.

... solltest Dich aber vielleicht trotzdem mal damit beschäftigen. Vor allem wenn Firma + Linux + 24/7 + unerfahrener Admin ;) Ist zum einen sehr interessant und zum anderen macht es klar wozu updates und Wrapper / Proxies / Stateful Packetfilter etc gut sind. Achso Tripwire ist auch wenn es umgangen werden kann alles andere als überflüssig :) Und der aberglaube Linux == sicher geht dann auch ganz schnell in Rauch auf. Was bleibt ist das Wissen wie du dein Linux sicher(er) machst ;) Greetings Daniel -- Träume nicht Dein Leben, lebe Deinen Traum!

Hallo Christian, Am Mittwoch November 5 2003 00:50 schrieb Christian Boltz:

Am Dienstag, 4. November 2003 21:05 schrieb Helga Fischer:

...

Unsichtbare Dateien kenne ich nur mit dem . vorne dran. Ein ls -la listet sie auf. Root bekommt sie immer angezeigt. Zumindest bin ich das von meinen SuSis so gewöhnt.

Siehe $LS_OPTIONS ;-)

Richtig.

...

Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?

Theoretisch gar nicht.

Ja, so dachte ich auch.

Schuss ins Blaue: fschk aufrufen und das Ergebnis abwarten ;-)

Mmmhhh...

Du warst ja beim "ls"-Aufruf im Homeverzeichnis, oder?

Ja.

Nochwas: was liefert denn /usr/bin/which ls und was type -a ls ?

Probiere ich bei nächster Gelegenheit aus.

<paranoia> rpm --verify coreutils </paranoia>

Scheint so, als müsse an etlichen Ecken Paranoia entwickeln.

...

Diese Datei konnte ich mir übrigens mittels scp auf einen anderen Rechner kopieren, wo sie angezeigt wird.

Seltsam...

In der Tat, wenn sich die Rätsel aber lösen, haben wir ein paar interessante Antworten auf klitzekleine Linuxgemeinheiten. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/

Hallo Gerald, Am Mittwoch November 5 2003 10:53 schrieb Gerald Engl:

Helga Fischer wrote:

...

...

...

Jetzt habe ich mit dem Phänomenen zu kämpfen, daß ein less .bash_history zwar eine History lädt (aber nicht mit aktuellem Inhalt), ein ls -la zeigt mir aber nichts an. Wie funktioniert das?

Bist Du wirklich in deinem Homeverzeichnis gestanden?

Ja, mehrfach überprüft, habe mich auch von zwei verschiedenen Rechner zu verschiedenen Zeiten eingeloggt.

Daniel hat es ja schon gesagt: Die aktuelle History wird gecached, beim verlassen der bash wird Sie geschrieben.

Ja, darauf habe ich geachtet, also sauberes Logout.

Nimm einfach mal zwei xterms und spiel ein wenig, dann klärt sich das ganz schnell.

Wenn's puttys auch tun ;) [...]

...

Scheint so, als müsse an etlichen Ecken Paranoia entwickeln.

Behalte dabei aber "Augenmaß" ;-)

Natürlich, ich will ja lernen, wie man es macht. Kopfloses Getue oder unbewiesene Vermutungen bringen es ja auch nicht.

BTW: Wenn es sich immer noch um die "kranke" Firewall handelt, ist u.U. eine Installation "from scratch" in Betracht zu ziehen.

Ja, ich würde das vermutlich schon in Betracht ziehen, ist aber gar nicht so einfach, wenn man das gegen Geld macht. Blöde Situation.

Soweit ich aus dem Thread herauslesen konnte hast Du den Rechner von "Vorgängern" übernommen. D.h. Du kannst eben nicht _garantiert_ sagen, was auf der Maschine alles "schiefgelaufen" sein könnte.

Du weißt vermutlich selbst, wie es mit dem Rumbasteln ist... Man kennt oft genug nicht alle Fakten und macht so lange weiter, bis alles läuft und an irgendeiner Stelle wird man von einem Seiteneffekt erwischt.

Die Frage die sich (zumindest für mich) stellt:

Was ist der geringste Aufwand?

Möglichkeit 1:

Saubere Neuinstallation (minimale Paketauswahl, jeglichen "Mist" der unnötig ist entrümpeln), sauberes Protokoll (was wurde gemacht), Checkliste anlegen und abarbeiten (alle unnötigen Dienste stoppen und ggf. Pakete deinstallieren, etc.).

Dazu gehören Konzepte und ausgearbeitete Checkliste und ein gerüttelt Maß an Erfahrung (oder ein wirklich guter Unterricht), aber letztendlich werde ich wohl Learning-by-Doing machen müssen. (Lesetipps nehme ich entgegen! Nach Büchern habe ich schon gesucht, aber sie hören meist bei den Sachen auf, die ich brauchen könnte).

Möglichkeit 2:

Fehlersuche, Fehleranalyse, anschließend Beseitigung der selbigen. Dürfte vom Zeitaufwand wahrscheinlich in etwa gleich bleiben.

Darauf wird es vermutlich rauslaufen.

Allerdings bleibt dann (vielleicht) noch das "ungute Gefühl" doch etwas übersehen zu haben.

Mich in die Irre oder an der Nase herumzuführen ist im Moment _noch_ einfach.

...

In der Tat, wenn sich die Rätsel aber lösen, haben wir ein paar interessante Antworten auf klitzekleine Linuxgemeinheiten.

An den Antworten möchte ich, wie immer, partizipieren.

Ich werde euch auf jeden Fall informieren, versprochen. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Offene Jobs -- http://www.eschkitai.de/openoffice/jobs.html