iptables REJECT

Neue öffentliche DNS Server

Jetzt gibt es eine Alternative für die Google DNS-Server (8.8.8.8 & 8.8.4.4) von Quad9 (IBM). Ich habe die gerade mal getestet und die sind in meinem Fall sogar schneller als die von Google oder OpenDNS.
Quad9 stellt nicht nur einfach öffentliche DNS-Server zu Verfügung, sondern bietet auch gleich ein Latte an Features für diese an. Folgende DNS-Server stellt Quad9 Euch zu Verfügung:

DNS-IPv4: 9.9.9.9
DNS-IPv6: 2620:fe::fe
Features: Malware Blocklist, DNSSEC, No EDNS Client-Subnet

DNS-IPv4: 9.9.9.10
DNS-IPv6: 2620:fe::10
Features: No blocklist, no DNSSEC, send EDNS Client-Subnet

DNS-IPv4: 9.9.9.11
DNS-IPv6: 2620:fe::11
Features: noch unklar

DNS-IPv4: 9.9.9.12
DNS-IPv6: 2620:fe::12
Features: noch unklar

Wer mal die Performance seiner DNS-Server checken will, der sollte dich mal DNSdiag oder/und namebench (Windows, Mac, Linux) von Google anschauen.

iptables REJECT

Sysadmin: IP mit iptables sperren

Gerade mal auf einem meiner Server ins Log geschaut, warum so viele Anfragen auf die FTP/SFTP/FTPS Ports kommen:

Die Schuldigen wurden schnell identifiziert ;) Es sind noch Kunden von dapd die ihre Meldungen per FTP/SFTP/FTPS bezogen haben. Leider kann ich diese nicht anschreiben, denn ich kenne die Ansprechpartner nicht mehr. Daher habe ich beschlossen, die Anfragen gleich auf der Firewall zu blocken. Die zahlreichen Anfragen füllen nur unnötig das Logfile. Das ganz kann man ganz „komfortabel“ in der Linux-Konsole mit „iptables“ erledigen. Die folgende Regel sperrt die IP (xxx.xxx.xxx.xxx) für TCP-Port 21 (FTP):

iptables -I INPUT -p tcp -s xxx.xxx.xxx.xxx –dport 21 -j REJECT –reject-with tcp-reset

Man kann die Regel natürlich anpassen und damit auch andere Ports blocken. Manchmal gibt es ein paar Skriptkiddies oder ein paar Leute aus China, die meinen einen Server mit sinnlosen Anfragen bombardieren zu müssen. Regel anpassen + nutzen = Problem gelöst. Jetzt brauch ich nicht jedes Mal nach der Regel suchen, wenn ich die brauch ;)

Man kann so was auch teilweise auch automatisieren, z.B. mit Fail2ban und denyhosts.

Sysadmin Spicker: Uhrzeitsynchronisierung zwischen dem Gast- und dem Hostbetriebssystem (VMware)

Gerade das Problem bemerkt, dass die Zeit zwischen der Hardware-Clock und der OS-Clock nicht stimmt. Gehen ca. 13 Minuten auseinander. Das es sich um eine virtuelle Maschne (vmware) handelt, sollte man die Zeitsychronsieirung der installierten VMware-Tools nutzen. Die Zeitsynchronisierungsprogramme NTP (Linux) bzw. Win32Time (Windows) sind zwar genauer, aber diese muss man erst konfigurieren. Wer den Konfigurationsaufwand nicht scheut sollte dies auch machen. Aber in manchen Fällen werden z.B. auch NTP Anfragen von einer Firewall unterbunden, da kommt man da auch nicht weiter.

Sind die VMware-Tools installiert, dann kann man mit vmware-toolbox-cmd timesync status (Linux) bzw. VMwareToolboxCmd.exe timesync status (Windows) den aktuellen Status abfragen. Eingeschaltet wird das mit vmware-toolbox-cmd timesync enable (Linux) bzw. VMwareToolboxCmd.exe timesync enable (Windows). Somit wird die Hardware-Clock mit der des Hostsystems gesynct. Anschließend muss nur noch die Uhr des Gastsystem gesynct werden. Bei Linux geht das mit hwclock –hctosys.

Nützlicher Linux Konsolen-Befehle

  • alias: Mit alias können Sie einen Befehl selbst definieren. Dabei können Sie auch bereits vorhandene Befehle umschreiben. Wollen Sie zum Beispiel den Text-Editor vim auch aufrufen, wenn Sie vi eintippen, geht das so: alias vi=’vim“
  • cat: Mit cat können Sie sich eine Datei anzeigen lassen: cat dateiname. Aus gründen der Übersichtlichkeit lässt sich das auch mit more kombinieren: cat dateiname | more.
  • df und du: Die Befehle df und du verwenden Sie, wenn Sie Informationen über den belegten Platz erfahren möchten. Dabei zeigt df die Größe, den benutzten und den belegten Platz von eingebundenen Massenspeichern an. Mit du können Sie die Größe eines Ordners, inklusive Unterordner ermitteln. Der Schalter -h macht es etwas angenehmer zu lesen: du -h.
  • locate: Mit locate k??nnen Sie nach Dateinamen suchen: locate <Suchbegriff>. Dateien können Sie auch mittels find suchen. Sie können auch Wildcards verwenden: find ./ -name ’name*‘
  • lsmod, uname, id und whoami: Mit lsmod können Sie alle eingeladenen Module einsehen. Die Kernel-Version spuckt uname -a aus. Informationen über den gerade verwendeten Anwender gibt id aus. Wer Sie gerade auf der Konsole sind, finden Sie mit whoami.
  • mv: Eine Datei verschieben Sie mit mv. Sie können den Befehl auch für das Umbenennen von Dateien nutzen: mv <alter name> <neuer name>
  • passwd: Wollen Sie das Kennwort ändern, benutzen Sie passwd. Das Passwort eines bestimmten Benutzers ändern Sie als root mit: passwd <benutzername>.
  • sync: Der Befehl sync ist wichtig, wenn Sie das System anweisen wollen, alle gepufferten Dateien auf die Festplatte durchzuschreiben. Als Benutzer root können Sie mittels ifconfig Informationen über alle im System aktivierten Netzewrkgeräte erhalten.
  • touch: Mittels touch erzeugen Sie eine neue Datei. Sollte die Datei existieren, ändern Sie damit das Datum, wann sie zuletzt geändert wurde: touch dateiname
  • which: which sucht einen Befehl und gibt dessen Pfad aus: which <Kommando>

Video: A LIFE ON FACEBOOK

Ein tolles Video von Maxime Luère das das Leben eines Mannes (Alex Droner) erzählt. Allerdings werden in dem Video nur die Änderungen seines Facebook-Pofils gezeigt! Vom ersten Login bis zum Logout. Musik ist übrigens „Paint It, Black“ von den Rolling Stones. Maxime Luère arbeitet beim Akama Studio und macht dort Rendering, VFX und Compositing. Das Demoreel ist schon beeindruckend!

http://vimeo.com/16691850

Großartig gemacht.