Posts by stachi

Vielleicht sollte man erwähnen das bei dem Image "dependency based boot" genutzt wird.
Das ist aber auch normal, weil Debian bei Neuinstallationen immer die neue Variante nimmt. Außerdem kann man nicht mehr zurück auf die alte Startreihenfolge.
Kann aber sagen das trotzdem alles Problemlos läuft. Es kann aber vorkommen das für manche Konfigurationen die Abhängigkeiten in den init-Scripten angepasst werden muss.

Eine Sache ist mir aber doch aufgefallen, der cron wollte nicht automatisch starten. Aber ein "update-rc.d cron defaults" hat das Problem gelöst.

Quote from teacup;31695

Ist jetzt 2.6.33.2 > 2.6.33?

Ja.

Quote from teacup;31695

Hat vielleicht jemand von euch diese Kombination schon probiert?

Nein.

Kurz und knapp:D

Ich hab das Script im laufe der Zeit noch ein bisschen geändert. Hier also eine aktualisierte Version die auch unter Squeeze läuft. An der Funktion und Verwendung hat sich nichts geändert.

Edit: Jetzt ohne $REPLY und somit dash kompatibel.

#!/bin/sh
#
# Script um IPs ueber OpenVCP zu bannen
#
# Dieses Script empfängt über den ersten Parameter die IP.
#
# Der zweite ist add fürs hinzufügen oder del fürs löschen der IP.
#
# Die IP wird für jedes Protokoll und jeden Port gesperrt.
#
# Copyright (C) 2008 Michael Geiger - tux1337 - www.geigers-site.de
# Copyright (C) 2011 stachi
#
# This program is free software; you can redistribute it and/or modify it
# under the terms of the GNU General Public License as published by the
# Free Software Foundation; either version 3 of the License, or (at your
# option) any later version.
#
# This program is distributed in the hope that it will be useful, but
# WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
# General Public License for more details.
#
# You should have received a copy of the GNU General Public License along
# with this program; if not, see <http://www.gnu.org/licenses/>.
#




#check for running process
while [ -e /tmp/ovcp/vcp.pid ]; do
    if ( kill -0 `cat /tmp/ovcp/vcp.pid` 2> /dev/null ); then
        sleep 5
    else
        rm -R /tmp/ovcp
    fi
done




###init bereich
#openvcp login
user="Benutzername"
password="Passwort"
servername="vxxxxxxxx"
####init end




# DO NOT CHANGE ANYTHING UNDER THIS LINE!
##############################################




#parameter
direction="INPUT"
protokoll="tcp"
sourceip="$1"
sourceport="any"
destinationip="any"
destinationport="any"
policy="DROP"
match="STATE"
new="NEW"
established="ESTABLISHED"
related="RELATED"
addrule="Regel hinzufügen"
delrule="submit changes"




#tmp dir
mkdir /tmp/ovcp
chmod 600 /tmp/ovcp
cd /tmp/ovcp




#save pid
echo $$ > vcp.pid




login() {
    curl -b openvcpcookie.txt -c openvcpcookie.txt -d "loginname=$user&password=$password" --url https://www.vservercontrolpanel.de/index.php/auth/submit
}




logout() {
    curl -b openvcpcookie.txt --url https://www.vservercontrolpanel.de/index.php/user/logout
}




case "$2" in
    add)
        login




        curl -b openvcpcookie.txt -d "proto=$protokoll&srcip=$sourceip&srcport=$sourceport&destip=$destinationip&destport=$destinationport&target=$policy&match=$match&match_value[NEW]=$new&match_value[ESTABLISHED]=$established&match_value[RELATED]=$related&direction=$direction&add_rule=$addrule" --url https://www.vservercontrolpanel.de/index.php/user/firewall/$servername/submit




        protokoll="udp"
        curl -b openvcpcookie.txt -d "proto=$protokoll&srcip=$sourceip&srcport=$sourceport&destip=$destinationip&destport=$destinationport&target=$policy&match=$match&match_value[NEW]=$new&match_value[ESTABLISHED]=$established&match_value[RELATED]=$related&direction=$direction&add_rule=$addrule" --url https://www.vservercontrolpanel.de/index.php/user/firewall/$servername/submit




        protokoll="icmp"
        curl -b openvcpcookie.txt -d "proto=$protokoll&srcip=$sourceip&srcport=$sourceport&destip=$destinationip&destport=$destinationport&target=$policy&match=$match&match_value[NEW]=$new&match_value[ESTABLISHED]=$established&match_value[RELATED]=$related&direction=$direction&add_rule=$addrule" --url https://www.vservercontrolpanel.de/index.php/user/firewall/$servername/submit




        logout
    ;;
    del)
        login




        curl -b openvcpcookie.txt  -o openvcpfirewall.txt --url https://www.vservercontrolpanel.de/index.php/user/firewall/$servername
        ids=`grep -C "1" -e "$sourceip" openvcpfirewall.txt | grep -o -e "rule\[[[:digit:]]*\]" | grep -o -e "[[:digit:]]*" | tr -t "\n" " "`
        for id in $ids; do
            curl -b openvcpcookie.txt -d "rule[$id]=$id&submit=$delrule" --url https://www.vservercontrolpanel.de/index.php/user/firewall/$servername/submit
        done




        logout
    ;;
    *)
        echo "Usage: $0 xxx.xxx.xxx.xxx {add|del}"
        exit 1
    ;;
esac




#delete tmp data
rm -R /tmp/ovcp




exit 0

Quote from killerbees19;22517

Ich glaube dann gibt es ziemlich schnell einen Absturz. Denn bei der 7170 ist durchschnittlich < 1 MB Ram frei. Die kommt schon an ihre Grenzen, wenn man wirklich alle eingebauten Funktionen der Original Firmware nutzt

MfG Christian

Auch wenn es schon ein bisschen her ist möchte ich das hier nochmal aufgreifen. Ich hab mir jetzt mal bei SixXS ein Tunnel+Subnet geholt und gleich mal auf meinem Router ausprobiert.

Wie ich schon erwähnte habe ich ein Speedport W900 der bis auf ein paar Kleinigkeiten baugleich mit einer FritzBox 7170 ist.

Habe Freetz Trunk 6510 drauf, natürlich mit replace Kernel für IPv6 Support.
Entfernt habe ich den AVM Mediaserver, USB-Fernanschluss und Hilfe/Support Dateien um Platz im Flash zu bekommen.
Eingefügt habe ich aiccu, callmonitor, dnsmasq, dropbear, ip6tables, nfsd und radvd.
Von den Standard AVM-Pakten läuft aktuell nur der FTP-Server (Samba aber normalerweise auch).

Jetzt hab ich auch IPv6 in meinem Netzwerk und keine Router abstürze oder ähnliches. Ich nutze ihn auch als Telefonanlage und der Router erledigt alle Aufgaben immer noch Problemlos.

Hier der aktuelle RAM verbrauch nach über einer Woche Laufzeit:
[Blocked Image: http://img408.imageshack.us/img408/4378/freetzram.png]

Es gibt also noch reichlich Luft nach oben.

Ich nehme alles zurück und behaupte das Gegenteil!

Tasse und Lebkuchen sind heute heil eingetroffen:)

Werd ich meine Server doch nicht kündigen:D

Dafür habt ihr euch ein großes DANKE verdient:)

[Blocked Image: http://img534.imageshack.us/img534/9623/nctasse.th.jpg]

Uploaded with ImageShack.us

Hab ich mir wohl keine verdient:(

Werd gleich alle meine vServer bei netcup Kündigen:D

Vielleicht ja beim nächsten mal:)

Soweit ich mich darüber informiert hab ist die aktuelle ProFTPD Version in Lenny nicht betroffen.

Quote from ghost;26860

Nur Ping bzw. Traceroute geht, allerdings antwortet der Server auch auf Ping, wenn er im Webinterface gestoppt wurde, was vermutlich an der Virtualisierungslösung liegt und so keine Fehlerdiagnose zulässt.

Normal ist das nicht!

Alle meine vServer bei Netcup sind wirklich offline wenn ich sie übers OVCP stoppe.

Wenn denn hast du nur ein von beiden.

Die Logs sind die gleichen wie für Postfix, also mail.err mail.warn mail.info. Die mail.info spuckt in der Regel am meisten aus.

Dann scheint der Tipp mit postfix ja schon mal geholfen zu haben.

Was sagen die Logs zu dovecot/courier?

Theoretisch sollte mindestens diese Fehlermeldung weg sein:

Quote

warning: connect to mysql server localhost: Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2)

Vielleicht hängt es ja noch woanders?

Die einfachste Möglichkeit ist es in den /etc/postfix/mysql-*.cf Scripten localhost gegen 127.0.0.1 zu ersetzen.
Mann könnte zwar auch den MySQL Socket in das postfix chroot jail linken, aber warum kompliziert wenn es einfach auch geht:D

Ich hab mir auch mal ein Script selbst geschrieben, aber mit screen. Ich finde screen ist grade bei Source Servern praktisch, weil man so immer direkt auf dem Server in die Konsole kann und sich so Rcon spart. So kann man auch die Logs live mitlesen falls man mal einen Fehler sucht. Mir sind keine negativen Auswirkungen von screen bekannt und ich hab auch keine Probleme damit. Mein Script betreibe ich mit CSS, TF2 und L4D Servern und ich hatte noch nie Probleme.

Na gut, aktuelle Scripte sollten die paar geänderten Funktionen nicht stören weil nur ziemlich alte Sachen geändert wurden, aber es gibt noch Scripte die mysql_connect noch mit dem alten Passwort-Format nutzen und das geht z.B. nicht mehr.

Und ich wurde mit deprecated Meldungen in der Default Einstellung E_ALL überrannt.

Mittlerweile sind die meisten Programme auch auf PHP 5.3 angepasst, grade bei CMS und diverses Forensystemen gab es ja extra für PHP 5.3 einige Updates.
Aber im Endeffekt bleibt PHP 5.3 für mich nur ein Lückenfüller wie z.B. Windows Vista und ich finde es nicht schlimm das es nicht die Verbreitung findet. Das wird PHP 6 alles wieder weg machen.

Quote from ice-breaker;23731

Warum sollte dies so sein? PHP 5.3 ist wie die Versionen davor vollkommen abwärtskompatibel.

Das stimmt so nicht. Eine menge Funktionen sind deprecated und einige andere haben andere Parameter. Ich hab schon vor einiger Zeit auf meinen Servern auf 5.3 upgedated und noch immer ist nicht die gesamte Software die ich nutze auf PHP 5.3 angepasst. Ich war z.B. wochenlang damit beschäftigt einige Komponenten für Joomla 1.5 anzupassen. Die deprecated Fehlermeldungen lassen sich zwar auslebenden, aber manche Scripte funktionieren trotzdem nicht richtig mit den alten Funktionen. Einige Programme aus dem Debian Repository haben auch nicht mehr richtig funktioniert, z.B. ldapadmin.

Das viele Funktionen geändert wurden war beabsichtigt, weil PHP 5.3 mehr eine Vorbereitung auf PHP 6 sein soll wo ja viele Altlasten abgeworfen werden sollen. So können die Programmierer schon anfangen ihre Scripte anzupassen.
Es gab glaub ich sogar einen Upgrade Guide auf php.net mit einer Übersicht über neue und geänderte Funktionen.

Der Safe Mode wird in PHP 6 definitiv abgeschafft. Nichts mit nicht deaktivierbar. Er ist nicht umsonst in PHP 5.3.0 DEPRECATED und keine Standardeinstellung mehr;)

Hier auch ein Statement dazu direkt von php.net:

Quote

The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren't very realistic, many people, especially ISP's, use safe mode for now.

Quote from Artimis;22724

Wenn ein Angrifer auf der Shell Befehle ausführen kann: Was hindert ihn an einem netten wget? Ich denke nicht, dass das UDP-Script über die Uploadfunktion eingeschleust wurde. Wozu die unnötige Arbeit?

Ganz so schlimm war die Sicherheitslücke auch nicht. Man konnte keinen Zugriff auf die Shell vom Server bekommen, es konnte nur soviel gemacht werden wie auch der normale Serveradmin in Teamspeak machen konnte. Es wurde sehr wohl die Uploadfunktion genutzt (aber höchstwahrscheinlich nicht über den Client sondern direkt auf den Port). Das starten des Scripts ist die größere Herausforderung gewesen.

Das ganze war ein Bug der vor Beta 25 vorhanden war. Dadurch konnte man Serveradmin Befehle ausführen ohne die entsprechenden Rechte. Das Ausschalten der Upload Funktion hat hier also wenig mit zu tun, man hätte sie einfach wieder aktivieren können (je nachdem wie sie deaktiviert worden ist).

Mit der Beta 25 wurde der Fehler behoben. Siehe hier http://www.teamspeak.com/?page=newsarchive&ident=20100617

Quote from killerbees19;22517

Ich glaube dann gibt es ziemlich schnell einen Absturz. Denn bei der 7170 ist durchschnittlich < 1 MB Ram frei. Die kommt schon an ihre Grenzen, wenn man wirklich alle eingebauten Funktionen der Original Firmware nutzt

MfG Christian

Jetzt übertreib mal nich;)

Das sind die RAM Werte von meinem W900 (ziemlich baugleich mit 7170). Hier läuft die ganze AVM Kacke mit (FTP, Mediaserver usw.) und ein paar Sachen die ich noch mit rein gelegt habe (Callmonitor, NFS-Server und was noch Standard bei Freetz ist).

[Blocked Image: http://img843.imageshack.us/img843/1748/raml.png]

Also abzüglich Cache sind 40% frei.

Quote from killerbees19;22511

Soweit ich weiß erst ab der 7270 o.ä. Modellen.
Die 7170 ist dafür einfach zu schwach :o

MfG Christian

Ich habs zwar wie gesagt noch nicht probiert, aber aktivieren kann man es in Freetz für jede FritzBox;)