Zugschlusbeobachtungen - Admintipp des Tages

Daten mit Privilege Escalation abholen über eine named pipe

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Mon, 11 Feb 2013 09:58:00 +0100

Aufgabe: Transportiere Daten von einem Host auf den anderen über eine ssh-Verbindung. Dafür kann man scp oder sftp verwenden, wenn der eigene Account auf der anderen Seite die Daten lesen darf:

myuser@$TRGHOST$ scp $SRCHOST:$PATH/file .

Interessanter wird das dann, wenn die Daten auf der anderen Seite vom eigenen Account nicht gelesen werden können, man also erst einmal sudo bemühen muss, um die Daten lesen zu können. An dieser Stelle versagt scp bereits - es sei denn, man kann sich auf der anderen Seite als anderer User einloggen:

myuser@$TRGHOST$ scp $ANDERER_USER@$SRCHOST:$PATH/file .

Nur, das scheitert oft daran, dass man das Passwort von $ANDERER_USER nicht kennt, nicht neu setzen kann und/oder seinen ssh-Key nicht in $ANDERER_USER/.ssh/authorized_keys fallen lassen kann oder darf.

Die kanonische Umgehung hierfür war immer

myuser@$TRGHOST$ ssh $SRCHOST sudo -u $ANDERER_USER cat  $PATH/file > file

gerne auch für ganze Unterverzeichnisse mit tar:

myuser@$TRGHOST$ ssh $SRCHOST sudo -u $ANDERER_USER tar --create --$ZIP --file -  --directory $PATH . | tar --extract
--$ZIP --file -

Die Auswahl von $ZIP hängt von der Dicke der Verbindung zwischen den beiden Systemen und ihrer Ausstattung mit CPU ab.

Dieser Trick funktioniert neuerdings allerdings nicht mehr. sudo beklagt sich darüber, dass es kein pty vorfindet, und ssh -t zu benutzen scheitert oftmals daran, dass ein pty die Daten nicht hundertprozentig clean überträgt. Außerdem ist das Caching von sudo-Credentials seit etlichen Monaten an das eine pty gebunden, so dass die Passwortabfrage auf jeden Fall in der Pipe erfolgen muss. Früher hat es gereicht, dann sudo -v in einer anderen Shell auf $HOST auszuführen, aber dass das inzwischen nicht mehr geht, ist eigentlich ganz gut so.

Abhilfe kommt hier in Form der ersten sinnvollen Anwendung einer Named Pipe meiner Unix-Laufbahn, indem man auf der einen Seite das schreibende tar (mit sudo!) aufruft, dass es in die Named Pipe schreibt und man dann die Daten ohne besondere Privilegien von einer anderen Maschine abholt:

myuser@$SRCHOST$ mkfifo foo; chmod 666 foo
myuser@$SRCHOST$ sudo -u $ANDERER_USER tar --create --$ZIP --file foo --directory $PATH .
myuser@$TRGHOST$ ssh $SRCHOST cat foo | tar --extract --$ZIP --file -

Wenn die Daten irgendwelche Wichtigkeit haben, möchte man natürlich über geeignete Rechte auf der pipe dafür sorgen, dass nicht irgendjemand anders vor einem selbst auf die pipe connected und die Daten abholt; für den Hausgebrauch tut es chmod 666.

partition table gone, data still present

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Wed, 08 Apr 2009 22:58:32 +0200

I just wanted to make an USB stick bootable and wondered why mkdiskimage -4 /dev/sda 0 32 64 complained about the disk having too many cylinders. After a few moments, it ocurred to me that since libata, the system hard disk has become sda and that the stick was sdb or sdc. One ctrl-C later, fdisk confirmed both counts: That I accidentally started mkdiskimaging my main system hard disk and that the partition table was already gone.

A few hours later, the notebook is back in business without too much data loss. Lucky me.

My notebook has an “alibi” installation of Windows XP in its first primary partition sized 4 GB. Since I aborted the mkdiskimage process early enough, I hoped that only the windows installation was hosed. The Linux system is entirely in LVM (with crypted LVs), and LVM hadn’t noticed yet that its PV was gone. I reckoned that I still had a chance to rescue my data if I didn’t reboot.

So I hastily commandeered an USB hard disk (thanks, $CUSTOMER, for quickly supplying one), fdisked, pvcreated and vgextended it and started the pvmove. While this was happening, I theoretically was able to continue working, which I didn’t because I was afraid of losing. About half an hour into the copy process, the USB disk chose to deregister itself and the pvmove aborted. Rebooting the disk made it reappear as sde (it was sdd before), and miraculously, a new pvmove call just worked. However, a good fraction of actions on the shell resulted in a lot of input/output errors on the screen. I guessed that this was the first sign of my data finally dying, but I let the pvmove continue.

After the pvmove was finished (which was rather fast since the move of the “crypted LV” means that the crypted data is moved and not de- and recrypted), I had to recreate a /dev/sda2 partition with type 8e before the LVM tools allowed me to vgreduce the VG.

I then zeroed out the first 10 GB of the internal disk and spent a few hours reinstalling and patching XP from scratch before I finally went through the pvcreate, vgextend, pvmove routine in the other direction. Then the big moment arrived: fsck of all LVs.

I guess that the reason for the input/output errors was that /usr was completely hosed (no single file outside lost+found), but /home and all other file systems holding data where the way back to the (a week old) backup would have been quite painful were ok. I pulled /, /usr and /var from the backup to be consistent again, updated to current sid (avoiding KDE 4 for the time being) and could start working again.

The only real loss was a few hours of work that were stored in /usr/local which died along with /usr, so the result of my stupidity was not very catastrophic but still a good lesson. And I have learned that LVM is a robust and resilient beast. Good work. Now I’d like to know what happened to my /usr - I always had the impression that pvmove should not break data even when the target disk suddenly goes away...

internet.t-mobile ist nicht internet.t-mobile.de

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Mon, 13 Oct 2008 12:24:12 +0200

Beim magentafarbenen UMTS/GPRS-Internet lautet der korrekte String für den APN “internet.t-mobile” und nicht “internet.t-mobile.de”.

Trägt man den falschen APN ein, landet man in einem Netz, aus dem man surfen kann, aber sonst nichts: Außer TCP/80 und TCP/443 habe ich nichts gesehen was funktioniert hätte. Ich war schon ziemlich stinkig, wie Vendor T es wagen kann, sowas kastriertes als Internetzugang zu verkaufen, aber nach Korrektur des APN tat es dann auch mit OpenVPN, ssh und nntp.

Wenn ein Alarmzeichen nicht reicht...

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Tue, 25 Mar 2008 19:54:11 +0100

Kernel 2.6.24.4 wurde gebaut und die fertigen Packages auf die Distributionen verteilt. torres, die als “testetch”-System neue Kernels als erstes stable-System bekommt, will sich die Package nicht automatisch ziehen.

Als ob das nicht schon genug Alarmsignal ist, sich das mal genauer anzugucken, prügle ich die Kernel-Package manuell rein und wunder mich, warum ein Haufen anderer Packages mitkommt und das System danach beginnt, eine initrd zu bauen.

Als ob das nicht schon genug Alarmsignal ist, boote ich die Kiste durch und wundere mich, warum sie nicht ins Netz kommt. Glücklicherweise ist torres nicht ohne Grund Testsystem der ersten Schicht: Sie hat eine serielle Konsole. Dort zeigt’s mir, dass die Kiste sehr wohl läuft, aber kein Netz hat.

Da torres einen E100 hat, kann ich mir das nicht so wirklich vorstellen. Aber nein, da ist wirklich kein Interface in der Ausgabe von “ip addr”. Aber in der Ausgabe von lspci ist es sehr wohl sichtbar.

Dann gucke ich mir zum ersten Mal /boot etwas genauer an.

Und sehe, dass ich einen Kernel, der eigentlich für mein notebook gedacht war, auf torres installiert habe. **tischkante beiss**

Als ob eins der oben genannten Alarmzeichen nicht gereicht hätte. An manchen Tagen sollte man mich echt nicht an Computer lassen.

Flash, Vmware und Sound

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 02 Nov 2006 15:06:06 +0100

Manchmal führt kein Weg an einem Flash vorbei. So zum Beispiel der Projektmanagement-Kurs, an dem ich derzeit teilnehmen darf. Nur, leider, bleibt die E-Learning-Vorbereitung unter Linux stumm.

Beim Versuch, die Flashpräsentation unter Windows in meiner VMware zum Laufen zu bringen, ist mir aufgefallen, dass VMware und das Flash-Plugin für den Firefox unter Linux beide dasselbe Problem haben: Sie verwenden OSS, während auf meinem Notebook schon seit längerer Zeit ALSA zum Einsatz kommt.

Abhilfe für Flash: aoss firefox schiebt zwischen das Flashplugin und den Soundtreiber einen Indirektionslayer, der das Flashplugin unter Linux plötzlich Geräusche machen lässt. Sehr fein.

Leider funktioniert das für VMware nicht: aoss basiert auf LD_PRELOAD, und LD_PRELOAD wird für suid-root-Binaries, wie der VMware Player eins ist, wohl ignoriert. Die Dokumente, die ich im Web finde, erwähnen die Problematik entweder gar nicht (das sind wohl die Leute, die ständig als root arbeiten) oder empfehlen, die libaoss.so auch suid root zu setzen. Das treibt mir allerdings den Angstschweiß auf die Stirn. Geht das noch anders? Oder finde ich mich damit ab, dass mein Windows bis auf weiteres stumm bleibt?

2006-10-14 - Admintipp des Tages

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Sat, 14 Oct 2006 16:55:56 +0200

Wenn man

$ sudo rsync --archive --hard-links --exclude /dev --exclude /proc --exclude /sys --rsh=ssh /
root@hostname.example:/mnt/hda1

tippt, gibt man - da man ja gerade vorher schonmal sudo gemacht hat - nur das ssh-Passwort der Gegenseite ein.

Da die Gegenseite komplett leer ist, dauert das dann eine Weile. Und weil man nach dem Ablauf des rsync sicherheitshalber den Befehl gleich nochmal absetzt, gibt man das Passwort er Gegenseite nochmal ein.

Um sich dann zu wundern, warum es nicht funktioniert.

Bis es einem dämmert, dass der Password:-Prompt gar nicht vom sshd kommt.

Sondern vom sudo.

Und man das Benutzerpasswort des lokalen Rechners braucht.

Ach ja: Bei mir ist normalerweise sowohl der direkte root-Login als auch der ssh-Login mit Passwort gesperrt. Die entfernte Seite stand allerdings im Rescuesystem.

2006-10-12 - Admintipp des Tages

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 12 Oct 2006 13:43:04 +0200

Der VLAN-Beauftragte rät: Ja, hp ProCurve Switches 2650 haben für die Dual-Personality-Ports zwei Registersätze. Und nein, es ist deswegen nicht zielführend, zuerst den Port zu konfigurieren, dann den GBIC reinzustecken und das Ding so dann zum Kunden zu shippen. Weil, mit einem Port, der untagged im Default-VLAN ist, kann der Kunde nicht so viel anfangen.

rsync-backup und uid/gid-Nummern

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 18 May 2006 11:39:04 +0200

Wenn man mit rsync ein Backup auf ein anderes System macht, das zwar ähnliche Accountnamen, aber keine identische Zuordnung zwischen Accountnamen und uid/gid hat, möchte man bei beiden rsync-Aufrufen (backup und restore) die Option --numeric-ids verwenden.

Das erspart einem böse Überraschungen beim Reboot nach dem Restore.

Mit putty von Windows auf unixoides

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Tue, 28 Feb 2006 19:38:04 +0100

Steve Friedl hat mal wieder einen exzellenten Artikel geschrieben, diesmal darüber, wie man von einem Windows-Rechner per ssh auf einen unixoiden Server zugreifen kann. Das ganze ist auf Windows-Level geschrieben, mit vielen Screenshots etc.

Ein anderer Artikel von ihm zum Thema “SSH Agent Forwarding” findet sich ebenfalls.

Selbst ausprobiert hab ich die Anleitung nicht, da ich selbst einen openssh-Client im rxvt von cygwin verwende, wenn ich mit Geld dazu gezwungen werde, mit einem Windows-Arbeitsplatz zu arbeiten.

Von Tastaturen und Netzstörungen

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Tue, 13 Dec 2005 21:41:58 +0100

Es ist generell ratsam, wenn man schon am packen ist, und den USB-Hub schon aus dem Notebook gezogen hat, das noch fällige Ende-Kommando an ein im Netz stehendes System nicht auf der soeben abgetrennten USB-Tastatur eintippen zu wollen.

Außerdem ist es empfehlenswert, bei Nichtreaktion der ssh-Session nicht gleich Zeter und Mordio auf den Billighoster zu schreien, sondern erstmal zu gucken, ob das Problem nicht viel lokaler liegt.

Dinge, die sudo gar nicht mag, Teil 3

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Sun, 11 Dec 2005 13:46:07 +0100

“Plötzlich einen anderen Hostnamen vorfinden, am besten noch einen, den es nicht auflösen kann”. Dann sollte man besser eine rootshell offen haben oder das korrekte Root-Passwort parat haben, sonst war’s das mit der Uptime.

Teil 1 und Teil 2 sind übrigens “/var umounten”, respektive “/usr umounten”.

umount /home

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Fri, 12 Aug 2005 07:45:16 +0200

Wenn Du /home umounten willst, achte darauf, dass Du beim “sudo -s” nicht in Deinem User-$HOME bist. Sonst hält die User-Shell das Dateisystem fest.

Ausserdem denke daran, dass Du bei einem glatten “sudo -s” deinen user-$PATH behältst, also auch der umount-Wrapper aktiv bleibt, den Du Dir gestrickt hast, um /media/usb oder /media/scy oder /media/pcmcia auch ohne Root-Rechte mounten zu können. Wenn dieser Wrapper dann auch noch in $HOME liegt, wirst Du /home nicht umounten können, und fuser und lsof werden Dir ständig sagen, das Filesystem sei busy.

Und Du wirst Dir einen Wolf suchen, weil zu dem Zeitpunkt, zu dem Du suchst, natürlich der umount-Wrapper nicht mehr offen ist und Du Dir deswegen nicht wirst erklären können, warum /home busy ist.

Warum man auf jedem Host unterschiedliche Passworte haben sollte

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Thu, 14 Jul 2005 15:17:50 +0200

“Ich boote die Kiste grad nochmal schnell”


[7/505]mh@scyw00225:~$ ssh q
Linux q 2.6.12.2-zgsrv #1 SMP Mon Jul 4 06:59:29 UTC 2005 i686 GNU/Linux
Last login: Thu Jul 14 15:14:14 2005 from 193.151.248.5
System bootup in progress - please wait
Connection to q.bofh.de closed.
[8/506]mh@scyw00225:~$ sudo shutdown -r now
Password:
Sorry, try again.
Password:
Sorry, try again.
Password:
sudo: 2 incorrect password attempts
[9/507]mh@scyw00225:~$

Zum Glück hatte ich auf scyw00225 in den letzten fünf Minuten kein sudo benutzt...

Update am Montagmorgen

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Mon, 11 Jul 2005 08:28:10 +0200

Ein Debian- und Kernel-Update, das gründlich schiefging

Um 0530 klingelt der Wecker, um ein remote Update einer Kundenfirewall vorzunehmen. Ich hab die Prozedur in den letzten Wochen oft genug gemacht, um mir das Update remote zuzutrauen. Einloggen, script hochscp’en, starten, warten. So weit so gut.

Dann das 2.6 Kernel-Image installiert, lvm2 und module-init-tools nicht vergessen, grub geprüft, geschaut ob 8021q, tg3 und e1000 auch wirklich installiert und qua /etc/modules auch wirklich geladen werden, und schliesslich shutdown -r now. Warten. Warten. Warten. Mist! Kiste kommt nicht wieder hoch. Serielle Konsole gibt es zwar, ist aber nur aus dem LAN erreichbar, das von aussen nur sichtbar ist, wenn die Firewall tut.

Also, ab zum Kunden, am Sicherheitsdienst vorbei, knapp 50 Minuten nach dem Shutdown-Kommando bin ich endlich an der Konsole. Weitere fünf Minuten später habe ich den undokumentierten KVM-Switch so eingestellt, dass ich auch wirklich das sehe, was der Linux-Rechner auf seinen Bildschirm malt. Ergebnis 1: das iproute2 aus sarge will die fwmark-Werte nicht mehr wie das aus woody in Hex, sondern Dezimal. Mist! Schnell geändert. Internetzugang da. Reboot. tcpdump auf dem Interface, das zum Officenetz zeigt. Traffic, aber wenig. Gut, das mag um diese frühe Zeit möglich sein. Kurz an die Managementstation getappt. Hm. Wo ist das Internet? Egal, wo es ist: Hier ist es nicht. Nochmal zurück zur Firewall, nochmal tcpdump. Hm.

Jede Menge ARP-Requests auf dem zum Office-Netz zeigenden dot1q-Interface, aber keine Antwort von der lokalen Kiste. Da wird doch wohl nicht etwa dot1q kaputt sein? Nein, das kann nicht sein, auf dem zum Internet zeigenden Interface fahren wir auch dot1q und das geht. Wo ist der Unterschied? Richtig: Das Internet hängt an der im PCI-Slot des DL140 steckenden Ethernet-Karte (e1000), das Office-Netz am On-Board Tigon3. Seltsam. Also nochmal 2.4 booten. Office-VLAN funktioniert. Bittewas?

Im Montagmorgenkoma mutmaße ich: tg3 mit dot1q unter 2.6 broken. Oder was kann das noch anderes sein?

Time Woes

mh+blog-zugschlus-de@zugschlus.de (Marc 'Zugschlus' Haber) — Tue, 24 May 2005 11:46:51 +0200

Willst Du, dass dein Router die richtige Zeit in sein Log schreibt, dann ...

... musst Du ihm einen NTP-Server geben. Das bedeutet, dass Du eine IP-Adresse eintragen sollst, die nicht auf dem Router selbst, sondern woanders gebunden ist. Duh.