Artikel mit Tag script

Was bedeutet: WARNING apt does not have a stable CLI interface. Use with caution in scripts?

Beim Ausführen von Skripten auf einer Linux Konsole, die apt install beinhalten, taucht folgende Meldung auf: 

WARNING : apt does not have a stable CLI interface. Use with caution in scripts.

Doch warum wird eine Warnung angezeigt? Die Lösung ist relativ simpel.

Vor Jahren hatte ich mal eine Übersicht von apt vs. apt-get veröffentlicht. Ich habe sie euch unten noch einmal eingebunden.
Im Artikel ist zu lesen, dass apt unter anderem einen grafischen Fortschrittsbalken ausgibt.

Genau das ist einer der Gründe, warum das Kommandozeilentool bei der Verwendung in Scripten ein WARNING meldet. Denn diese Fortschritts-Ausgabe kann von Scripten fehlerhaft interpretiert werden und ist im Prinzip nur für Endnutzer gemacht, aber nicht wirklich für Skripte. Darum sollte hier eher auf apt-get zurückgegriffen werden.

Gleiches gilt übrigens auch für apt show programm-name. Hier sollte besser apt-cache show programm-name verwendet werden.

apt vs. apt-get
apt Kommando apt-get Kommando Funktion
apt install apt-get install Pakete installieren
apt remove apt-get remove Pakete deinstallieren
apt list --upgradable -- Anstehende Updates anzeigen
apt list dpkg list Pakete auflisten
apt purge apt-get purge Pakete und Konfiguration entfernen
apt update apt-get update Repository aktualisieren
apt upgrade apt-get upgrade Anstehende Pakete aktualisieren
apt full-upgrade apt-get dist-upgrade Anstehende Pakete aktualisieren und deinstallieren
apt autoremove apt-get autoremove Nicht benötigte Pakete deinstallieren
apt search apt-cache search Pakete suchen
apt show apt-cache show Paketdetails anzeigen
apt edit-sources -- sources.list editieren

LVM Anleitung - Volume Group umbenennen (Ubuntu/Mint)

Nachdem ich vor ein paar Tagen auf LVM und einen Update Fehler eingegangen bin, möchte ich heute kurz zeigen, wie eine Volume Group umbenannt werden kann.

Unter Ubuntu/Mint ist das an sich nur ein Befehl, allerdings sollten noch weitere Dateien angepasst werden, da es sonst zu Problemen kommt.

fstab

LVM - Volume Group umbenennen

Informationen zur vorhandenen Volume Group anzeigen

sudo vgdisplay

 

Volume Group umbenennen

sudo vgrename Ubuntu16 ubuntu

  Volume group "Ubuntu16" successfully renamed to "ubuntu"

 

File system table editieren und Name anpassen

sudo  nano /etc/fstab

# <file system> <mount point>   <type>  <options>       <dump>  <pass>

/dev/mapper/ubuntu-root /               ext4    errors=remount-ro 0   1

/dev/mapper/ubuntu-tmp  /tmp            ext4    errors=remount-ro 0   1

/dev/mapper/ubuntu-var  /var            ext4    errors=remount-ro 0   1

 

Initramfs anpassen, ebenfalls hier den neuen Namen einfügen

sudo nano /etc/initramfs-tools/conf.d/resume

 

Danach muss noch der Grand Unified Bootloader GRUB angepasst werden

sudo nano /boot/grub/grub.cfg

 

Ab Ubuntu 18.04 gilt es einen weitereren Eintrag zu editieren

sudo nano /boot/grub/menu.lst

 

Nun muss noch das initial ram filesystem neu gebaut werden

sudo  update-initramfs -u -k all

 

Mögliche Fehlermeldung

update-initramfs: Generating /boot/initrd.img-5.4.0-52-generic

cryptsetup: ERROR: Couldn't resolve device

Solltet ihr cryptsetup nicht verwenden, dann könnt ihr diesen Fehler ignorieren oder auch gleich deinstallieren

sudo apt-get remove cryptsetup

Alles auf einmal

Hier nochmal alle Schritte zusammengestellt. Der Einfachheit halber, können Änderungen mit sed gemacht werden

#!/bin/bash

altevolumegroup="ubuntu16"
neuevolumegroup="ubuntu"

vgrename ${altevolumegroup} ${neuevolumegroup}
sed -i "s/${altevolumegroup}/${neuevolumegroup}/g" /etc/fstab
sed -i "s/${altevolumegroup}/${neuevolumegroup}/g" /boot/grub/grub.cfg
sed -i "s/${altevolumegroup}/${neuevolumegroup}/g" /boot/grub/menu.lst
sed -i "s/${altevolumegroup}/${neuevolumegroup}/g" /etc/initramfs-tools/conf.d/resume
update-initramfs -c -k all

Anstatt des Namens kann übrigens auch die UUID genommen werden. Allerdings solltet ihr das Script dann so nicht verwenden.

vgrename Zvlifi-Ep3t-e0Ng-U44h-o0ye-KHu1-nl7Ns4 ubuntu

 

OpenVAS 9 - Installation des Schwachstellen-Management via Source, PPA oder Script unter Ubuntu 16.04

Wer nicht gerade BackBox Linux einsetzt oder andere Distributionen mit integriertem OpenVAS, der muss eine Installation eventuell von Hand vornehmen.
Darum habe ich die alte Installationsanleitung aktualisiert (siehe unten) und auf die neue Version 9 angepasst. Zusätzlich sind weitere Installationsmöglichkeiten hinzugekommen.

Die augenscheinlichste Neuerung von OpenVAS 9 ist die neue Oberfläche, an der fast 2 Jahre entwickelt wurde. (Changelog)
Als Basissystem dient Ubuntu 16.04 LTS

openvas9

Installation OpenVAS 9 via Source

Abhängigkeiten installieren

sudo apt-get install -y build-essential devscripts dpatch curl libassuan-dev libglib2.0-dev libgpgme11-dev libpcre3-dev libpth-dev libwrap0-dev libgmp-dev libgmp3-dev libgpgme11-dev libpcre3-dev libpth-dev quilt cmake pkg-config libssh-dev libglib2.0-dev libpcap-dev libgpgme11-dev uuid-dev bison libksba-dev doxygen libsql-translator-perl xmltoman sqlite3 libsqlite3-dev wamerican redis-server libhiredis-dev libsnmp-dev libmicrohttpd-dev libxml2-dev libxslt1-dev xsltproc libssh2-1-dev libldap2-dev autoconf nmap libgnutls28-dev gnutls-bin libpopt-dev heimdal-dev heimdal-multidev libpopt-dev texlive-full rpm alien nsis rsync python2.7 python-setuptools checkinstall

 

OpenVAS 9 Pakete herunterladen und entpacken

wget http://wald.intevation.org/frs/download.php/2420/openvas-libraries-9.0.1.tar.gz
wget http://wald.intevation.org/frs/download.php/2423/openvas-scanner-5.1.1.tar.gz
wget http://wald.intevation.org/frs/download.php/2426/openvas-manager-7.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2429/greenbone-security-assistant-7.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2397/openvas-cli-1.4.5.tar.gz
wget http://wald.intevation.org/frs/download.php/2377/openvas-smb-1.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2401/ospd-1.2.0.tar.gz
wget http://wald.intevation.org/frs/download.php/2405/ospd-debsecan-1.2b1.tar.gz

 

sudo tar zxvf openvas-*
sudo tar zxvf greenbone*
sudo tar zxvf ospd*

Redis Server konfigurieren

cp /etc/redis/redis.conf /etc/redis/redis.orig
sudo sh -c 'echo "unixsocket /tmp/redis.sock" >> /etc/redis/redis.conf'


OpenVAS Libraries installieren

cd openvas-libraries-9.0.1
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install


OpenVAS Manager installieren

cd openvas-manager-7.0.2
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install


OpenVAS Scanner installieren

cd openvas-scanner-5.1.1
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

OpenVAS CLI und SMB installieren

cd openvas-cli-1.4.5
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install
cd openvas-smb-1.0.2
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

Greenbone Security Assistant (GSA) Oberfläche installieren

cd greenbone-security-assistant-7.0.2
sudo mkdir source
cd source
sudo cmake ..
sudo make
sudo make install

Solltet ihr den default Port 4000 der GSA Oberfläche anpassen wollen, ist dies unter (/etc/default/openvas-gsa) möglich.

Ob ihr die Zusatzpakete via Open Scanner Protocol installiert, bleibt euch überlassen. Nun folgen die Schritte der Erstkonfiguration.

Greenbone-Security-Assistant

 

Zertifikate einrichten

Anstatt openvas-mkcert kommt bei OpenVAS 9 ein neuer Befehl zum Einsatz. Mit dem Schalter -a werden alle benötigten Zertifikate installiert.

sudo openvas-manage-certs -a


OpenVAS Benutzer anlegen

openvasmd --create-user=admin --role=Admin
openvasmd --user=admin --new-password=NewPW


Update der NVT und Cert Datenbank

Die alten Befehle haben sich hier ebenfalls geändert.

greenbone-nvt-sync
greenbone-scapdata-sync
greenbone-certdata-sync

Troubleshooting

OpenVAS neu aufbauen

openvasmd --rebuild --progress

OpenVAS Installation prüfen

wget https://svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup --no-check-certificate
sudo chmod +x openvas-check-setup
sudo ./openvas-check-setup --v9

System starten

sudo /usr/local/sbin/gsad start
sudo /usr/local/sbin/openvassd
sudo /usr/local/sbin/openvasmd



OpenVAS 9 via Script installieren

Auf Github befindet sich ein Script, welches viele der oben erwähnten Aufgaben für OpenVAS 8 und 9 automatisiert.

sudo wget https://raw.githubusercontent.com/leonov-av/openvas-commander/master/openvas_commander.sh
sudo chmod +x openvas_commander.sh

Folgende Befehle bescheren euch eine vollständige Installation ohne viel Handarbeit

./openvas_commander.sh  --install-dependencies

./openvas_commander.sh  --show-releases
OpenVAS-8
OpenVAS-9

./openvas_commander.sh --download-sources "OpenVAS-9" 
./openvas_commander.sh --create-folders
./openvas_commander.sh --install-all
./openvas_commander.sh --configure-all
./openvas_commander.sh --update-content
./openvas_commander.sh --rebuild-content
./openvas_commander.sh --start-all


OpenVAS 9 via PPA installieren

Falls doch lieber ein Repository zur Installation verwendet werden soll, bietet sich das PPA von mrazavi an.

sudo add-apt-repository ppa:mrazavi/openvas
sudo apt-get update
sudo apt-get install openvas9

openvas9-scan

Mit einer erfolgreichen Installation des Open Vulnerability Assessment Systems sollte einem ersten Schwachstellen-Management eigentlich Nichts mehr im Weg stehen.



Folgende Links könnten dich auch interessieren

Update Security Distributionen – Kali Linux mit OpenVAS 9 und Parrot Security 3.6

Ubuntu - OpenVAS 8.0 installieren, konfigurieren und ein Netzwerk scannen

ssh_scan – Sicherheits- und Konfigurationsscanner für SSH Einstellungen

Lynis 2.2.0 - Neue Version zur Linux Systemhärtung verfügbar

Das Auditing Tool Lynis hat ein Major Update erhalten und ist bei Version 2.2.0 angelangt.

Ich hatte diesen Sicherheitscheck für Linux Systeme bereits im Blog vorgestellt.

Lynis prüft auf unsichere Einstellungen, Konfigurationsfehler und gibt Tipps zur Absicherung des Systems.

Alle Schritte können im Prinzip auch händisch vorgenommen werden. Für einen schnellen und automatisierten Audit, bietet sich das Tool aber durchaus an.

lynis

Die Version 2.2.0 unterstützt nun Debian 8 Installationen und erkennt VMware Umgebungen. Die Überprüfung von FreeBSD wurde verbessert, sowie weitere Prüfbereiche (z.B. NTP oder USB) ergänzt. Hier geht es zum Changelog.

Lynis - Installation und Anwendung

Die Installation ist wie so oft recht einfach.

wget https://cisofy.com/files/lynis-2.2.0.tar.gz

sha256sum lynis-2.0.0.tar.gz

Hash Summe auf der Homepage gegenprüfen und dann entpacken

tar -xvf lynis-2.2.0.tar.gz

cd lynis

./lynis

Beim Ausführen ohne Parameter werden alle Zusatz- Kommandos angezeigt über die das Programm verfügt. Die üblichen zur Überprüfung des Systems wären beispielsweise:

./lynis --check-all

./lynis --check-all --quick (kein Enter notwendig)

./lynis audit dockerfile datei (Docker Container prüfen)

./lynis update release      (Update Lynis Version)

./lynis --cronjob

 

Fazit

Die Alternativen im Bereich des automatisierten Sicherheitsaudit auf Linux Systemen stellen meines Wissen Bastille oder Tiger dar. Beide sind leider etwas veraltetet und stellen somit wenig Konkurrenz dar. Vergleichbares ist eventuell noch beim Linux Security Auditing Tool (LSAT) zu finden. Dieses Tool habe ich allerdings noch nicht getestet. Schlußendlich bleibt, neben der Handarbeit, für einen freien Systemschnellcheck wenig anderes außer Lynis übrig.

Eigene Distribution - freie Tools um Live CDs oder Backups von Linux Installationen zu erstellen

Vor einiger Zeit hatte ich im Blog auf Remastersys hingewiesen. Mit dem Tool war es möglich Live CDs seiner Ubuntu Installation zu erstellen.
Leider wird das Projekt vom Entwickler nicht weiter verfolgt. Auf älteren Systemen ist es zwar weiterhin anwendbar, dennoch ist bei neueren Ubuntu Systemen eine Alternative notwendig.

Hier ein paar Möglichkeiten, eine Sicherung eures Linux Systems zu erstellen. Auch bootbare ISO Dateien, also Live CDs sind möglich.

Freie Tools für Live CDs oder Backups von Linux Installationen

Systemback

Bei Systemback handelt es sich um ein klassisches Backup Tool, welches unter anderem Wiederherstellungspunkte erstellen kann. Ebenso eignet es sich gut für das Erstellen einer persönlichen Live CD. Hier wird einfach ein Abbild des vorhandenen Systems auf die Festplatte geschrieben. 

systemback

Das Programm integriert auf Wunsch das Home Verzeichnis und erstellt ein ISO Datei, welche auf CD gebrannt oder auf einen USB Stick kopiert werden kann.
Bei der Verwendung von Ubuntu Desktop ist mit dem Startup Disk Creator das richtige Tool schon mit an Bord.

Installation Systemback auf Ubuntu Systemen

 sudo add-apt-repository ppa:nemh/systemback
 sudo apt-get update
 sudo apt-get install systemback

ubuntu-live-cd

Distroshare Ubuntu Imager

Ein andere Variante bietet DistroShare. Es handelt sich dabei um ein Skript, welches auf der offiziellen Ubuntu Seite zu finden ist. Schon Remastersys setzte auf ähnliche Weise darauf.

Im Prinzip muss nur das Script heruntergeladen und ausgeführt werden.

Hier geht es zur Projektseite.

Installation Distro Ubuntu Imager

Bevor das Script ausgeführt wird, können über eine Config Datei "distroshare-ubuntu-imager.config" weitere Anpassungen vorgenommen werden.

sudo ./distroshare-ubuntu-imager.sh

Danach sollte das Image auf einen USB Stick geschoben werden, dass geht am einfachsten mit dem dd Befehl
In diesem Beispiel ist sdb euer Stick.

dd if=isoimage.iso of=/dev/sdb bs=1M

Die Entwickler weisen darauf hin, dass der Ubuntu Startup Disk Creator nicht funktioniert. Sie empfehlen Unetbootin oder ähnliches.

Distroshare - Eigenkreationen für die Masse

Wer seine selbst erzeugten Distributionen teilen möchte, der kann dies unter distroshare.com tun.

distroshare

Altes Eisen

Es gibt noch weitere Image Tools für Linux Systeme. Diese sind teilweise kommerziell oder wurden seitens der Entwickler auf Eis gelegt. Somit besteht nicht immer eine Garantie, dass diese Programme auf aktuellen Systemen funktionieren. Vorenthalten möchte ich sie euch dennoch nicht.

SystemImager

Ein inzwischen kommerzielles Programm ist der System Imager. Das Tool erstellt wie seine Kollegen ein komplettes Abbild des Systems. 
Es handelt sich dabei um einen kommerziellen Fork von Remastersys.

ReLinux

ReLinux ist bei Version 0.4 stehen geblieben,  Laut Entwickler sollte es in Python umgeschrieben werden. Die Debian Pakete für die letzte Version sind immerhin noch zu haben. Eine Python Version konnte ich nicht ausfindig machen.

relinux

Ubuntu Builder

Der Ubuntu Builder bietet eine weitere Möglichkeit individuelle Ubuntu Live CDs zu erstellen. 
Leider ist das PPA auch hier nicht mehr auf dem aktuellsten Stand und bietet offiziell nur eine Unterstützung für Ubuntu 12.04/12.10. Probiert selbst aus, ob der Builder noch auf Ubuntu 14.04/15.04 lauffähig ist. Laut meinen Recherchen wurde dieses Projekt ebenfalls eingestellt.

sudo add-apt-repository ppa:f-muriana/ubuntu-builder
sudo apt-get update
sudo apt-get install ubuntu-builder

Fazit

Wie unschwer zu erkennen ist, sind nur zwei Image Tools für eine eigene Live CD relevant. Systemback und Distro Ubuntu Imager.

Ersteres hat Dank seiner Oberfläche für Desktop Nutzer sicherlich den größeren Vorteil. Systemback wurde auf einem Ubuntu 15.04 Desktop System in Verbindung mit dem Image Creator und einem USB Stick getestet und hat ohne Probleme funktioniert. es bekommt smoit eine klare Empfehlung.

Das erwähnte Image Script bietet sich für Serverinstallationen an. Testen konnte ich dies allerdings noch nicht,. Ich denke jedoch, dass die Erstellung einer Systemkopie ebenso einfach von der Hand geht, wie mit einer GUI Variante.