Programmieren weil es Spaß macht

Kein ssh-login auf MyBookLive mehr [gelöst]

03.05.2014 - Lesezeit: 6 Minuten

In meinem Backup-Script sichere ich seit langer Zeit meine Daten auf mybooklive.fritz.box (das ist mein NAS). Von einem Tag auf den anderen funktioniert das Script nicht mehr.

Kurzfassung der Lösung

in der Datei /etc/ssh/sshd_config auf MyBookLive fehlten die AllowUsers
```
AllowUsers root wnf bine
```
Das Home-Verzeichnis des Users wnf gehörte nicht mehr wnf sondern nobody
```
# chown wnf:share /shares/wnf
```

Woran kann das liegen?

Der Ping funktioniert

$ ping mybooklive.fritz.box
PING mybooklive.fritz.box (192.168.1.6) 56(84) bytes of data.
64 bytes from mybooklive (192.168.1.6): icmp_req=1 ttl=64 time=0.197 ms
$ ping mybooklive.local
PING mybooklive.local (192.168.1.6) 56(84) bytes of data.
64 bytes from mybooklive (192.168.1.6): icmp_req=1 ttl=64 time=0.161 ms
$ ping mybooklive
PING mybooklive (192.168.1.6) 56(84) bytes of data.

Jetzt versuche ich mich per ssh auf MyBookLive anzumelden.

$ ssh root@mybooklive.fritz.box
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
37:75:0e:15:12:78:30:55:11:fb:9b:aa:21:b4:df:05.
Please contact your system administrator.
Add correct host key in /home/wnf/.ssh/known_hosts to get rid of this message.
Offending RSA key in /home/wnf/.ssh/known_hosts:7
  remove with: ssh-keygen -f "/home/wnf/.ssh/known_hosts" -R mybooklive.fritz.box
RSA host key for mybooklive.fritz.box has changed and you have requested strict checking.
Host key verification failed.

Ja, wenn der ssh-Zugriff auf MyBookLive nicht mehr funktioniert, dann kann die Datensicherung natürlich auch nicht mehr funktionieren.

Also wie angegeben den alten Schlüssel entfernen:

$ ssh-keygen -f "/home/wnf/.ssh/known_hosts" -R mybooklive.fritz.box
/home/wnf/.ssh/known_hosts updated.
Original contents retained as /home/wnf/.ssh/known_hosts.old

Und dann beim Anmelden per ssh wieder herstellen:

wnf@c2012:~$ ssh root@mybooklive.fritz.box
The authenticity of host 'mybooklive.fritz.box (192.168.1.6)' can't be established.
RSA key fingerprint is 37:75:0e:15:12:78:30:55:11:fb:9b:aa:21:b4:df:05.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'mybooklive.fritz.box' (RSA) to the list of known hosts.
Warning: the RSA host key for 'mybooklive.fritz.box' differs from the key for the IP address '192.168.1.6'
Offending key for IP in /home/wnf/.ssh/known_hosts:4
Are you sure you want to continue connecting (yes/no)? yes
root@mybooklive.fritz.box's password:

Als normaler User kann ich mich immer noch nicht anmelden. Bei der Kontrolle der Datei /etc/ssh/sshd_config auf MyBookLive fiel mir auf, dass in der Zeile

AllowUsers root

die anderen Benutzer fehlten

AllowUsers root wnf bine

außerdem

#AuthorizedKeysFile     %h/.ssh/authorized_keys

ändern in

AuthorizedKeysFile     %h/.ssh/authorized_keys

Also die Datei bearbeiten und vom sshd neu einlesen lassen:

# nano /etc/ssh/sshd_config 
MyBookLive:/# /etc/init.d/ssh reload

Und es funktioniert immer noch kein Einloggen ohne Passwort.

Deshalb als root auf mybooklive einloggen und die Meldungen aus /var/log/sshd.log anzeigen:

# egrep -i 'ssh.*wnf' /var/log/sshd.log
May  3 15:02:59 MyBookLive sshd[7320]: Authentication refused: bad ownership or modes for directory /shares/wnf
May  3 15:02:59 MyBookLive sshd[7320]: Authentication refused: bad ownership or modes for directory /shares/wnf

Kontrolle wer das Homeverzeichnis besitzt:

# ls -l /shares/   
drwxr-xr-x 17 nobody share 65536 Aug 26  2013 wnf

# chown wnf:share /shares/wnf
# ls -l /shares/
drwxr-xr-x 17 wnf    share 65536 Aug 26  2013 wnf

Und siehe da es funktioniert der passwort-lose zugriff auf mein NAS MyBookLive wieder.

Neuer Rechner neues Glück.

Das anmelden per ssh funktioniert nur per Passwort-Authentifizierung.

$ ssh-copy-id -i ~/.ssh/id_rsa.pub bine@mybooklive
Warning: the RSA host key for 'mybooklive' differs from the key for the IP address '192.168.1.6'                              
Offending key for IP in /home/bine/.ssh/known_hosts:3
Matching host key in /home/bine/.ssh/known_hosts:5
Are you sure you want to continue connecting (yes/no)? yes
bine@mybooklive's password: 
sh: line 2: .ssh/authorized_keys: Keine Berechtigung

rm .ssh/authorized_keys

wieder ausloggen und den Schlüssel erneut übertragen:

$ ssh-copy-id -i ~/.ssh/id_rsa.pub bine@mybooklive
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
bine@mybooklive's password: 

Number of key(s) added: 1

Now try logging into the machine, with:   "ssh 'bine@mybooklive'"
and check to make sure that only the key(s) you wanted were added.

$ ssh mybooklive

Tags: Linux-Scripte MyBookLive ssh

Phyton und die KDE-Brieftasche (kwallet)

29.04.2014 - Lesezeit: ~1 Minute

Literatur:

https://pypi.python.org/pypi/keyring#what-is-python-keyring-lib

Um von Python aus Passwörter aus der KDE-Brieftasche zu lesen genügen diese paar Zeilen:

import keyring
# Setzen des Passwortes
keyring.set_password("ftp.wlsoft.de","wlsoft.de", "123")
# Lesen des Passwortes
password = keyring.get_password("ftp.wlsoft.de","wlsoft.de")

Oder hier am Beispiel eines Scripts zum Hochladen einer Datei per FTP auf diesen Server.

import keyring

KEYRING_SERVICE = "ftp.wlsoft.de"
KEYRING_USERNAME = "wlsoft.de"

def main():
    if len(sys.argv) < 2:
        sys.exit('Usage: %s filename' % sys.argv[0])
    filename = sys.argv[1]
    if not os.path.exists(filename):
        sys.exit('ERROR: File %s was not found!' % filename)
    ftp_host = KEYRING_SERVICE
    ftp_user = KEYRING_USERNAME
    #Das Passwort aus Standard-Keyring lesen (unter KDE ist das kwallet)
    ftp_pass = keyring.get_password(KEYRING_SERVICE,KEYRING_USERNAME)
    if (ftp_pass==''):
        sys.exit('Set Keyring Password for SERVICE %s USERNAME %s' % (KEYRING_SERVICE,KEYRING_USERNAME))
    ftp = FTP(ftp_host, ftp_user, ftp_pass)
    ftp.cwd("/downloads/htdocs/")
    s,n = os.path.split(filename)
    s = 'STOR %s' % (n)
    #print s
    ftp.storbinary(s, open(filename, 'rb'))
    return 0

if __name__ == '__main__':
    main()

Tags: Python KDE4 FTP

HBCI-Banking und KAAN TriBank unter Kubuntu 14.04 LTS

24.04.2014 - Lesezeit: ~1 Minute

Kontrollieren, ob der Leser angeschlossen ist

$ lsusb
Bus 002 Device 003: ID 0d46:3010 Kobil Systems GmbH

Installation dieser Pakete

sudo apt-get install libccid
sudo apt-get install pcscd

Danach kann von Moneyplex und Hibiscus auf den Kartenleser zugegriffen werden.

Tags: HBCI-Banking Kobil KAAN TriBank

Upgrade von Kubuntu 12.04 auf 14.04

22.04.2014 - Lesezeit: 3 Minuten

Da ich mein Home-Verzeichnis vor zwei Jahren auf einer gesonderten Partition installiert hatte, habe ich mich für eine Neuinstallation entschieden.

Folgende Pakete musste ich nach installieren:

wine
calibre
plasma-scriptengine-python
plasmate (für plasmoidviewer)
apache2
mysql-server
phpmyadmin
autokey
sshfs (zum Mounten des Beaglebone)
system-config-samba (zur Freigabe von Verzeichnissen für Samba)
brother-lpr-drivers-laser1 (LPR-Treiber für laser1-Drucker von Brother) sonst druckt Cups mit falschen Rändern
Zum Bau von Debian-Paketen
- devscripts
- cdbs
Firebird SQL Server (siehe auch auf www.firebirdsql.org)
```
$ sudo apt-get install firebird2.5-superclassic
$ dpkg-reconfigure firebird2.5-superclassic
```
Der Zugriff von externen Rechnern ist standardmäßig nicht möglich. Deshalb muss die Datei /etc/firebird/2.5/firebird.conf editiert werden:
Siehe auch askubuntu.com )
oder hier SysAdmin and Programmer 4 life

alt:

RemoteBindAddress = localhost

neu:

RemoteBindAddress =

danach den Firebirrd-Server neu starten:

$ sudo service firebird2.5-superclassic restart

Die Backups der Firebird-Datenbanken im Ordner /wnfdaten/datensicherungen haben einen falschen Besitzer. Das habe ich korrigiert:

$ sudo chown firebird:firebird /wnfdaten/datensicherungen/*.gbk

nfixplayer

$ sudo add-apt-repository ppa:i-n8ws-t/ppa
$ sudo apt-get update
$ sudo apt-get install nfixplayer

Zusätzliche Module für Python

$ sudo apt-get install python-setuptools python-sphinx python-vobject python-lxml
$ sudo easy_install caldav
$ sudo easy_install fdb

wnfAlbum unter Apache zur Verfügung stellen

$ cd /var/www/html/
$ sudo ln -s /wnfdaten/www/wnfalbum ./wnfalbum

Tags: Kubuntu FirebirdSQL Upgrade 12.04 14.04

Sony Xperia L - Keine Mobile Datenübertragung [gelöst]

14.04.2014 - Lesezeit: ~1 Minute

Nachdem ich nun eine Woche mein "Sony Xperia L" besitze habe ich mir einen Prepaid Internet Tarif bei Vodafone zugelegt. Leider komme ich nicht über die Datenverbindung ins Internet. Alle Einstellungen sind eigentlich ok. Meine SIM-Karte funktioniert in einem anderen Smartphone.

Abhilfe schafft wie fast immer RTFM:

So laden Sie Einstellungen für Internet und Nachrichtenfunktionen herunter:

-Tippen Sie auf Einstellungen > Xperia™ > Interneteinstellungen.

Vodafone.de auswählen -Tippen Sie auf Akzeptieren.
Die Interneteinstellungen werden heruntergeladen und installiert.

Jetzt kann ich auch über Mobile Datenübertragung ins Internet gehen.

Tags: Sony Xperia L

[CAcert.org] Information about Heartbleed bug in OpenSSL 1.0.1 up to 1.0.1f

10.04.2014 - Lesezeit: 2 Minuten

Heute habe ich eine E-Mail von CAcert bekommen.

What to do?

Ensure that you upgrade your system to a fixed OpenSSL version (1.0.1g or above).
Only then create new keys for your certificates.
Revoke all certificates, which may be affected.
Check what services you have used that may have been affected within the last two years.
Wait until you think that those environments got fixed.
Then (and only then) change your credentials for those services. If you do it too early, i.e. before the sites got fixed, your data may be leaked, again. So be careful when you do this.

Was ist zu tun?

Kontrollieren Sie, ob auf Ihrem System eine gefixte OpenSSL Version (1.0.1g oder darüber) installiert ist.

$ openssl version -a
OpenSSL 1.0.1 14 Mar 2012
built on: Mon Apr  7 20:33:29 UTC 2014
platform: debian-amd64

Erst dann erzeugen Sie neue Schlüssel für Ihre Zertifikate.
Wiederrufen Sie alle Zertifikate, die von der Sicherheitslücke betroffen sein könnten.
Überprüfen Sie welche Dienste Sie in den letzten zwei Jahren genutzt haben, die von der Sicherheitslücke betroffen sein könnten.
Warten Sie bis diese Dienste gefixt sind.
Erst dann (und wirklich nur dann) ändern Sie Ihre Anmeldedaten für diese Dienste. Wenn Sie Ihre Anmeldedaten erneuern bevor die Seiten/Dienste gefixt wurden, dann könnten Ihre neuen Schlüssel wieder ausspioniert werden. Seien Sie vorsichtig, wenn Sie Ihre neuen Schlüssel verteilen.

Tags: SSL