Ubuntu, CentOS oder Fedora - Pakete auf eine ältere Version downgraden

Die neuesten Programm Pakete müssen nicht immer die besten sein, denn durch Änderungen kann es vorkommen, dass Systeme nicht mehr das machen, was sie sollen. In diesem Fall hilft nur der Weg zurück zur alten Version, dieser Weg muss nicht zwingend beschwerlich sein.

CentOS  - Pakete auf eine ältere Version downgraden

Unter CentOS ist es relativ einfach, Pakete auf eine alte Version zu setzen.

Letzte Updates auflisten und altes Paket installieren

yum list recent

Ab Yum Version 3.2.25 sind auf folgende Befehle möglich

yum history oder yum history list

Ist das gewünschte Paket gefunden, kann durch Angabe der Version auf eine bestimmte Version downgegraded werden.

yum downgrade paket-1-2.i386

Wird keine Paketnummer angegeben, setzt das System das Paket auf die letzte bekannte Version zurück

yum downgrade paketname

yum-downgrade

Fedora - Pakete auf eine alte Version zurücksetzen

Fedoras RPM verhält sich ähnlich wie yum, hat aber eine praktische Zusatzfunktion

Auch hier können Pakete gesucht werden

rpm –q paketname

oder 

rpm -qa |grep paketname

Downgrade oder Rollback mit rpm

Hier wird es interessant, denn rpm kann alle Pakete, die in einer bestimmten Zeit aktualisiert wurden zurücksetzen. Der folgenden Befehl setzt alle aktualisierten Pakete der letzten 2 Stunden zurück, alternativ kann hier auch "3 month" oä. angegeben werden.

rpm -Uhv –rollback '2 hours ago'

Ebenso ist es mit rpm möglich ein bestimmtes Paket zurückzurollen, beziehungsweise auf ein älteres Paket zu aktualisieren

rpm -Uvh --oldpackage paket-1-2.i386.rpm


Downgrade unter Ubuntu mit apt-get 

Leider gibt es unter Debian Systemen wie Ubuntu oder Mint  mit der Paketverwaltung apt-get keine Downgrade Funktion. Hier kann nur mit Angabe der Versionsnummer gearbeitet werden.

Zunächst werden ebenfalls Pakete gesucht

apt-cache showpkg paketname

oder

dpgk -l |grep paket

Downgrade eines Pakets unter Ubuntu

Eine Downgrade ist hier nur mit Angabe der Versionsnummer möglich. 

sudo apt-get install postfix=2.11.0-1ubuntu1

Ist das System auf das alte Paket geeicht, können zukünftige Updates eines Pakets verhindert werden.

sudo echo “package postfix” | sudo dpkg –-set-selections

Um zu überprüfen, ob dieser Schritt erfolgreich war kann wiederum mit "dpkg" gearbeitet werden.

sudo dpkg --get-selections

myNoise - Katzenschnurren und weitere Beruhigungs Cocktails

Beruhigende Sounds hatten ich hier schon öfter, ich erinnere mich noch an  calm und rain moods oder das bekanntere Noisli

Katzen Schnurr Generator

Durchs Internet macht gerade der Cat Purr Generator die Runde. Übersetzt ist das sowas wie eine Generator für Katzenschnurren. Hört sich gut an und beruhigt ungemein.

Katzen-Schnurr-Generator

Auf der Seite myNoise, welche das Katzenschnurren beheimatet, kann jeder seinen eigenen Sound kreieren, egal ob Ventilator, Rechenzentrum oder Regentage. Es ist für alle etwas dabei. 
Die einzelnen Sound lassen sich mit einem Equalizer für den eigenen Geschmack anpassen oder via Timer ausschalten.
Eine eigene App hat die Seite ebenso, bisher aber leider nur für Apple Geräte

Kali Linux 2.0 - Penetration Testing Suite im neuen Gewand

Kali Linux - Alles neu macht Version 2.0

Es wurde bereits vor Wochen mit einem Video angekündigt, nun ist die neue Version 2.0 der bekannten Linux Live CD für IT Sicherheit veröffentlicht worden. Die Entwickler der Security Live CD bezeichnen ihre neue Version als die wichtigste seit 2013.

kali-2.0


Das ist nicht weiter verwunderlich, denn neben den technischen Änderungen wie einem neuem 4.0 Kernel und Debian Jessie Backend, ist Kali 2.0 nun eine Rolling Distribution.
Das heißt Updates werden kontinuierlich ausgerollt, womit die Version 2.0 theoretisch die letzte Versionsnummer darstellt (siehe Windows 10).

Nicht nur im Backend gab es Veränderungen, auch das Frontend wurde weiter ausgebaut und unterstützt mit KDE, GNOME3, Xfce, MATE, e17, lxde and i3wm fast alles was das Desktopherz begehrt.

Neben der Unterstützung für neue Frontends wurde ein Wechsel zu GMOME3 vollzogen. Dadurch ist auch der Hardwareanspruch gestiegen, besonders im Hauptspeicherbereich. Eine schmalere Alternative bietet XFCE. (Kali Desktop anpassen).

Android und Raspberry Pi im Bann der Göttin

Im Maker- und Mobilbereich wurden alle Images auf die neue Version angehoben und stehen ab sofort zum Download bereit. Gleiches gilt für VMware und Virtualbox Images.

Kali-Linux-OnePlus

The Kali Linux Dojo

Um mit IT Forensik und Penetrationstesting richtig umgehen zu können, haben die Entwickler rund um Kali Linux einen fünfstufigen Workshop ins Leben gerufen. 
Voraussetzung dafür sind Linux Kenntnisse und performante Hardware. Die Lernziele bestehen unter anderem aus dem Umgang und dem Erstellen eigener Kali Builds. Wobei neben normalen ISO Images auch ARM Images erstellt werden. (mehr Infos gibt es hier)
 

Tschüss Metasploit, hallo Metasploit

Auf Bitten des Herstellers Rapid7, wurde das Metasploit Community  bzw. Pro Paket aus der Distribution entfernt. Auf das nützliche Paket muss jedoch nicht ganz verzichtet werden, da die OpenSource Variante weiterhin unterstützt wird. Der Startvorgang hat sich allerdings etwas geändert.

# Start the Postgresql Database
/etc/init.d/postgresql start

# Initialize the Metasploit Framework Database
msfdb init

# Run msfconsole
msfconsole

Update auf Kali Linux 2.0

Besitzer einer älteren Version können ohne weitere Probleme auf die aktuelle Distribution updaten.

nano /etc/apt/sources.list
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security/ sana/updates main contrib non-free
apt-get update
apt-get dist-upgrade
reboot

Natürlich kann die komplette Version 2.0 auch als ISO heruntergeladen werden. 

Kali 2.0 Download

Personal Landscape Server - mehrere Ubuntu Systeme im Netzwerk zentral verwalten

In den letzten Jahren erfreuten sich Konfigurationsmanagement Systeme (CM) großer Beliebtheit. Bekannteste Player auf dem Markt sind sicherlich Puppet, Saltstack, Chef oder Ansible. Alle diese Systeme haben ihre Vor- und Nachteile und sind als Community Edition für jeden verfügbar.

Ubuntu Landscape (Dedicated Server)

Canonical hat ein ähnliches Pferd im Stall, genannt Landscape, welches anders als die oben erwähnten Systeme nicht für heterogene Netze geeignet ist, sondern sich auf das eigene Betriebssystem konzentriert. Es lassen sich nur Ubuntu Server oder Clients damit zentral verwalten, überwachen oder aktualisieren.

Management___Ubuntu

Früher war das Systemmanagement-Tool nur im Zuge des Ubuntu Advantages Programm verfügbar, war mit Kosten verbunden und konnte nicht selbst gehostet werden. Inzwischen gibt es eine frei Version, welche 20 Linuxboxen erlaubt (10 virtuelle und 10 physische). Diese eignet sich für kleine Netze mit wenigen Clients, die zentral verwaltet werden wollen.

Lokale Installation Landscape Server

Das CM System lässt sich auf einem eigenen Server installieren. Da ein eigenes Repository der aktuellen Version 15.01 zur Verfügung steht, stellt dies keine große Hürde da. Als Basissystem ist ein Ubuntu Server 14.04 geeignet.

sudo add-apt-repository ppa:landscape/15.01
sudo apt-get update
sudo apt-get install landscape-server-quickstart

Nachdem die Installation abgeschlossen ist, kann unter https://landscape.local.de die Konfigurationsseite aufrufen werden. (Die Seite sollte über den DNS Namen aufgerufen werden, darum muss eventuell ein Eintrag in der Hosts gesetzt werden.

Landscape

Auf der Startseite muss zunächst Benutzername und Passwort vergeben werden, um dann im Anschluss einen Zugriffschlüssel zu generieren. Mit diesem Schlüssel können sich später Clients am Server authentifizieren.

Die Generierung kann unter dem eigenen Konto (oben rechts) vorgenommen werden.

Landscape-Key

Landscape Client einrichten und System am Server anmelden

Auch der Client steht als fertiges Paket zur Verfügung ist ebenso schnell installiert.

sudo apt-get update

sudo apt-get install landscape-client

Auch hier sollte bei Bedarf die Hostdatei editiert werden.

echo "10.10.0.10 landscape.local.de landscape" > /etc/hosts

Nun muss der Client am Verwaltungsserver registriert werden, dies ist mit dem folgenden Befehl möglich.

Die Installation erfolgt danach interaktiv.

sudo landscape-config --computer-title "mein server" --account-name standalone  --url https://landscape.local.de/message-system --ping-url http://landscape.local.de/ping


    The Landscape client must be started on boot to operate correctly.

    Start Landscape client on boot? (Y/n): y

    This script will interactively set up the Landscape client. It will
    ask you a few questions about this computer and your Landscape
    account, and will submit that information to the Landscape server.
    After this computer is registered it will need to be approved by an
    account administrator on the pending computers page.

    Please see https://landscape.canonical.com for more information.


    A registration key may be associated with your Landscape
    account to prevent unauthorized registration attempts.  This
    is not your personal login password.  It is optional, and unless
    explicitly set on the server, it may be skipped here.

    If you don't remember the registration key you can find it
    at https://landscape.canonical.com/account/standalone

Account registration key: Schlüssel (der Eingangs generiert wurde) eingeben

    The Landscape client communicates with the server over HTTP and
    HTTPS.  If your network requires you to use a proxy to access HTTP
    and/or HTTPS web sites, please provide the address of these
    proxies now.  If you don't use a proxy, leave these fields empty.

    HTTP proxy URL:
    HTTPS proxy URL:
    
    Landscape has a feature which enables administrators to run
    arbitrary scripts on machines under their control. By default this
    feature is disabled in the client, disallowing any arbitrary script
    execution. If enabled, the set of users that scripts may run as is
    also configurable.

    Enable script execution? [y/N]y

Diese Funktion kann durchaus aktiviert werden, da Scripte immer eine praktische Sache sind und oft benötigt werden. Das Sicherheitsrisiko sollte jedoch bedacht werden. Genau aus diesem Grund können die Scriptanwender im nächsten Schritt weiter eingeschränkt werden.

    By default, scripts are restricted to the 'landscape' and
    'nobody' users. Please enter a comma-delimited list of users
    that scripts will be restricted to. To allow scripts to be run
    by any user, enter "ALL".

    Script users: user1,user2,user3

Auch Gruppen sind möglich

   You may provide an access group for this computer e.g. webservers.

    Access group: admins

Zu guter Letzt kann das System noch getagt werden, damit es im Verbund schneller zu identifizieren ist.

    
    You may provide tags for this computer e.g. server,precise.

    Tags: landscape, demo, itrig, ubuntu, trusty

 
Nun startet der Client neu und scannt automatisch das Netz nach seinem Master.

 Stopping landscape-client daemon                                                                                                                                                                  [fail]
 Starting the landscape-client daemon                                                                                                                                                              [ OK ]

Request a new registration for this computer now? (Y/n): y
Please wait... We were unable to contact the server. Your internet connection may be down. The landscape client will continue to try and contact the server periodically.

Landscape Server mit selbstsigniertem Zertifikat einrichten

Wie der Fehlermeldung oben zu entnehmen ist, funktioniert die Verbindung zum Hauptserver anscheinend nicht. Praktischerweise schreibt Landscape unter /var/log/landscape ausführliche Logs.


    ERROR    [PoolThread-twisted.internet.reactor-1] Error contacting the server at https://landscape.local.de/message-system.
    Traceback (most recent call last):
    File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 71, in exchange
    message_api)
    File "/usr/lib/python2.7/dist-packages/landscape/broker/transport.py", line 45, in _curl
    headers=headers, cainfo=self._pubkey, curl=curl))
    File "/usr/lib/python2.7/dist-packages/landscape/lib/fetch.py", line 109, in fetch
    raise PyCurlError(e.args[0], e.args[1])
    PyCurlError: Error 60: server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
    2015-08-06 16:37:27,963 INFO     [MainThread] Message exchange failed.
    2015-08-06 16:37:27,963 INFO     [MainThread] Message exchange completed in 0.18s.

Den Daten kann wiederum entnommen werden, dass ein Zertifikatsfehler vorliegt.

Das ist nicht weiter verwunderlich, denn es ist ein selbstsigniertes Zertifikat, welches dem Client nicht bekannt ist und deswegen nicht vertraut wird.

Die offizielle Landscape Anleitung empfiehlt ein offiziell signiertes Zertifikat, wirklich nötig ist dies nicht, denn die Struktur funktioniert auch mit einem selbstsignierten Zertifikat.
Lediglich ein wenig Kopierarbeit im Vorfeld ist notwendig.

Zertifikat vom Server kopieren

/etc/ssl/certs/landscape_server_ca.crt

und auf dem Client hinterlegen. Danach muss noch die /etc/landscape/client.conf angepasst werden

nano /etc/landscape/client.conf
    ssl_public_key = /etc/landscape/landscape_server_ca.crt

sudo service landscape-client restart

Und siehe da die Kommunikation mit dem Master funktioniert und der Client meldet sich via Oberfläche.

[MainThread] Starting urgent message exchange with https://landscape.local.de/message-system.
[PoolThread-twisted.internet.reactor-1] Sent 646 bytes and received 145 bytes in 2.44s.
[MainThread] Switching to normal exchange mode.
[MainThread] Server UUID changed (old=None, new=c744448a).
[MainThread] Accepted types changed: +test +register
[MainThread] Queueing message to register with account 'standalone' and tags xstudio,tomcat,apache,trusty with a password.
[MainThread] Starting message exchange with https://landscape.local.de/message-system.
[MainThread] Message exchange completed in 2.95s

Landscape-pending

Verwendung des Landscape Server

Die Verwendung des Server erfolgt über Kategorien, die einzelne Konfigurationen zulassen. So können unter "Alerts" die gewünschten Benachrichtigungen definiert werden. Diese setzen allerdings einen richtig konfigurierten Postfix Server auf dem Server selbst voraus.

Events-Landscape

Unter "Access Groups" können Geräte unterteilt oder über "Graphs/Scripts" verschiedene Befehle definiert werden. Auch Suchen lassen sich abspeichern. Der Punkt "MAAS" steht für Metal-as-a-Service und ist in dieser Konfiguration nicht installiert. Er ermöglicht das Ausrollen von fertig eingerichteten Paketen.

Package-management-LandscapeDie interessanteren Funktionen für das Gerätemanagement sind im Computerbereich untergebracht. Hier können die Hardwarreigenschaften eingesehen und Leistungsmerkmale (Monitoring) abgerufen werden.

Unter "Packages" kann definiert werden ob und wann neue Updates eingespielt werden sollen, auch eine Unterteilung in Sicherheits- und  Normale Updates ist möglich. Der Punkt "Reports" bietet eine weitere Übersicht der Geräte und informiert beispielsweise über Clients die mit den momentan Update Einstellungen nicht berücksichtigt werden. (Doku)

Juju und Openstack

Zwei weitere Punkte werden im Landscape Menü gelistet, diese sollen hier nicht näher behandelt werden. Bei Juju handelt es sich um einen Tool welches für die Softwarepakete unter MAAS zuständig ist (Orchestration), sozusagen ein apt für die Cloud. So lassen sich darüber verknüpfte Software Templates definieren, um sie danach auf diverse Geräte auszurollen (Video).

Die Installation von Juju ist schnell erledigt.

sudo add-apt-repository ppa:juju/stable
sudo apt-get update
sudo apt-get install juju-quickstart

Ebenfalls neu im Boot ist Openstack, zwar noch als open beta, aber schon eingebunden. Voraussetzung dafür sind die Tools Maas, Juju und Landscape zusammen.

was-ist-juju

Fazit

Für kleine Unternehmen, die in ihrer Infrastruktur Ubuntu Geräte einsetzen und diese zentral verwalten möchten, bietet sich Landscape gut an. Gerade in Bezug auf Updates und Scripte ist ein zentraler Anlauf- und Installationspunkt gegeben. Auch das Monitoring der 20 Geräte passt gut ins Bild.

Größere Unternehmen müssen durchaus etwas tiefer in die Tasche greifen, wenn sie über die freie Anzahl an Ubuntu Geräten kommen. Hier bieten sich andere Anbieter wie Ansible oder Puppet eher an. Allerdings ist der Administrations- und Konfigurationsaufwand auch ungleich höher.

Privacy Badger 1.0 - freie Anti Tracking Alternative für Chrome und Firefox

Mitte 2014 hatte ich den Privacy Badger der Electronic Frontier Foundation vorgestellt. Damals befand sich das Tool noch im Alpha Stadium und hatte so seine Eigenheiten. Dies hat sich nun geändert.

Privacy-Badger

Privacy Badger 1.0 - Verfolgung Nein Danke

Die EFF hat gestern Version 1.0 des Tracking Blockers für Firefox und Chrome veröffentlicht. Die Änderungen sind zahlreich, so kann die Erweiterung nun mit Supercookies and Browser Fingerprinting umgehen. Diese Methoden werden von der Werbeindustrie zwar noch nicht im breiten Stil eingesetzt, bieten aber ungeahnte Trackingmöglichkeiten.

Bereits vor wenigen Tagen hatte die EFF, Disconnect, Medium, Mixpanel, Adblock, und DuckDuckGo neue Do Not Track Regeln vorgestellt. Diese werden vom Privacy Badger bereits umgesetzt.

Privacy-Badger-1.0

Der Dachs steht unter GNU GPL v3 und ist über Github erreichbar.

Bedienung

Das Handling der Erweiterung ist im Vergleich zu früheren Versionen im Wesentlichen gleich geblieben. Die geblockten Tracker werden im Adressleistensymbol hoch gezählt.

Beim Klick auf das Icon lassen sich einzelne Seiten mit Hilfe einer Ampelfunktion wieder frei schalten. Steht die Ampel auf Gelb werden nur die jeweiligen Cookies blockiert. Da die Version 1.0 die deutsche Sprache beherrscht, sollte es für den Anwender kein Problem darstellen damit umzugehen.

Fazit

Als nicht kommerzielle Alternative zu den bekannten Anbietern bietet sich der Privatsphären Dachs förmlich an. Die nun stabile Version läuft soweit flüssig und scheint auf den ersten Blick die Kinderkrankheiten erfolgreich behandelt zu haben.

Privacy Badger