Alle Beiträge von Don Matteo

lebt in Zürich und ist System Engineer MCP bei A-Enterprise GmbH. Mitglied des UNBLOG Network. Author und Blogger zu den Themen, Linux und Open Source. Tutorials für Windows, VMware, Synology, Fortinet.

sudo Passwort Timeout Erweitern

sudo-Passwort Eingabe

Auch Systemverwalter authentifizieren sich als normale Benutzer und verwenden sudo, wenn administrative Aufgaben erledigt werden. Beim ersten Aufruf fragt sudo die Kennwort Eingabe des Benutzers, dieser sudo berechtigt ist.

Der Standard-Passwort-Timeout beträgt 15 Minuten. Wenn also sudo innerhalb von 15 Minuten (900 Sekunden) ein weiteres mal ausgeführt wird, bleibt die Aufforderung das Kennwort erneut einzugeben aus.

timestamp_timeout:

Der timestamp_timeout definiert die Anzahl Minuten, die vergehen bevor sudo erneut nach dem Passwort fragen soll. Bearbeite zum Ändern des timestamp_timeout die Datei /etc/sudoers.

Ich empfehle visudo zu verwenden, um die Datei /etc/sudoers zu bearbeiten. Füge den Wert timestamp_timeout zur Zeile „Defaults“ in der Datei /etc/sudoers ein.

Die Standardeinstellung ist env_reset

Editiere sudoers so das die Zeile Defaults wie folgt aussieht:

timestamp_timeout=-1 (minus eins) bewirkt, dass das sudo-Passwort nie abläuft.

  Bei Ubuntu/Debian Distributionen hat die Option -0 nicht funktioniert. Ein höheren Wert zB. 60 wird akzeptiert.

timestamp_timeout=0 (null) bewirkt, dass das sudo-Kennwort alle 0 (null) Sekunden abläuft. Dies bedeutet, dass mit jedem aufruf von sudo nach dem Kennwort gefragt wird.

 

FortiGate Sniffer Output in Wireshark

diag sniffer packet via Pipe an Wireshark

Fortinet beinhaltet bei ihren FortiGate Appliance den in FortiOS mit eingebauten Packet Sniffer, zur Analyse von Paketweiterleitungen. Bei umfangreichen Analysen mit der Anwendung von Filtern, zeigt sich die Auswertung in der Console als unkomfortabel.

In diesem Post wird gezeigt, wie unter Linux ein Sniffer Packet Output direkt via Pipe von Wireshark gelesen wird. Falls Wireshark noch nicht installiert sein sollte, wird das Paket für die entsprechende Distribution wie folgt bereitgestellt.

Damit Wireshark als non-root User ausführbar wird, ist bei Ubuntu folgender Befehl aus dem Terminal auszuführen.

dpkg-reconfigure wireshark-common

Bei der Auswahl die bei der Wireshark Reconfigartion erscheint, wird YES gewählt, bei i18n Einstellung deutsch ist es JA.

Die Red Hat Distributionen CentOS und Fedora erfordern die folgenden Befehle zur Ausführung, so auch bei Ubuntu.

FortiGate Sniffer Wireshark Analyse

Wireshark zum Analysier einer FortiGate machen, mit dem Output von diagnose sniffer packet, dazu den Script sdump.pl hier herunterladen und ausführbar machen.

Nun wird in einem Terminal eine SSH Verbindung zur Firewall aufgebaut, um den Output direkt via Pipe an Wireshark zu senden.

Es wird via SSH der Sniffer auf der FortiGate gestartet, sdump.pl liest Output von STDIN, erzeugt den hexdump 16 Bytes space-delimited, text2pcap formatiert den hexdump in das PCAP Format, um dann den Output in Wireshark einzulesen und zu analysieren.

 Erscheint beim Aufruf von Wireshark folgende Ausgabe:

couldn’t run /usr/bin/dumpcap in child process: Permission Denied.

Wurde bis hier noch nicht neu eingeloggt! Ferner ist wahrscheinlich noch folgende Zuweisung erforderlich.

 Filter werden zwischen Hochkommata eingebunden, wie folgende Beispiele zeigen.

Der Perl-Script sdump.pl kann im Terminal mit  Copy Paste der folgenden Zeilen angelegt werden, oder hier per Download bereitstellen.

Die Script Datei sdump.pl verschiebt man nun nach /usr/bin als sdump, und wird ausführbar gemacht.

Jetzt kann das CLI command diag sniffer packet über SSH Authentifizierung auf der FortiGate ausgeführt werden, um anschlissend via Pipe den Output in Wireshark zu analysieren.

  Bei Umgebungen mit erhöhter Netzwerk Traffic ist zu berücksichtigen, das eine Reduzierung durch Mitschnittfilter erreicht werden sollte.

Eine weitere Anwendung besteht darin, den PCAP Output in eine Dump Datei zu speichern, mit der Möglichkeit, die Analyse später mit Wireshark oder anderen Protocol Analyzer vornehmen zu können. Hierbei kommt folgende Zeile zur Anwendung.

 

ESXi Scratch Partition erstellen

VMware ESXi Host Scratch Partition ist zu klein

Findet man diese Nachricht in der Ereignisanzeige eines ESXi Host, sollte eine Scratch Partition erstellt werden.

Dazu öffnet man den vSphere Web Client, um ein Verzeichnis .Locker-ESXhost anzulegen. Auf Speicher gehen und das Kontextmenu Durchsuchen über dem gewünschten Datenspeicher öffnen, oder auf Datenspeicherbrowser klicken.

Datenspeicherbrowser – Scratch Verzeichnis anlegen

Dann im vSphere Web Client navigiert man zu:

Verwaltung > System > Erweiterte Einstellungen

und gibt den Suchbegriff rechts in das Suchfeld ein:
ScratchConfig.ConfiguredScratchLocation. Dann auf Option bearbeiten klicken und den Pfad zu dem zuvor angelegten Verzeichnis hinzufügen.

vSphere – ScratchConfig.ConfiguredScratchLocation

Mit klick auf Verzeichnis erstellen wird hier zum Beispiel das Vereichnis .locker-ESXHost für die Scratch Partition angelegt.

Scratch Partition in der ESX-Shell anlegen

Ein Scratch Verzeichnis kann auch über die ESXi Shell Console angelegt werden, beispielsweise mit KiTTY ein SSH-Terminal öffnen, und per CLI ein Scratch Verzeichnis anlegen.

Hinweis: Es muss der Pfad zum Scratch Verzeichnis mit der UUID angegeben werden, hier als beispiel ist /vmfs/volumes/datastore1 der Pfad /vmfs/volumes/5b2fb100-bbe22f82-fe22-ececc8968f68/.locker-ESXHost. Der Punkt zu beginn bedeutet das es ein hidden Verzeihnis ist, wie dies bei unixoiden Systemen üblich ist.