Schlagwort-Archive: bash Bourne-again shell

Bash (für Bourne-again shell) ist eine freie Unix-Shell und Teil des GNU-Projekts. Sie ist heute auf vielen unixoiden Systemen die Standard-Shell.

Befehle Suchen in Bash History

Befehl in Bash History finden und erneut ausführen

Bourne-again shell ist eine freie Unix-Shell unter der GPL. Bash merkt sich die eingegebenen Befehle und speichert sie in einer Verlaufsdatei, um sie später wiederholt ausführen zu können. Es ist die Standard Shell für Terminalumgebungen bei den meisten Linux-Distributionen, unter macOS kann die Standard Shell auf Bash festgelegt werden, für Windows wird Bash mit der WSL Installation verfügbar.

Bash the Bourne-again shell on Debian

Die meisten werden es kennen, mit der Pfeiltaste nach Oben kann man durch den Bash-Verlauf scrollen, um ein zuvor ausgeführter Befehl wiederholt auszuführen.

Bash-History Rückwärtssuche

Was viele nicht wissen, es lässt sich nach einer bestimmten Befehlszeile in der history suchen, so kann mit Ctrl+R die Rückwärtssuche aufgerufen werden, hier gibt man die Zeichen ein an die man sich erinnert.

Durch erneutes Ctrl+R scrollt man schrittweise zurück, zu Befehlszeilen die dem Suchmuster in der History entsprechen.

  • Ctrl+R: Bash-Verlauf nach einem Befehl durchsuchen. Ruft den letzten Befehl auf, der den eingegebenen Zeichen entspricht.
  • Ctrl+O: Führt den gefundenen Befehl aus, nach Ctrl+R.
  • Ctrl+G: Verlässt den Verlaufssuchmodus wieder, ohne einen Befehl auszuführen.

Befehl in Bash-Verlauf druchsuchen

Ein häufiges Szenario in dem man sich wiederfindet, besteht darin, einen Teil eines Befehls einzugeben um dann festzustellen, dass man ihn zuvor ausgeführt hat und den Verlauf danach durchsuchen könnte.

Die korrekte Suchmethode mit dem was sich bereits in der Befehlszeile befindet, besteht darin, den Cursor mit Ctrl+A an den Anfang der Zeile zu bewegen, mit Ctrl+R die Rückwärtshistorie aufzurufen, und mit Ctrl+Y die aktuelle Zeile in die Suche einzufügen, und um dann erneut mit Ctrl+R rückwärts zu suchen.

Bash-Verlauf im Terminal anzeigen

Die Liste der Befehle im Bash-Verlauf beginnt mit einer Index Nummer.

$ history

Der Befehl mit der höchsten Nummer ist der letzte ausgeführte Befehl.

495 vi /etc/bash.bashrc
496 cd /var/www/3w/dot/html/content
497 uname -promsvm
498 vi /etc/sysctl.conf
499 multitail -cS postfix /var/log/mail.log
500 multitail -cS apache /var/log/apache2/access.log
501 multitail -cS syslog /var/log/syslog
502 history

Wir können die Ausgabe abschneiden, indem wir nach dem Befehl eine Zahl angeben. Wenn wir beispielsweise nur die letzten 5 eingegebenen Befehle sehen möchten, können wir Folgendes eingeben.

$ history 5

Weitere Möglichkeiten bieten sich beispielsweise an, mit weiterleiten an grep, um die Befehlsverlauf Ausgabe zu filtern.

$ history | grep hostname
365 hostname
369 hostnamectl status
484 hostnamectl set-hostname debian
486 cat /etc/hostname
516 history | grep hostname

Befehle aus der Bash-Historie ausführen

Wir können einen zuvor gemerkten Befehl wiederholt ausführen, indem wir die Nummer mit einem Ausrufezeichen (!) voranstellen. Wie beispielsweise in die Historie oben, können wir den Befehl hostnamectl status aus der history schnell aufrufen, indem man !369 eingibt.

$ !369
   Static hostname: debian
         Icon name: computer-vm
           Chassis: vm
        Machine ID: fc5cb9d7ace83e1c9c1fcbe4ec76d302
           Boot ID: 379bf41010125c63bbaa4f2b778ac54c
    Virtualization: vmware
  Operating System: Debian GNU/Linux 10 (buster)
            Kernel: Linux 4.19.0-17-amd64
      Architecture: x86-64

Dadurch wird der mit der Verlaufsnummer 369 verknüpfte Befehl direkt aufgerufen und auch gleich ausgeführt.

Wir können auch Befehle relativ zu unserer aktuellen Position ausführen. Das wird ermöglicht indem wir die Syntax !-n verwenden, wobei n durch die Anzahl der Befehle ersetzt wird, die wir zurückgehen möchten.

Wenn wir beispielsweise einen Befehl abrufen und ausführen möchten, den wir vor unserem letzten eingegeben haben, können wir !-5 eingeben, die Session könnte so aussehen.

$ !-5
hostname
debian

Um den vorherigen Befehl erneut auszuführen, macht Bash eine Verknüpfung zum letzten Befehl. Mit der Abkürzung !! wird der neueste Befehl wiederholt ausgeführt.

Bash-Verlauf löschen

Den Verlauf der aktuellen Benutzersitzung bereinigen, beispielsweise nach einer Serie fehlerhaften Befehle, die man nicht weiterverwenden möchte.

$ history -c

Der gespeicherte Bash-Verlauf unter Linux komplett löschen.

$ cat /dev/null > ~/.bash_history

Der Befehl cat löscht den Inhalt der Datei .bash_history des aktuell angemeldeten Benutzers.

Fazit

Dies sollte jetzt eine gute Vorstellung davon geben, wie die zur Verfügung stehenden Verlaufsoperationen genutzt werden können. Einige davon werden wahrscheinlich nützlicher sein als andere, aber es ist gut zu wissen, dass Bash diese Fähigkeiten hat, falls man sich in einer Position befindet, in der es hilfreich wäre, sie auszugraben.

Nicht zuletzt sollte der Befehl history, die Rückwärtssuche und die einfachen History-Erweiterungen helfen, den Arbeitsablauf zu beschleunigen.

Verdächtige IP mit Linux Firewall Daemon sperren

Brute-Force Angriffe mit Firewall Daemon blockieren aus Bash Script

Firewall Daemon für den Schutz vor laufenden Brute-Force Attacken, bei der Erkennung versuchter Angriffe auf den Linux Host. Um den Host permanent zu schützen, können verdächte Anfragen von angreifenden Quellen schnell gesperrt werden. Das folgende bash Script sperrt die IP, diese als Argument übergeben wird und von firewall-cmd auf reject gesetzt wird.

#!/bin/bash
# permanently reject or remove suspicious sources by kernel firewall
# dependency: firewalld (fail2ban optional)
if [[ $1 == "add" && $2 =~ ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$ ]]; then
   echo "$2 add to reject"
   firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="'$2'" reject'

elif [[ $1 == "remove" && $2 =~ ^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}$ ]]; then
   echo "$2 being to remove"
   firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv4" source address="'$2'" reject'

 elif [[ $1 == "add6" && $2 =~ ^[A-Za-z0-9]{1,4}\:[A-Za-z0-9]{1,4}\: ]]; then
    echo "$2 add to reject"
    firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv6" source address="'$2'" reject'

  elif [[ $1 == "remove6" && $2 =~ ^[A-Za-z0-9]{1,4}\:[A-Za-z0-9]{1,4}\: ]]; then
    echo "$2 being to remove"
    firewall-cmd --permanent --zone=public --remove-rich-rule='rule family="ipv6" source address="'$2'" reject'

  else
    echo "Usage: fw add|remove [source IPv4]"
    echo "       fw add6|remove6 [source IPv6]"
    exit 0
fi
firewall-cmd --reload
sleep 1
if [[ -f /run/fail2ban/fail2ban.pid ]]; then
  systemctl restart fail2ban
else
  echo "fail2ban not running"
fi
sleep 2
firewall-cmd --list-all

Das Script wurde auf Debian 10 (buster) geschrieben, bei Debian muss firewalld erst installiert werden, wie auch unter Ubuntu 20. Bei RHEL und CentOS Linux 7 und höher wie auch bei Fedora ist firewalld im Standard und das Script ist gleich anwendbar.

Speichere die Skriptzeilen in eine Datei, beispielsweise als fw und mache sie ausführbar, dann führe das Skript aus, um eine IP-Adresse mit add zu blockieren.

chmod u+x fw
./fw add 192.168.89.56

Mit remove kann die IP Adresse wieder aus der Kette entfernt werden.

Firewalld Installation auf Debian

Das firewalld-Paket ist in den offiziellen Debian 10 Repositorys verfügbar. Die Installation ist unschwer wie folgender Ablauf zeigt.

$ sudo apt update
$ sudo apt -y install firewalld

Bereitstellung von Firewalld im Terminal mit Root Privileg.

$ sudo ufw disable

Wenn ufw aktiviert ist, muss die Uncomplicated Firewall (ufw) zur Verwaltung der Netfilter deaktiviert werden, um firewalld zur Standard-Firewall zu machen.

$ sudo systemctl enable firewalld
$ sudo systemctl start firewalld

Den Firewall daemon starten und für den Systemstart aktivieren.

$ sudo firewall-cmd --state
running

Ausführung und Erreichbarkeit überprüfen.

$ sudo firewall-cmd --reload

Laden der neuen Firewall-Regeln unter beibehalten des Status.

Es erscheint bei Debian nach firewall-cmd --reload der Fehler:

Error: COMMAND_FAILED: ‚/usr/sbin/ip6tables-restore -w -n‘ failed: ip6tables-restore v1.8.2 (nf_tables:
line 4: RULE_REPLACE failed (no such file or directory): rule in chain OUTPUT

Die Lösung ist das Ausführen von update-alternatives, um die Verlinkung für iptables und ip6tables anstelle von nftables zu verwenden.

$ sudo update-alternatives --set iptables /usr/sbin/iptables-legacy
$ sudo update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy

Nach dem wechsel von nftables zu iptables den Linux Rechner mit reboot neu starten.

Firewalld Konfiguration

Firewalld ist eine Firewall-Verwaltungslösung als Frontend für das vom Linux-Kernel bereitgestellte iptables-Paketfiltersystem. firewall-cmd ist das Dienstprogramm zum Verwalten der Firewall-Konfiguration. Der firewalld Daemon verwaltet Gruppen von Regeln mithilfe von Entitäten, die als „Zonen“ bezeichnet werden. Zonen sind wie Regelsätze, die festlegen, welcher Datenverkehr zugelassen werden soll, anhand des Vertrauen der Netzwerke, mit denen der Computer verbunden ist. Den Netzwerkschnittstellen wird eine Zone zugewiesen, um das Verhalten festzulegen, das die Firewall zulassen soll.

Ein Netzwerk Interface zur Default Zone public zuweisen, unter Verwendung des firewall-cmd Tools, mit dem Kommand zur Überprüfung von Zonen und Interfaces.

$ sudo firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces:
  sources:
  services: dhcpv6-client https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="10.10.10.1" reject

Erscheint bei interfaces keine Netzwerk Schnittstelle, muss dieses der Zone noch zugeweisen werden, dazu mit ip oder ifconfig (net-tools) die Schnittstellen abfragen.

$ ip link
$ ip addr
$ ifconfig

Hier bei einem virtuellen Debian (buster) ist es Link 2 ens33.

Das Interface ens33 wird zur Default Zone public zugewiesen.

$ sudo firewall-cmd --zone=public --change-interface=ens33

Das zur Zone zugewiesene Interface überprüfen mit der Ausgabe.

$ firewall-cmd --get-active-zones
public
  interfaces: ens33
$ sudo firewall-cmd --zone=public --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: ens33
  sources:
  services: dhcpv6-client https ssh
  ports:
  protocols:
  masquerade: no
  forward-ports:
  source-ports:
  icmp-blocks:
  rich rules:
        rule family="ipv4" source address="10.10.10.1" reject

Das Interface ens33 ist nun mit der Zone verbunden.

Fail2ban und Firewalld Interaktion

Fail2ban (Fehlschlag führt zum Bann) ist ein in Python entwickeltes IPS und Framework zur Vorbeugung gegen Einbrüche, das für alle Unixoide OS verfügbar ist, die ein manipulierbares Paketfiltersystem oder eine Firewall besitzen wie iptables oder firewalld.

Beim Script (oben), wird falls vorhanden und ausgeführt, die von Fail2ban verbannten (banned) Adressen nach der manipulation von firewalld, von fail2ban wieder hergestellt.

firewall-cmd add | remove source addr

Mit firewall-cmd verdächtige Anfragen durch die Firewall ablehnen.

$ sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.10.10.1" reject'

Die abgelehnte IP-Adresse kann wieder entfernt werden.

$ sudo firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="10.10.10.1" reject'

Jede änderung wird mit firewall-cmd –reload aktiviert.

$ sudo firewall-cmd --reload

Anwendung und Hilfe zu firewall-cmd

$ sudo firewall-cmd --zone=public --list-all

Ausgabe der geänderten und aktivierten Regel der Zone Public.

$ sudo firewall-cmd --list-all

Aktuelle Firewall Regeln überprüfen mit iptables.

$ sudo iptables -vxnL

Standardzone für Verbindungen und Schnittstellen ausgeben.

$ firewall-cmd --get-default-zone

Eine Zone zur Defaultzone festlegen.

$ sudo firewall-cmd --set-default-zone=zone_name

Derzeit aktive Zonen ausgeben.

$ firewall-cmd --get-active-zones

Vordefinierte Zonen ausgeben.

$ firewall-cmd --get-zones

Hilfe und man page von firewall-cmd ausgeben.

$ firewall-cmd --help
$ man firewall-cmd