Schlagwort-Archive: Linux

Unixähnliche Mehrbenutzer-Betriebssysteme, die auf dem Linux-Kernel und wesentlich auf GNU-Software basieren. Wie CentOS, Debian, Ubuntu Fedora.

Workaround

Betriebssystem Installationsdatum

21. September 2019 Don Matteo Schreibe einen Kommentar

Feststellen wann der Computer eingeschalten wurde, oder erstmals in Betrieb genommen wurde. Wann wurde das Betriebssystem und der letzte Update installiert.

Windows Installationsdatum

Bei Windows 10 wird der Zeitpunkt, bei diesem das System installiert wurde, mit systeminfo abgerufen, durch öffnen der Eingabeaufforderung und Eingabe folgender Zeile.


systeminfo | find "Installationsdatum"

1 2	systeminfo \| find "Installationsdatum"

Die Ausgabe zeigt das Datum und die Uhrzeit an diesem das System installiert wurde.

Der Zeitpunkt der Installation lässt sich auch mit PowerShell abfragen, dazu folgender Befehl in der PowerShell ausführen.


([WMI]'').ConvertToDateTime((Get-WmiObject Win32_OperatingSystem).InstallDate)

1 2	([WMI]'').ConvertToDateTime((Get-WmiObject Win32_OperatingSystem).InstallDate)

Die Ausgabe zeigt das Datum und die Uhrzeit an diesem das System installiert wurde.

Ermittelt werden kann auch wann das letzte Funktionsupdate oder Kumulative-Update installiert wurde.


PS C:\> wmic os get installdate
InstallDate
20190831140650.000000+120

PS C:\>

PS C:\> wmic os get installdate

InstallDate

20190831140650.000000+120

PS C:\>

2019 steht für das Jahr
08 steht für den Monat
31 steht für den Tag
14 steht für die Stunde
06 steht für die Minute
50 steht für die Sekunde

Seit wann läuft der Computer?

Feststellen seit wann der Windows Computer läuft, also der Zeitpunkt des letzten System-Start mit Datum und Uhrzeit.


net statistics workstation | find "Statistik"

1 2	net statistics workstation \| find "Statistik"

In der Eingabeaufforderung zeigt die Ausgabe das Datum und die Uhrzeit, an diesem das Windows System gestartet wurde.

Die Zeile Statistik seit: zeigt Datum und Uhrzeit des System-Start.

Seit wann läuft der Server?

Um zu ermitteln seit wann der Windows Server läuft, kann der Zeitpunkt des letzten System-Start mit Datum und Uhrzeit ausgegeben werden.


net statistics server | find "Statistik"

1 2	net statistics server \| find "Statistik"

Die Ausgabe zeigt das Datum und die Uhrzeit an diesem der Windows Server gestartet wurde.

Die Systemstartzeit kann auch mit dem Befehl systeminfo ermitelt werden.


systeminfo | find "Systemstartzeit"

1 2	systeminfo \| find "Systemstartzeit"

Die Ausgabe zeigt das Datum und die Uhrzeit der Systemstartzeit, an diesem der Windows Server gestartet wurde.

Wie lange läuft Linux?

Bei Linux und macOS kann die Ausgabe der Zeit seit dem letzten System-Start im Terminal ausgeben werden. Der Befehl uptime zeigt die aktuelle Uhrzeit sowie die bisher verstrichene Zeit an, seit dem das System das letzte Mal eingeschalten wurde.


~$ uptime
 12:51:29 up 1016 days, 22:14,  2 users,  load average: 0.00, 0.00, 0.00

~$ uptime

12:51:29 up 1016 days, 22:14, 2 users, load average: 0.00, 0.00, 0.00

Ebenfalls im Terminal kann ausgegeben werden, wann der Linux Rechner oder der Mac die letzten Male neugestartet wurde. Durch Eingabe des Befehl last reboot erscheint eine Liste der Zeitpunkte der letzten System-Neustarts. Mit last shutdown lässt sich eine Liste der letzten System-Abschaltungen anzeigen.

Task-Manger Betriebszeit

Windows ermöglicht neben der Command Line Version auch eine Grafische Anzeige der Systemstartzeit, durch die Tastenkombination Strg + Shift + Esc wird der Task-Manager gestartet, mit Angabe der Betriebszeit im Register Leistung.

Linux

sudo Passwort Timeout Erweitern

24. Juli 2019 Don Matteo Schreibe einen Kommentar

sudo-Passwort Eingabe

Auch Systemverwalter authentifizieren sich als normale Benutzer und verwenden sudo, wenn administrative Aufgaben erledigt werden. Beim ersten Aufruf fragt sudo die Kennwort Eingabe des Benutzers, dieser sudo berechtigt ist.

Der Standard-Passwort-Timeout beträgt 15 Minuten. Wenn also sudo innerhalb von 15 Minuten (900 Sekunden) ein weiteres mal ausgeführt wird, bleibt die Aufforderung das Kennwort erneut einzugeben aus.

timestamp_timeout:

Der timestamp_timeout definiert die Anzahl Minuten, die vergehen bevor sudo erneut nach dem Passwort fragen soll. Bearbeite zum Ändern des timestamp_timeout die Datei /etc/sudoers.

Ich empfehle visudo zu verwenden, um die Datei /etc/sudoers zu bearbeiten. Füge den Wert timestamp_timeout zur Zeile „Defaults“ in der Datei /etc/sudoers ein.


$ sudo su
# grep Defaults /etc/sudoers

$ sudo su

# grep Defaults /etc/sudoers

Die Standardeinstellung ist env_reset


# sudo visudo

1 2	# sudo visudo

Editiere sudoers so das die Zeile Defaults wie folgt aussieht:


Defaults    env_reset,timestamp_timeout=-0

1 2	Defaults env_reset,timestamp_timeout=-0

timestamp_timeout=-1 (minus eins) bewirkt, dass das sudo-Passwort nie abläuft.

Bei Ubuntu/Debian Distributionen hat die Option -0 nicht funktioniert. Ein höheren Wert zB. 60 wird akzeptiert.

timestamp_timeout=0 (null) bewirkt, dass das sudo-Kennwort alle 0 (null) Sekunden abläuft. Dies bedeutet, dass mit jedem aufruf von sudo nach dem Kennwort gefragt wird.

Workaround

FortiGate Sniffer Output in Wireshark

20. Juli 2019 Don Matteo Schreibe einen Kommentar

diag sniffer packet via Pipe an Wireshark

Fortinet beinhaltet bei ihren FortiGate Appliance den in FortiOS mit eingebauten Packet Sniffer, zur Analyse von Paketweiterleitungen. Bei umfangreichen Analysen mit der Anwendung von Filtern, zeigt sich die Auswertung in der Console als unkomfortabel.

In diesem Post wird gezeigt, wie unter Linux ein Sniffer Packet Output direkt via Pipe von Wireshark gelesen wird. Falls Wireshark noch nicht installiert sein sollte, wird das Paket für die entsprechende Distribution wie folgt bereitgestellt.


# Fedora
$ sudo dnf -y install wireshark

# CentOS, RHEPL
$ sudo yum -y install wireshark

# Debian, Ubuntu, Linux Mint
$ sudo apt-get install wireshark

# Fedora

$ sudo dnf -y install wireshark

# CentOS, RHEPL

$ sudo yum -y install wireshark

# Debian, Ubuntu, Linux Mint

$ sudo apt-get install wireshark

Damit Wireshark als non-root User ausführbar wird, ist bei Ubuntu folgender Befehl aus dem Terminal auszuführen.


$ sudo dpkg-reconfigure wireshark-common

1 2	$ sudo dpkg-reconfigure wireshark-common

Bei der Auswahl die bei der Wireshark Reconfigartion erscheint, wird YES gewählt, bei i18n Einstellung deutsch ist es JA.

Die Red Hat Distributionen CentOS und Fedora erfordern die folgenden Befehle zur Ausführung, so auch bei Ubuntu.


$ sudo gpasswd -a $USER wireshark
$ sudo usermod -a -G wireshark $USER

$ sudo gpasswd -a $USER wireshark

$ sudo usermod -a -G wireshark $USER

FortiGate Sniffer Wireshark Analyse

Wireshark zum Analysier einer FortiGate machen, mit dem Output von diagnose sniffer packet, dazu den Script sdump.pl hier herunterladen und ausführbar machen.


$ chmod +x sdump.pl
$

$ chmod +x sdump.pl

Nun wird in einem Terminal eine SSH Verbindung zur Firewall aufgebaut, um den Output direkt via Pipe an Wireshark zu senden.


$ ssh -l   "diag sniffer packet any 'ip' 3 0 l" | ./sdump.pl - | text2pcap - - | wireshark -k -i -
$

$ ssh -l "diag sniffer packet any 'ip' 3 0 l" | ./sdump.pl - | text2pcap - - | wireshark -k -i -

Es wird via SSH der Sniffer auf der FortiGate gestartet, sdump.pl liest Output von STDIN, erzeugt den hexdump 16 Bytes space-delimited, text2pcap formatiert den hexdump in das PCAP Format, um dann den Output in Wireshark einzulesen und zu analysieren.

Erscheint beim Aufruf von Wireshark folgende Ausgabe:

couldn’t run /usr/bin/dumpcap in child process: Permission Denied.

Wurde bis hier noch nicht neu eingeloggt! Ferner ist wahrscheinlich noch folgende Zuweisung erforderlich.


$ sudo chgrp wireshark /usr/bin/dumpcap
$ sudo chmod +x /usr/bin/dumpcap

$ sudo chgrp wireshark /usr/bin/dumpcap

$ sudo chmod +x /usr/bin/dumpcap

Filter werden zwischen Hochkommata eingebunden, wie folgende Beispiele zeigen.


# Filter Session Initiation Protocol (SIP)
'udp port 5060'

# Capture non-HTTP and non-SMTP traffic
'host www.example.com and not (port 80 or port 25)'

# Die Traffic zum eigenen Rechner ausfiltern.
'host 10.10.10.1 and not host 10.10.10.2'

# Filter Session Initiation Protocol (SIP)

'udp port 5060'

# Capture non-HTTP and non-SMTP traffic

'host www.example.com and not (port 80 or port 25)'

# Die Traffic zum eigenen Rechner ausfiltern.

'host 10.10.10.1 and not host 10.10.10.2'

Der Perl-Script sdump.pl kann im Terminal mit Copy Paste der folgenden Zeilen angelegt werden, oder hier per Download bereitstellen.


cat > sdump.pl << "EOF"
#!/usr/bin/perl

use strict;
use warnings;

our $help = "
 Usage: $0 <sniffer dump file> 
 Option - (dash) read from stdin
 ex. ssh -l admin \<fortigate ip or fqdn\> \"diag sniffer packet any 'ip' 3 0 l\" | $0 - | text2pcap - - | wireshark -k -i -
\n";

our $sdump;
our ($input) = $ARGV[0];

if (not defined $input) {
  die "$help\n";
}

if ( -e $input ) {
        open  ($sdump, qq(\x3C), $input);
} elsif ( $input =~ /^-$/ ) {
        $sdump = *STDIN;
} else {
        die "\nError in open dump $input may not exist or unable to read!\n $help";
}

while (<$sdump>) {
        if ( /^\d+-\d+-\d+\s+\d+:\d+:\d+\.\d+/ ) {
                our ($date, $time) = /^(\d+-\d+-\d+)\s+(\d+:\d+:\d+\.\d+)\s+/;
                print $date . qq(\x20) . $time . "\n";
        } elsif ( /^$/ ) {
                print;
        } elsif ( /^0x/ ) {
                s/0x/00/;
                s/^(\w+)\s+(.*)\t(.*)/$1 $2/;
                our ($hex, $x1, $x2, $x3, $x4, $x5, $x6, $x7, $x8, $null) = split ' ';
                print $hex . '  ';
                foreach our $out ( $x1, $x2, $x3, $x4, $x5, $x6, $x7, $x8 ) {
                        if ( $out ) {
                                substr $out, 2, 0, qq(\x20);
                                print $out . qq(\x20);
                        }
                }
                print "\n";
        }
}
EOF

cat > sdump.pl << "EOF"

#!/usr/bin/perl

use strict;

use warnings;

our $help = "

Usage: $0 <sniffer dump file>

Option - (dash) read from stdin

ex. ssh -l admin \<fortigate ip or fqdn\> \"diag sniffer packet any 'ip' 3 0 l\" | $0 - | text2pcap - - | wireshark -k -i -

\n";

our $sdump;

our ($input) = $ARGV[0];

if (not defined $input) {

die "$help\n";

}

if ( -e $input ) {

open ($sdump, qq(\x3C), $input);

} elsif ( $input =~ /^-$/ ) {

$sdump = *STDIN;

} else {

die "\nError in open dump $input may not exist or unable to read!\n $help";

}

while (<$sdump>) {

if ( /^\d+-\d+-\d+\s+\d+:\d+:\d+\.\d+/ ) {

our ($date, $time) = /^(\d+-\d+-\d+)\s+(\d+:\d+:\d+\.\d+)\s+/;

print $date . qq(\x20) . $time . "\n";

} elsif ( /^$/ ) {

print;

} elsif ( /^0x/ ) {

s/0x/00/;

s/^(\w+)\s+(.*)\t(.*)/$1 $2/;

our ($hex, $x1, $x2, $x3, $x4, $x5, $x6, $x7, $x8, $null) = split ' ';

print $hex . ' ';

foreach our $out ( $x1, $x2, $x3, $x4, $x5, $x6, $x7, $x8 ) {

if ( $out ) {

substr $out, 2, 0, qq(\x20);

print $out . qq(\x20);

}

print "\n";

}

EOF

Die Script Datei sdump.pl verschiebt man nun nach /usr/bin als sdump, und wird ausführbar gemacht.


$ sudo mv sdump.pl /usr/bin/sdump
$ sudo chmod 755 /usr/bin/sdump
$

$ sudo mv sdump.pl /usr/bin/sdump

$ sudo chmod 755 /usr/bin/sdump

Jetzt kann das CLI command diag sniffer packet über SSH Authentifizierung auf der FortiGate ausgeführt werden, um anschlissend via Pipe den Output in Wireshark zu analysieren.


$ ssh -l admin 10.10.10.1 "diag sniffer packet any 'not host 10.10.10.2' 3 0 l" | sdump - | text2pcap - - | wireshark -k -i -
Input from: Standard input
Output to: Standard output
Output format: pcap
admin@10.10.10.1's password:

$ ssh -l admin 10.10.10.1 "diag sniffer packet any 'not host 10.10.10.2' 3 0 l" | sdump - | text2pcap - - | wireshark -k -i -

Input from: Standard input

Output to: Standard output

Output format: pcap

admin@10.10.10.1's password:

Bei Umgebungen mit erhöhter Netzwerk Traffic ist zu berücksichtigen, das eine Reduzierung durch Mitschnittfilter erreicht werden sollte.

Eine weitere Anwendung besteht darin, den PCAP Output in eine Dump Datei zu speichern, mit der Möglichkeit, die Analyse später mit Wireshark oder anderen Protocol Analyzer vornehmen zu können. Hierbei kommt folgende Zeile zur Anwendung.


$ ssh -l admin 10.10.10.1 "diag sniffer packet any 'not host 10.10.10.2' 3 0 l" | sdump - | text2pcap - - > sniffer.dump

1 2	$ ssh -l admin 10.10.10.1 "diag sniffer packet any 'not host 10.10.10.2' 3 0 l" \| sdump - \| text2pcap - - > sniffer.dump