Werkzeuge im Kurztest

SSH-Forcecommand 1.0

Flexible Forcecommand-Erweiterung

Quelle: http://derf.homelinux.org/projects/ssh-forcecommand

Lizenz: WTFPL

Alternativen: Cluster Shell

Wer die Remote-Zugriffsmöglichkeiten von Benutzerkonten eingrenzen möchte, der greift zur SSH-Direktive »Force Command« . Diese schränkt Nutzer so ein, dass sie nur vom Admin erlaubte Programme auf dem entfernten Rechner ausführen dürfen. Anwendungen und den Schlüssel der Benutzer hinterlegt der Systemverwalter dazu in der Datei »authorized_keys« . Das Perl-Skript SSH-Forcecommand gibt dem Admin nun die Möglichkeit, mehr als nur einen Befehl pro Benutzerkonto zu hinterlegen.

In »~/.ssh/authorized_keys« trägt er dazu das Skript als »ssh-forcecommand« -Programm ein. Außerdem gibt er die jeweilige Konfigurationsdatei an. Deren Struktur ist relativ übersichtlich. Jede Zeile beginnt mit einem Schlüsselbegriff, gefolgt von einem ausführbaren Befehl mit allen Parametern, den der Anwender später via »ssh-forcecommand« ausführen darf. Weitere Kommandos sind nicht erlaubt, der Nutzer kann lediglich den festgelegten Schlüsselbegriff an SSH übergeben.

   Dank SSH-Forcecommand kann der Admin die Forcecommand-Funktion von SSH viel flexibler gestalten und nutzen. Das Tool eignet sich daher ideal für alle Systemverwalter, die Anwendern zwei oder mehr Befehle auf dem entfernten Rechner erlauben möchten.

Chrony 1.26

Systemzeit aktuell halten

Quelle: http://chrony.tuxfamily.org

Lizenz: GPLv2

Alternativen: XNTP, NTPD

Chrony sorgt via NTP-Protokoll dafür, dass die Systemuhr von Rechnern stets aktuell ist. Im Gegensatz zu XNTP oder NTPD empfiehlt sich das Tool auch dann, wenn nicht permanent eine Internetverbindung und damit Zugriff auf einen externen Zeitserver besteht.

Der praktische Helfer besteht aus den zwei Komponenten Chronyd und Chronyc, einem Daemon und einem Client für die Kommandozeile. Der Daemon überwacht die Systemzeit und passt sie – wenn nötig – an. Sämtliche Einstellungen dazu enthält die Datei »/etc/chrony.conf« . Das Archiv auf der Projektseite liefert zwei Beispielkonfigurationen, die Anwender als Vorlage heranziehen können. Zur interaktiven Konfiguration und Steuerung des Zeitservers ist der Client Chronyc dabei, der Wünsche des Benutzers als Aufrufparameter beim Start oder in einer interaktiven Shell entgegennimmt. Alle Befehle sind nur zur Laufzeit gültig. Für dauerhafte Änderungen ist die Konfigurationsdatei anzupassen.

Optional bietet Chrony einen Offlinemodus, in dem der Daemon beim Start nicht versucht die aktuelle Zeit aus dem Netz zu erfragen. Besteht zu einem späteren Zeitpunkt dann eine Internetverbindung, nimmt »chronyc online« Kontakt zu anderen NTP-Servern auf. Die Dokumentation auf der Webseite bietet einige Anwendungsbeispiele für die Integration in Skripte, zum Beispiel in Kombination mit dem Start einer PPP-Verbindung.

   Chrony sorgt für die richtige Zeiteinstellung auf Rechnern, die nicht permanent online sind. Dank des mitgelieferten Clients Chronyc passt der Anwender die Konfiguration auch im laufenden Betrieb an.

SSLH 1.9

SSL/SSH-Multiplexer

Quelle: http://www.rutschle.net/tech/sslh.shtml

Lizenz: GPLv3

Alternativen: keine

Viele Nutzer kennen das: Eine Firewall verhindert den Zugriff auf ein Remotesystem über SSH oder Open VPN, weil sie die entsprechenden Ports blockiert. Es sind meist Hotspot- und Hotel-WLAN-Betreiber, die nur HTTP und HTTPS zulassen. SSLH schafft hier Abhilfe.

Der Wrapper für SSL-, SSH- und VPN-Verbindungen wartet an einem frei definierbaren Port auf eingehende Verbindungen und erkennt, ob es sich um SSL, SSH oder VPN handelt. Je nach Protokoll reicht er die Daten an die entsprechenden Web-, SSH- oder VPN-Server weiter. Die ursprüngliche IP-Adresse übermittelt er dabei nicht, für den jeweiligen Dienst sieht es so aus, als käme die Anfrage direkt vom SSLH-Rechner. Erkennt das Tool das Protokoll nicht, lenkt es die Verbindung zum SSH-Server, der alle Nicht-SSH-Verbindungen verwirft.

Die Konfiguration geschieht nur über Aufrufoptionen. Außer dem Port, an dem SSLH auf eingehende Verbindungen wartet, definieren Nutzer für jedes Protokoll die IP-Adresse und den Port, an den der Multiplexer die Anfrage weiterleitet.

   SSLH macht mehrere verschlüsselte Dienste über einen Port extern zugänglich und bahnt so Nutzern einen Weg, die über einen restriktiven Hotspot an die heimischen Daten wollen.

Vnstat 1.11

Monitor für Netzwerkverkehr

Quelle: http://humdi.net/vnstat

Lizenz: GPLv2

Alternativen: Ntop, Nload

Vnstat beobachtet den Datendurchsatz von Netzwerkinterfaces. Die Daten erhält das Tool, indem es die jeweiligen Einträge aus den »/proc« - und »/sys« -Verzeichnissen auswertet. Es legt sie in einer eigenen Datenbank unterhalb von »/var/lib/vnstat« ab; jede Schnittstelle erhält ihre eigene Datei.

Damit Vnstat regelmäßig Informationen sammelt, führt der Anwender das Update-Statement beispielsweise mit Cron aus. Im Quellarchiv ist aber auch ein Daemon enthalten, mit dessen Hilfe das Tool permanent im Hintergrund lauscht. Alle wichtigen Funktionen steuert der Anwender im Ad-hoc-Einsatz mit Aufrufparametern. Für die dauerhafte Verwendung empfiehlt sich jedoch eine Konfigurationsdatei. In dieser stehen neben den Schnittstellen und Analyse-Intervallen auch Angaben zur Bandbreite oder zum Layout der Ausgabe.

Zusätzlich übernimmt Vnstat das spätere Auswerten des Datendurchsatzes. Dazu stellt das Tool wahlweise die stündliche, tägliche oder monatliche Auslastung der jeweiligen Netzwerkschnittstelle zusammen. Ein Livemodus, der den Datendurchsatz in Echtzeit beobachtet, rundet die Featureliste ab.

   Der Monitor Vnstat eignet sich gleichermaßen für den Ad-hoc-Einsatz wie für den dauerhaften Betrieb.

Moe 1.4

Kompakter Texteditor für die Konsole

Quelle: http://www.gnu.org/software/moe/moe.html

Lizenz: GPLv3

Alternativen: Joe, Nano

Wer eine schlanke Alternative zu Vi und Emacs sucht, sollte sich Moe anschauen. Der Editor unterstützt Zeilen beliebiger Länge, führt zur besseren Lesbarkeit aber auf Wunsch auch einen sanften Zeilenumbruch durch. Ohne Begrenzung ist der Undo/Redo-Buffer, sodass versehentliche Änderungen nicht zum Verhängnis werden. Außerdem legt Moe Sicherungskopien für geöffnete Dateien an.

Bei Bedarf übergibt der Nutzer mehrere Dateien beim Start und Moe lädt diese in separate Buffer. Der Texteditor unterteilt das Anzeigefenster dann horizontal in gleich große Bereiche, zwischen denen die Tasten [F4] und [F5] hin- und herwechseln. Ein Druck auf [F11] blendet alle geöffneten Files ein. Eine globale Suchen-und-Ersetzen-Funktion arbeitet in allen Buffern, bei den Suchmustern versteht Moe reguläre Ausdrücke. Eine integrierte Hilfe erleichtert Neulingen und Gelegenheitsnutzern die Bedienung. Das Dokument rufen Nutzer über [F1] oder [Strg]+[H] auf den Plan.

Ein Menü, das unter anderem Zugriff auf die Konfiguration erlaubt, blendet der Anwender über [F10] ein. Hier schaltet er unter anderem die Case-sensitive Suche ab, passt die Standardzeilenlänge an und bestimmt, dass Moe keine Sicherungskopien mehr anlegt. Alle Konfigurationswünsche landen in der Datei »~/.moerc« . Einziger Wermutstropfen: Moe bearbeitet nur Dateien in Ascii- beziehungsweise ISO-8859-Kodierung.

   Moe eignet sich für jeden, der mit Vi, Emacs & Co. auf Kriegsfuß steht. Der flinke Texteditor deckt alle Basisfunktionen ab und bearbeitet auch mehrere Dateien gleichzeitig.

Tenshi 0.13

Logdateien im Auge behalten

Quelle: http://www.inversepath.com/tenshi.html

Lizenz: ISC License

Alternativen: Monit, Go Access

Tenshi hilft beim Überwachen und Analysieren von Logdateien. Das Tool durchforstet die Protokolle, maskiert mit Hilfe von regulären Ausdrücken bestimmte Einträge und macht die Logs so übersichtlicher und besser lesbar. Welche Logdateien das Perl-Skript überprüft und unter welcher Benutzerkennung es läuft, definiert der Anwender in der Datei »/etc/tenshi.conf« . Optional trägt er hier mehrere Protokolle ein, die Tenshi im Auge behalten soll. Wer gleich mehrere Computer überwachen möchte, kann das Tool auch im Syslog-Modus betreiben. In diesem wartet Tenshi an Port 514 auf eingehende Syslog-Verbindungen und reagiert dann wie ein gewöhnlicher Syslog-Server.

Über so genannte Queues verschickt Tenshi Einträge via Mail, auf die ein bestimmtes Suchmuster zutrifft. Jede Queue führt einen eindeutigen Namen, eine Absenderadresse, einen Empfänger, eine Betreffzeile und einen Cron-ähnlichen Intervallblock. Letzterer legt die Abstände fest, in welchen das System den Anwender informiert. Neben den vier Standardqueues kann der Nutzer auch eigene Regeln erstellen. In der Konfigurationsdatei definiert er zudem Filterfunktionen und bereitet so das Suchergebnis vor dem Versand auf. Außerdem ist es möglich, die Sortierreihenfolge anzupassen und eine Resolvefunktion zu aktivieren, die alle IPs durch den zugehörigen Fully Qualified Domain Name ersetzt.

   Tenshi überwacht und analysiert zuverlässig eines oder mehrere Logfiles. Die Ergebnisse gestaltet das Tool übersichtlich und verschickt sie vollautomatisch.