Ist ein Kennwort zu einfach (Name des Partners, der Kinder oder Haustiere), knackt ein Wörterbuchangriff es in Windeseile. Anwender, die sich nicht selbst etwas ausdenken möchten, oder Admins, die Dutzende von sicheren Passwörtern im Akkord generieren müssen, erhalten Hilfe von Pass 12. Das Tool erstellt komplexe Kennwörter, die aus zwölf Zeichen bestehen. Neben dem Standard-Latin-Zeichensatz verwendet Pass 12 auch Ziffern und Sonderzeichen.

Das C-Programm nutzt »/dev/urandom« , liest 16 Byte zufällige Daten aus und überträgt sie mit der Base64-Funktion in eine Ascii-Zeichenfolge. Auf Windows-Systemen verwendet Pass 12 in Ermangelung eines »urandom« -Device die Crypt-Gen-Random-Funktion des Crypto-API, um die 16 Byte Zufallsdaten zu erzeugen. Ohne Parameter aufgerufen erzeugt das Tool genau ein Passwort. Benötigt ein Anwender mehrere, übergibt er eine beliebige Ziffer im Aufruf. Alle neu generierten Kennwörter schreibt Pass 12 auf die Standardausgabe.

Pass 12 erstellt schnell ausreichend komplexe Kennwörter. Wer hingegen spezielle Anforderungen stellt und Passwörter sucht, die man aussprechen kann oder die immer mit einem Buchstaben anfangen, der sollte zu einer alternativen Lösung greifen.

Daytime hält das Systeme up to date. Das kleine Tool zeigt wahlweise die aktuelle Zeit an oder aktualisiert die System- und Hardware-Uhr eines Rechners. Für Ersteres kommt der Parameter »-s« zum Einsatz, Zweiteres verlangt nach »-r« . Beide Aktionen benötigen Rootrechte. Daytime läuft nicht als Dienst im Hintergrund, sodass Anwender es für jeden Abgleich gezielt aufrufen müssen.

Zur Ermittlung der Uhrzeit zapft Daytime mehrere Quellen im Internet an. Neben dem klassischen NTP-Protokoll (»-sntp« ) unterstützt das Tool auch Daytime- (»-daytime« ) und Time-Protokolle (»-time« ). Selbst via HTTP ermittelt es (»-http« ), was die Stunde geschlagen hat – ideal, falls eine restriktive Firewall die gängigen Protokolle blockiert.

Wenn der Anwender keinen Server beim Aufruf übergibt, bedient sich Daytime seiner eigenen Zeitserver-Liste. Welche Stellen es dazu kontaktiert, verrät der Befehl »daytime -servers« . Ist der gewünschte Zeitdienst nicht auf dem Standardport verfügbar, können Nutzer über »-p Port« einen anderen beim Aufruf angeben.

Daytime ist dank vieler verschiedener Quellen im Netz stets auf der Höhe der Zeit. Einziges Manko ist, dass es nicht als Daemon im Hintergrund arbeitet. Dafür punktet es mit seiner leichten Bedienung.

Anwender, die via SSH mit einem System verbunden sind und darauf arbeiten, können meist nicht auf Anhieb sagen, ob sie sich in einer virtuellen Umgebung befinden oder nicht. Das Perl-Skript Imvirt verschafft mit einem einfachen Aufruf Klarheit darüber; Parameter kennt es nicht. Es nutzt im Hintergrund die Perl-Bibliothek »libimvirt« und durchforstet das System nach VM-typischen Hinweisen wie Bootmeldungen, Device-Bezeichnungen oder installierten Tools.

Imvirt spürt nicht nur Klassiker wie VMware, Virtualbox und Xen auf, sondern auch Open VZ/Virtuozzo, Virtual PC/Virtual Server und LXC. Qemu und KVM sind derzeit noch als experimentell auf der Homepage gekennzeichnet. Da Imvirt bei der Ermittlung auf das Tool Dmidecode zurückgreift, das wiederum das Device »/dev/mem« kontrolliert, sind Rootrechte beim Aufruf erforderlich. Wie zuverlässig Imvirt tatsächlich arbeitet, lässt sich nicht genau sagen. Im Test erkannte das Tool eine VMware-Player-Session als »physical« , daher gibt es momentan noch Punktabzug.

Mit Imvirt vergewissern sich Anwender schnell, ob ein System eine virtuelle Maschine ist – allerdings sind beim Einsatz wie auch bei vergleichbaren Skripten Rootrechte nötig.

Derleistungsfähige Port-Bouncer Barefootd leitet eingehende TCP-Verbindungen oder UDP-Pakete an einen anderen Rechner um oder weiter. Damit eignet sich der Service als Zugangspunkt für externe Verbindungen, die er entweder weiterreicht oder blockt. Für den Client geschieht alles transparent, die Konfiguration findet auf Barefootd-Seite statt.

Die Einrichtungsdatei gliedert sich in drei Bereiche für die Servereinstellungen, Regeln und Routen. Für den Server bestimmt der Nutzer die Adresse, auf der das Tool lauscht, die interne Adresse und die Logdatei. Stehen mehrere externe Adressen bereit, kann er auch eine Rotation zwischen diesen einrichten.

Die Regeln definieren die Umleitung. Jede Regel besteht aus einem Block mit Regelsätzen. Barefootd unterscheidet dabei zwischen »client block« und »client pass« . Weitere Optionen wie »redirect« , »maxessions« oder »bandwith« bestimmen das Verhalten der jeweiligen Regel. Die Routen sind ähnlich aufgebaut und enthalten ebenfalls mehrere Blöcke mit Definitionen.

Das Archiv enthält Beispiele, die den Einsatz von Regeln und Routen veranschaulichen. Ein Fehler hat sich allerdings bei den Regeln eingeschlichen: Hier fehlt das Schlüsselwort »client« , das einen Block einleitet. Anwender, die ihre eigene Konfiguration zunächst testen möchten, können das mit dem Aufruf »barefootd -V« gefahrlos tun.

In einer DMZ eingesetzt sorgt Barefootd dafür, dass die eigentlichen Server im Hintergrund bleiben. Ein weiteres mögliches Einsatzszenario ist die virtuelle Zusammenführung mehrerer Dienste, die nach außen hin wie ein Rechner auftreten.

WasTop für die Prozesse, ist Iptstate für IPtables-Verbindungen. Der Monitor schaut auf die Stateful-Tabellen einer Firewall und erlaubt es Anwendern, in Echtzeit zu kontrollieren, welche Verbindungen gerade aktiv sind. Genau wie Top stellt das Tool die Verbindungen in einer übersichtlichen Liste dar, die in der Voreinstellung nach Quelladressen sortiert ist. Alternativ kann der Anwender die Informationen auch nach Zieladressen, Übertragungsprotokollen oder TTL ordnen, eine inverse Darstellung ist ebenfalls möglich.

Wenn nicht anders angegeben, aktualisiert Iptstate seine Anzeige regelmäßig. Das Intervall übergibt der Nutzer hinter dem Parameter »-R« . Ist das nicht gewünscht, sorgt »-1« für eine Momentaufnahme und führt Iptstate genau einmal aus. In der Iptstate-Liste navigieren Anwender genau wie in Top. Über einen Druck auf [B] besteht zudem die Möglichkeit, die Sortierreihenfolge im laufenden Betrieb zu ändern.

Zur besseren Orientierung hebt das Tool die einzelnen Protokolle farblich hervor. Ist das nicht gewünscht, schaltet die Option »-c« in den Schwarz-Weiß-Modus. Verschiedene Filter blenden außerdem gezielt Einträge aus. Vorgesehen sind Ports, Protokolle, Quell- und Zieladressen. In der Standardeinstellung ersetzt Iptstate IP-Adressen durch Hostnamen. Auf stark ausgelasteten Systemen ist dies jedoch nicht empfehlenswert, da die notwendige DNS-Abfrage zeitintensiv ist. Der Schalter »-L« deaktiviert den DNS-Lookup.

Wer wissen möchte, welche Verbindungen eine Firewall gerade offenhält, für den ist Iptstate ein praktischer Monitor. Das Tool stellt die erfassten Informationen optisch ansprechend dar.

Der Name ist Programm bei diesem Tool. Mit Argusaugen wacht Monitorix über Dienste und Ressourcen eines Systems. Die History und den aktuellen Status erreichen Anwender über eine Webseite. Verschiedene Graphen stellen den Systemzustand übersichtlich dar. Auf Wunsch alarmiert Monitorix den Anwender, falls ein Schwellenwert überschritten wird. In der Voreinstellung beobachtet das Tool System- und Kernelaktionen, Netzaktivitäten und »/proc« -Dateisysteme. Optional observiert es auch Webserver, Proxydienste oder Datenbanken.

Monitorix besteht aus mehreren Komponenten. Das Perl-Skript »monitorix« sammelt als Dienst im Hintergrund die Daten. Die Webseiten mit den Ergebnissen erzeugt das CGI-Skript »monitorix.cgi« . Zudem enthält das Quellarchiv zahlreiche Helferskripte, die Monitorix etwa in den System-V-Bootvorgang integrieren. Ebenfalls dabei sind Konfigurationsbeispiele für die Nutzung mit Apache, Light HTTPD und Logrotate.

Die Einrichtung erfolgt über die Datei »/etc/monitorix.conf« , in der Anwender die Pfade festlegen und die Logs angeben, die das Tool im Auge behalten soll. Die Konfiguration definiert ebenfalls, für welche Komponenten Monitorix Daten erfasst. Diese landen im RRD-Format in dem Verzeichnis »/var/lib/monitorix« , das CGI-Skript erzeugt daraus die grafischen Statistiken für die tägliche, wöchentliche, monatliche und jährliche Auslastung.

Monitorix ist eine vielseitige lokale Monitoring-Lösung, die wichtige Komponenten überwacht und mit einer umfangreichen und übersichtlichen Darstellung punktet. (U. Vollbracht/hej)