IT security, FreeBSD, Linux, mail server hardening, post-quantum crypto, DNS, retro computing & hands-on hardware hacks. Privater Tech-Blog seit 2003.
Nützliche Tools, Software-Empfehlungen und Praxistipps für den Alltag von Admins und Technik-Enthusiasten.
Wie löscht man noch gleich alle Dateien in einem Verzeichnis die älter sind als 30 Tage?
So:
# find /dateipfad/ -type f -mtime +30 -exec rm {} \;
Klappt prima in Bash Scripten, zum Beispiel wenn man per Script die alten Datensicherungen löschen möchte.
Fragen? Einfach melden.
Man man man… Da bittet ein Kollege um ein Zertifikat, ich schraube das schnell zusammen und schiebe es im als .PEM – Base64-kodiertes Zertifikat, umschlossen von „—–BEGIN CERTIFICATE—–“ und „—–END CERTIFICATE—–“ zu.
Nun versucht dieser das Zertifikat auf seinem Windows Server zu importieren. Klappt aber so einfach nicht. Microsoft hätte nämlich gerne das Zertifikat als .PFX (.P12 – PKCS#12, kann öffentliche Zertifikate und private Schlüssel (Kennwort-geschützt) enthalten.) Macht ja auch Sinn wenn es eh in einer Zertifikatsverwaltung liegt und dass ganze Kennwortgeschützt ist. So ist es etwas sicherer, wenn die Datei mal jemanden in die Hände fällt, der es nicht haben soll!
Wie also nun aus PEM ein PFX machen? Openssl hilft:
# openssl pkcs12 -export -out telefon.de.pfx -inkey telefon.de.key -in telefon.de.crt -certfile CACert.crt
telefon.de.key sowie telefon.de.crt sollten wir beim einfachen erstellen des Zertifikates per Openssl ja bereits haben. CACert.crt ist einfach der Zertifikat der CA, mit welchem unsere CSR unterschrieben wurde. Noch Fragen?
Siehe auch: Elliptic Curve Zertifikate mit OpenSSL
Fragen? Einfach melden.
Vor einiger Zeit ist mir ein Buch mit dem Titel: „Kabelsalat: Wie ich einem kaputten Kabel folgte und das Innere des Internets entdeckte“ empfohlen worden. Die Zeit ein Buch zu lesen habe ich leider im Moment weniger. Die Beschreibung klang aber so spannend, dass ich mir das Buch besorgte. Bestellt und geliefert ist so ein Buch ja schnell.
Inzwischen habe ich es auch gelesen. Das Buch ist –nicht schlecht-. Das Thema des Buches, die Beschreibung der Reise und vor allem die besuchten Orte sind sehr einmalig und nett beschrieben. Alles ist dabei nicht so technisch, dass man es nicht verstehen würde. Ich glaube selbst meine Mutter könnte es ohne Probleme lesen und verstehen. Nur ist es eines dieser Bücher das man nur lesen kann, wenn man sich dafür interessiert. Das Buch ist also nicht schlecht, für jemanden der sich aber für das Thema und die groben Zusammenhänge des Internets interessiert, der sollte dieses Buch unbedingt lesen!
Ach ja, ISBN: 3813503887
Fragen? Einfach melden.
Die Windows Server-Sicherung (ab Server 2008) lässt sich über die Management Console bequem einsehen. Aber wer schaut da täglich rein? Ich wollte das über Nagios überwachen und habe dafür ein PowerShell-Script geschrieben.
Auf den zu überwachenden Systemen ist jeweils eine Vollsicherung (Bare Metal) eingerichtet, die ein- bis mehrmals am Tag startet. Mich interessiert nur eine Frage: Wann war die letzte erfolgreiche Sicherung, und ist diese älter als drei Tage? Warum, weshalb, wo, wie, was — ist mir im ersten Schritt egal. Ich will nur informiert sein, wenn es keine aktuelle Datensicherung gibt.
Das PowerShell-SnapIn Windows.ServerBackup liefert über Get-WBSummary eine Zusammenfassung der Sicherungen. Unter LastSuccessfulBackupTime steht das Datum der letzten erfolgreichen Sicherung.
Das Script vergleicht dieses Datum mit dem aktuellen: Ist die Sicherung von heute oder gestern, gibt es OK zurück. Bei zwei bis drei Tagen eine Warnung. Älter als drei Tage bedeutet CRITICAL. Zusätzlich erkennt es, ob die Befehlszeilentools nicht installiert sind und ob eine Sicherung über einen Tageswechsel hinweg noch läuft.
Download: backuptest.ps1 (aktuelle Version 0.3)
Über den Server-Manager muss unter Windows Server-Sicherungsfeatures das Feature Befehlszeilentools installiert sein. Ohne das SnapIn gibt es beim Start des Scripts eine Fehlermeldung. Außerdem muss die Execution Policy angepasst werden:
Set-ExecutionPolicy RemoteSigned
Das Script nach C:\scripte\ legen. Im NSClient++ die NRPE-Konfiguration erweitern. Der Aufruf eines PowerShell-Scripts über NSClient++ sieht beim ersten Hinschauen etwas seltsam aus:
[NRPE Handlers] command[check_windowsbackup]=cmd /c echo C:\scripte\backuptest.ps1 | powershell.exe -command -
Dazu muss NSClient++ natürlich als NRPE-Server konfiguriert sein:
[modules] NRPEListener.dll NRPEClient.dll [NRPE] port=5666 command_timeout=120 allowed_hosts=1.2.3.4 socket_timeout=120
Nach einem Neustart des NSClient++-Dienstes kann man vom Nagios-System aus testen:
$ check_nrpe -H 4.3.2.1 -p 5666 -t 120 -c check_windowsbackup OK: Backup von gestern
Die restliche Einrichtung in Nagios (Service, Host, Command) ist Standard.
Fragen? Einfach melden.
Habe ich überhaupt schon von meinem neusten Lieblingsgimmik berichtet? Nein? Nö nö nö….. Es nennt sich MOTDstat und „ersetzt“ die bekannte Message of the Day.
Im Grunde ist es ein kleines bash Script welches einem ausgewählte Systeminformationen beim Login anzeigt. Es hat sogar die Möglichkeit einem im Fall der Fälle eine E-Mail zu schicken, dieses überlasse ich dann aber doch lieber Nagios.
Nach dem Download installiert sich alles fast von allein.
$ make install
Damit alles regelmässig aktualisiert wird folgt man am besten dem Vorschlag der README und wird den folgenden Aufruf in seine crontab.
$ crontab -e */5 * * * * root /usr/bin/motdstat --generate 1>/dev/null 2>/dev/null
Damit wird der Zustand alle 5 Minuten aktualisiert und alle Infos zum CronJob landen im Nirwana!
Bei einem motdstat -g schiebt MOTDstat die eigentliche Datei /etc/motd in /etc/motd.ori und wirft den generierten Systemzustand in /etc/motd. Bei einem neuen Login wird diese nun gefolgt von der /etc/motd.ori augegeben. Testen lässt sich dieses mit einem:
$ motdstat -s
Einstellungen zum Script lassen sich unter /etc/motdstat vorneheme. Da ich meine Message of the Day so oder so immer anfasse um dort möglichst auffällig den Systemnamen erscheinen zu lassen (ich komme sonst mal schnell durcheinander), passt es ganz gut dazu. Es kann natürlich keine echte Überwachung ersetzten,ist aus meiner Sicht denn noch ein ganz nettes „Programm“.
So long…..
Fragen? Einfach melden.
Veraltet: Das Firefox-Addon Instantfox ist nicht mehr verfügbar. Firefox hat inzwischen eigene Adressleisten-Suchkürzel (keyword bookmarks), die dasselbe leisten.
Boar ist das geil. Ich kann mich daran erinnern ähnliches früher im Konqueror genutzt zu haben. Na ja in sehr abgespeckter Version.
g: suchbegriff in der Konqueroradresszeile suchte für mich direkt in google.
OK ok… Google. Chrome Benutzer sind es eh schon gewöhnt alles in die Adresszeile zu tippen und dann das Googleergebnis als gottgegeben hinzunehmen.
Ich möchte jetzt nicht Google schlecht machen oder gar verteufeln, keine Sorge. Ich halte es nur für gefährlich sich ausschließlich auf eine Meinung zu verlassen! In der letzten Zeit scheint ja Google und Facebook _DAS_ Internet für viele zu sein. Ich schweife ab….
Dieses Firefox Addon (Instantfox) erweitert die Adresszeile so dass man direkt in verschiedenen Diensten suchen kann. Glücklicherweise kann man sogar selbst bestimmen wo man sucht. Alles natürlich mit der bekannten Autovervollständigung.
Als kleines Beispiel, gibt man in die Firefox Adresszeile ein:
g Wurstsuppe
Schon sucht er bei Google nach Wurstsuppe.
m Hattingen, NRW
Schon sucht er bei Google Maps nach Hattingen in NRW.
a 250GB SSD
Schon sucht er bei Amazon nach einer 250GB SSD.
Mehr und besser bebilderte Beispiele finden sich auf der Webseite vom Instantfox.
Leider gewöhnt man sich schnell daran und wundert sich dann über „wirre“ Fehlermeldungen an Systemen ohne ein solches Addon. Mir macht es die Arbeit leichter und schneller. Ich denke mir, einen Blick ist es wert!
Fragen? Einfach melden.
Veraltet: goosh.org ist nicht mehr erreichbar. Das Projekt wird nicht mehr gepflegt.
Ich bin ein großer Freund von Konsolen. Aufgaben lassen sich hier meist viele schneller und einfacher erledigen als mit jeder GUI. Seit einiger Zeit nutze ich nun goosh.org als, sagen wir mal Google-Frontend. Schaut es euch einfach mal an!
Ich bin nur sehr selten an einem Ort, an welchem ich keine Internetverbindung nutzen kann. Noch seltener würde ich genau dann eine Internetverbindung benötigen. Wenn es dann aber so ist, dann benötige ich sie wirklich!
Nun komme ich in der letzten Zeit immer mal wieder an diese Stelle und ärgere mich. Oft ist zwar ein Kollege oder Bekannter in der Nähe, mit so einem feinen Android Mobiltelefon, nur hilft mir dieses beim Arbeiten auf einer SSH-Shell weniger. Ja, es geht aber wirkliches Arbeiten geht nicht… Zudem bin ich ein Mensch der seinen Windowmanager benutzt, sprich viele offene Fenster. Auf so einem kleinen Mobilding ist mir mehr als eine kurze E-Mail oder etwas Google klicker klacker einfach zu aufwändig.
Das Handy also als Modem mit dem Rechner verbinden? So selten wie ich es im Moment benötige, mich direkt 1 Jahr an einen 20€/Monat Tarif meines Anbieters zu binden? Ne, so geht das nicht….
Vor kurzem war ich nun im Blödmarkt unterwegs. Da lagen in der Grabbelkiste so 15 Euronen O2 Prepaid USB-Sticks.
Dem etwas überforderten Fachberater für die Dinger konnte ich mit etwas Mühe die Information entlocken, dass ich über dieses Angebot „echtes“ Internet erhalte. Damit ist gemeint, dass ich SSH-Sessions auf beliebigen Ports öffnen kann und auch mein IPv6 Tunnelbroker funktionieren sollte. ….Nebenbei, habt ihr im Blödmarkt mal gefragt ob ihr über was auch immer eine Verbindung zu einen IPv6 Tunnelbroker aufbauen könnt? Macht mal, ist lustig.
HTTP / SMTP / IMAP mit und ohne SSL/TLS alles kein Problem!
Mit der 5 Tage x 3,50€ = 17,50€ Sollte einem Test nichts im Wege stehen. Keine Grundgebühr oder sonstige laufenden Kosten… Ich brauche es nicht, ich zahle es nicht. Wenn ich also feststelle das ich es doch oft und gut nutze, so dass sich einer der Knebelverträge des Anbieters meines Vertrauens lohnen würde, dann kann ich das Teil wegwerfen und mich bewusst knebeln lassen. Anderweitig habe ich eine tolle Lösung für den Notfall!
Beim Kauf habe ich jetzt nicht darauf geachtet ob das Teil nun unter bzw. mit meinem Linux (Gentoo) zusammenarbeitet. Den Fachberater im Blödmarkt wollte ich es nun nicht noch fragen, er schien jetzt schon von mir genervt zu sein!
Hey, gut wie ich bin, bekomme ich das Teil schon zum rennen (Boar ist diese Selbstüberschätzung nicht wiederlich?)!
Da meine Frau etwas von: „Rausgeworfenes Geld…. Überflüssiges Spielzeug… und du sitzt eh viel zu viel vor dem Computer!“ murmelte…. _MUSS_ das Teil einfach Laufen.
Tut es nur so ~out of the box~ nicht! Dass hat man nun also davon, man kauft im Blödmarkt halt nichts. Vor allem nicht ohne Verstand, oder gerade deswegen? Wie auch immer, so haben ich es ans Laufen bekommen!
Ich habe hier also den O2 Surfstick MF190 von der Firma ZTE.
Stecke ich diesen einfach in mein System ein und schaue mir an was der Kernel dazu sagt, sehe ich folgendes:
$ dmesg usb 2-1: new high speed USB device using ehci_hcd and address 3 usb 2-1: New USB device found, idVendor=19d2, idProduct=0083 usb 2-1: New USB device strings: Mfr=3, Product=2, SerialNumber=4 usb 2-1: Product: ZTE WCDMA Technologies MSM usb 2-1: Manufacturer: ZTE,Incorporated usb 2-1: SerialNumber: P671A2TMED010000 scsi7 : usb-storage 2-1:1.0 scsi 7:0:0:0: CD-ROM ZTE USB SCSI CD-ROM 2.31 PQ: 0 ANSI: 2 sr1: scsi-1 drive sr 7:0:0:0: Attached scsi CD-ROM sr1 sr 7:0:0:0: Attached scsi generic sg2 type 5
Der Stick wird also als USB-CDROM Laufwerk (hier liegt die Software für die Windows User) und USB-Festplatte (sofern eine MicroSD-Karte eingelegt ist, wäre es diese) erkannt.
Mal schauen was ein lsusb sagt:
$ lsusb Bus 002 Device 004: ID 19d2:0083 ONDA Communication S.p.A
19d2 steht für den Hersteller und 0083 für das Gerät selbst. Google sagt 0083 ist der Stick aber im Modus (ich nenne es mal) Datenlaufwerk. Ich will aber Modem 🙂 Hierzu sagt Google man muss ein paar bestimmte Kommandos schicken und schon wechselt der USB-Stick seinen Modus. Findige Leute haben sich da schon einen Kopf zu gemacht und das Programm: usb_modeswitch geschrieben. Also soll emerge mal loslegen:
$ emerge usb_modeswitch
Solange er rechnet könnte ich meinen Kernel ja schon mal davon überzeugen das Gerät zu „ignorieren“. Dazu füge ich in die Datei: /usr/src/linux/drivers/usb/storage/unusual_devs.h folgende Zeilen ein:
UNUSUAL_DEV( 0x19d2, 0x0117, 0x0000, 0x0000, "ZTE Sinnlos", "USB UMTS Sinnlos", US_SC_DEVICE, US_PR_DEVICE, NULL, US_FL_IGNORE_DEVICE),
Damit Geräte dieser Art überhaupt funktionieren können (und ich nach der Änderung in unusual_devs.h ja eh neu kompilieren muss) sollte die Kernelkonfiguration wie folgt angepasst werden:
Device Drivers -> USB support ---> <M> OHCI HCD support (If not use Intel or VIA chipset) <M> UHCI HCD (most Intel and VIA) support (If use Intel or VIA chipset) <M> USB Serial Converter support ---> [*] USB Generic Serial Driver <M> USB driver for GSM and CDMA modems Network device support ---> <*> PPP (point-to-point protocol) support <*> PPP support for async serial ports
Inzwischen ist usb_modeswitch fertig. Für meinen Stick muss ich leider noch etwas Handarbeit leisten. Denn in der Datei /lib/udev/rules.d/40-usb_modeswitch.rules müssen noch folgende Zeilen hinzugefügt werden:
# ZTE MF190 (Variant)
ATTRS{idVendor}=="19d2", ATTRS{idProduct}=="0117", RUN+="usb_modeswitch '%b/%k'"
Damit die neue Regel zur Anwendung kommen noch schnell ein:
$ udevadm control --reload-rules
Jetzt sollte es beim Einstecken vom Stick schon anders aussehen….
$ dmesg usb 2-1: new high speed USB device using ehci_hcd and address 4 usb 2-1: New USB device found, idVendor=19d2, idProduct=0117 usb 2-1: New USB device strings: Mfr=3, Product=2, SerialNumber=4 usb 2-1: Product: ZTE WCDMA Technologies MSM usb 2-1: Manufacturer: ZTE,Incorporated usb 2-1: SerialNumber: P671A2TMED010000 usb-storage 2-1:1.0: device ignored usb-storage 2-1:1.1: device ignored usb-storage 2-1:1.2: device ignored usb-storage 2-1:1.3: device ignored usbcore: registered new interface driver usbserial USB Serial support registered for generic usbcore: registered new interface driver usbserial_generic usbserial: USB Serial Driver core USB Serial support registered for GSM modem (1-port) option 2-1:1.0: GSM modem (1-port) converter detected usb 2-1: GSM modem (1-port) converter now attached to ttyUSB0 option 2-1:1.1: GSM modem (1-port) converter detected usb 2-1: GSM modem (1-port) converter now attached to ttyUSB1 option 2-1:1.2: GSM modem (1-port) converter detected usb 2-1: GSM modem (1-port) converter now attached to ttyUSB2 usbcore: registered new interface driver option option: v0.7.2:USB Driver for GSM modems
Wohooo ein GSM Modem. Was sagt lsusb?
$ lsusb Bus 002 Device 004: ID 19d2:0117 ONDA Communication S.p.A.
OK, der Stick wird nun also als Modem erkannt, die Datenlaufwerke werden ignoriert und ich könnte mich ja mal um eine Interneteinwahl kümmern, oder? Nötig ist dafür ppp und (weil es so schön einfach ist) wvdial. Emerge muss das wieder für mich erledigen:
$ emerge ppp wvdial
Nach kurzer Zeit ist er fertig. Nun lege ich mal das ppp Device an:
$ mknod /dev/ppp c 108 0
*umschau* ich habe ja so ein paar Tests hinter mir und Scripte können da knallhart sein. Wenn man denen sagt: „Probiere mal bis geht…“ Dann tun die das auch wenn sie 100 mal die falsche PIN eingeben. Man kann lange suchen bis man darauf kommt die PUK einzugeben. SEHR lange. Ich habe also die PIN-Eingabe abgeschaltet!
wvdial ist schnell konfiguriert. Meine Konfiguration für O2 schaut so aus:
[Dialer Defaults] Init1 = ATZ Init2 = ATQ0 V1 E1 S0=0 &C1 +FCLASS=0 Modem Type = Analog Modem Baud = 460800 New PPPD = yes Modem = /dev/ttyUSB2 ISDN = 0 [Dialer pin] [Dialer o2] Modem = /dev/ttyUSB2 Dial Command = ATD Carrier Check = no Phone = *99# Password = guest Username = guest Stupid Mode = 1 Init3 = AT+ZSNT=0,0,2, AT+ZOPRT=5 Init4 = AT+CGDCONT=1,"IP","pinternet.interkom.de" Dial Attempts = 2
Stecke ich nun meinen (mit abgeschalteter PIN-Eingabe) Surfstick ins Notebook beginnt er rot zu leuchten. Ist der Stick betriebsbereit und hat Netz beginnt er grün zu leuchten 🙂 Einfach, oder?
Die Einwahl funktioniert nun recht einfach mit wvdial:
$ wvdial o2 --> WvDial: Internet dialer version 1.61 --> Cannot get information for serial port. --> Initializing modem. --> Sending: ATZ ATZ OK --> Sending: ATQ0 V1 E1 S0=0 &C1 +FCLASS=0 ATQ0 V1 E1 S0=0 &C1 +FCLASS=0 OK --> Sending: AT+ZOPRT=5 AT+ZOPRT=5 OK --> Sending: AT+CGDCONT=1,"IP","pinternet.interkom.de" AT+CGDCONT=1,"IP","pinternet.interkom.de" OK --> Modem initialized. --> Sending: ATD*99# --> Waiting for carrier. ATD*99# CONNECT 7200000 --> Carrier detected. Starting PPP immediately. --> Starting pppd at Tue Mar 8 20:35:06 2011 --> Pid of pppd: 22068 --> Using interface ppp0 --> local IP address 10.151.95.132 --> remote IP address 10.64.64.64 --> primary DNS address 193.189.244.225 --> secondary DNS address 193.189.244.206
Nun sollte man auch schon online sein. Ein kurzer Blick auf die Interfacekonfiguration zeigt:
$ ifconfig lo Protokoll:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:1030 errors:0 dropped:0 overruns:0 frame:0 TX packets:1030 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:0 RX bytes:83580 (81.6 KiB) TX bytes:83580 (81.6 KiB) ppp0 Protokoll:Punkt-zu-Punkt Verbindung inet Adresse:10.151.95.132 P-z-P:10.64.64.64 Maske:255.255.255.255 UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:8360 errors:0 dropped:0 overruns:0 frame:0 TX packets:9926 errors:0 dropped:34 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:3 RX bytes:2446573 (2.3 MiB) TX bytes:5945120 (5.6 MiB) sixxs Protokoll:UNSPEC Hardware Adresse 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet6 Adresse: 2a01:198:200:a79::2/64 Gültigkeitsbereich:Global inet6 Adresse: fe80::98:200:a79:2/64 Gültigkeitsbereich:Verbindung UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1280 Metric:1 RX packets:1007 errors:0 dropped:0 overruns:0 frame:0 TX packets:973 errors:0 dropped:0 overruns:0 carrier:0 Kollisionen:0 Sendewarteschlangenlänge:500 RX bytes:880413 (859.7 KiB) TX bytes:234147 (228.6 KiB)
Wie zu erkennen ist steht auch die Verbindung zu meinem Tunnelbroker Sixxs. Somit ist mein Notebook auch per IPv6 unterwegs 🙂
Also, viel Spaß beim Surfen.
*Update*
Wer >>hier<< nachliest wird sehen, dass man den Flashdrive-Modus auch komplett deaktivieren kann.
Man kann hier zwei Wege gehen das zu tun:
1. Einmalig das ganze im Int3 mitgeben:
Init3 = AT+ZCDRUN=9, AT+ZSNT=0,0,2, AT+ZOPRT=5
2. Minicom.
Mit davfs2 den 1GB großen GMX Account als Laufwerk einbinden.
Den GMX Account gibt es kostenlos und man hat die Möglichkeit ihn mit bis zu 1GB Daten zu füttern. Fast jeder Linux User hat schon in den Konqueror ein: webdavs://mediacenter.gmx.net/ getippert und dort einige Daten zwischengelagert oder sonst etwas damit angestellt!
Wäre es nicht aber eine wunderbare Sache diesen Speicherplatz zu mounten und dann so nutzen zu können wie jedes andere „normale“ Laufwerk?
Ein großer Vorteil ist die Erreichbarkeit. Denn fast alles läuft über https. Ist also fast in jeder Firewall offen und es ist verschlüsselt. Was will man mehr?
Wer es nun einrichten möchte, sollte wie folgt vorgehen:
1.
Zuerst muss das Paket „davfs2“ installiert werden. Gentoo User machen einfach mal ein emerge -a davfs2. Unter /etc/davfs2 müssen in der Datei ’secrets‘ die Accountdaten für das GMX-Mediacenter, nach folgendem Schema, gespeichert werden:
# 1. Account
https://XXXXXXXX@mediacenter.gmx.net/ XXXXXXXX „Passwort1“
# 2. Account
https://YYYYYYYY@mediacenter.gmx.net/ YYYYYYYY „Passwort2“
Die Buchstabenreihe ist hier gegen die achtstellige Kundennummer des Accounts zu ersetzten. In der Datei wird nun das Kennwort im Klartext stehen. Aus diesem Grund sollte die Datei nur vom root zu lesen sein chmod 0600!
2.
Mountpunkte setzen und User-Mount erlauben
Zuerst muss im Dateisystem für die externen Datenspeicher ein Mountpunkt angelegt werden. In diesem Beispiel werden ‚/mnt/extern1‘ resp. ‚extern2‘ verwendet.
Die Datei /etc/fstab wird sodann um die zwei Mounpunkte und den Mountparametern erweitert:
https://XXXXXXXX@mediacenter.gmx.net/ /mnt/extern1 davfs user,noauto 0 0 https://YYYYYYYY@mediacenter.gmx.net/ /mnt/extern2 davfs user,noauto 0 0
Als root kann man nun mit mount /mnt/extern1 den externen Webdav-Datenspeicher einbinden. Damit aber ein normaler User die Mediacenter mounten kann, müssen zusätzliche Vorkehrungen getroffen werden.
Auf /usr/lib/mount-davfs-2.6 muss das SUID-Bit als root mit chmod 4755 gesetzt werden. Wer einen 2.4er-Kernel verwendet, nimmt /usr/lib/mount-davfs-2.4.
Der herkömmliche Benutzer besitzt keine Schreibrechte auf /var/run/mount.davfs. Da in diesem Verzeichnis die PID des Mountprozesses abgelegt wird, sollte man als root die Berechtigungen bspw. mit chmod auf ‚0770‘ setzen und die Gruppe des Verzeichnisses mit chgrp auf ‚users‘ (z.B.) setzen. Hier kann man verfahren wie man möchte, Hauptsache ist nur, dass der oder die Benutzer das Verzeichnis schreiben dürfen. Allerdings empfiehlt sich ein chmod 0777 nicht unbedingt.
Als letzten Schritt kopiert man die Datei /etc/davfs2/secrets in das Homeverzeichnis des entsprechenden Benutzers in den Ordner ~/.davfs2. Auch hier muss die Datei secrets die Zugriffsrechte 0600 aufweisen.
Fragen? Einfach melden.
© 2026 -=Kernel-Error=- — RSS
Theme von Anders Norén — Hoch ↑