Wenige Tage vor dem 17.09.2002 landete eine Mail in meiner Inbox. Es folgten ein, zwei weitere Mails, ein Anruf Abends um ~22:00Uhr, das Gespräch dauerte bis zirka kurz vor 1:00Uhr und ich hatte währenddessen vielleicht gerade mal 10 Sätze gesprochen 🙂

Später folgte ein Treffen im Oktober mit 8-10 Leuten am Alten Markt in Mönchengladbach. Das erste reguläre Treffen fand aber bereits am besagten 17.09.2002 statt. Da dies aber auf meinen Geburtstag fiel, bin ich zunächst ferngeblieben, welches sich aber in den kommenden Jahren nicht mehr als Hindernis herausstellen sollte 😉

Die Linux User Group Mönchengladbach 2.0 war gegründet. DANKE Ruben!!! Zu den Gründungsmitgliedern zählten: Ruben Puettmann, xlarge, hightower (IRC, Webseite/ passives Mitglied), Bernd_B, Turrican, Sigint, Gunman, cg, Visigoth und Uli Ritter.

Seitdem ist viel Zeit vergangen, viele Gesichter haben die LUGMOE besucht, einige sind wieder gegangen, andere sind geblieben. Kurze Zeit später folgten Namen wie: Spida, Nobby, Heino und c_malloc.

Nun ist die Linux User Group schon 6 Jahre alt. In diesen 6 Jahren gab es eine “externe” Advents-/Weihnachtsfeier, ein Linux Information Weekend (2004), 2-3 historische Aufenthalte in Chemnitz (Bröckchenalarm!) bei den Chemnitzer Linux-Tage und ein gemeinsam besuchtes LUG-Camp in Wuppertal (2005). Stellt sich für mich nun die Frage; Wie geht es wohl weiter???

Ich freue mich jetzt schon auf das 10-jährige Jubiläum 😀 Wollen wir hoffen, dass wir dann auch noch alle ‘tüchtig’ mit Linux unterwegs sind.

Weiterhin Open Source, Freie Software und GNU nach Mönchengladbach, Viersen und dem Rest ‘real world’ der Welt bekannt machen und noch viele Linux Begeisterte Anhänger/User finden werden. Open Minds, Open Source, Open Future. In diesem Sinne! 😉

Viele Grüsse
Michael Seidel (Turrican)

lugindex2

Neulich bei der Userverwaltung (genauergesagt Import einer CSV Liste) eines

groesseren Systems traf ich auf den Bedarf, einer Datei mit Anmeldenamen
noch die zugehoerigen Infos zu den jeweiligen Namen aus anderen Dateien
hinzu zufuegen. Anbei ein Beispiel …

Ich habe eine Datei mit Namen …

Datei mit Format ANMELDENAME

heino@sora:~/p/lugmoe/blog_paste$ cat namen
adam
erwin
igor
otto
uriel

… und eine weitere Datei mit Raumnummern.

Datei mit Format ANMELDENAME, VOLLER NAME, RAUMNUMMER

heino@sora:~/p/lugmoe/blog_paste$ cat raum
adam,Adam Evans,44a
erwin,Erwin Derwish,33e
igor,Igor Frankenstein,11i
otto,Otto Fant,00o
siegfried,Siegfried Nibel,55s <– ist nicht bei den Anmeldenamen
uriel,Uriel Hell,666u
zorro,Zorro Gonzales,22z <– ist nicht bei den Anmeldenamen

PASTE
—–

Beide Dateien sind nach dem ersten Feld sortiert (alphabetisch).
Mit paste behandele ich die Dateien wie Spalten, die ich in einer
neuen Datei zusammen fuehren will:

heino@sora:~$ paste namen raum
adam adam,Adam Evans,44a
erwin erwin,Erwin Derwish,33e
igor igor,Igor Frankenstein,11i
otto otto,Otto Fant,00o
uriel siegfried,Siegfried Nibel,55s
uriel,Uriel Hell,666u
zorro,Zorro Gonzales,22z

Das ist schon fast zu gebrauchen, aber leider haben wir einmal eine kleine
Liste mit Leuten die mich interessieren und eine „grosse“ Liste mit allen
Mitarbeitern, aus denen ich nicht alle brauche. paste haengt die
erste Zeile der zweiten Datei an die erste Zeile der ersten Datei. Klappt,
solange alles sortiert ist und die Anzahl der Zeilen gleich ist. Hier reicht
die Intelligenz von paste nicht ganz aus.

JOIN
—-

join nutzt das gemeinsame Feld, um eine korrekte Zuordnung zu kriegen
und die ueberfluessigen Eintraege zu ignorieren. Mich interessieren ja nur die
Leute aus meiner Abteilung. Die sind in der Liste mit den Anmeldenamen.

heino@sora:~$ join -t, namen raum
adam,Adam Evans,44a
erwin,Erwin Derwish,33e
igor,Igor Frankenstein,11i
otto,Otto Fant,00o
uriel,Uriel Hell,666u

Mit -t, gebe ich an, dass die Felder durch ein , als
getrennt zu behandeln sind. So sieht das ganze schon brauchbar aus. Ich habe
meine beiden Listen vereint, ohne ueberfluessige Zeilen Eintrage und ohne
doppelte Felder (Anmeldenamen) wie bei paste.

Allerdings arbeitet join hier mit sortierten Dateien.
Jede Zeile wird mit der gleichen Zeile der anderen Datei verglichen und nach
einem gemeinsamen Feld gesucht. join nimmt als Default das erste Feld
als gemeinsames. Falls die Dateien nicht sortiert waeren, gaebe es schon
Probleme und join haette weniger Treffer. Also ein Fall fuer …

SORT
—-
Um Dateien anhand eines bestimmten Feldes zu sortieren nimmt man einfach
sort. Hier eine weitere Datei mit Telefon Nummern zugeordnet zum
Anmeldenamen:

heino@sora:~$ cat telefon
00000,otto
11111,igor
22222,zorro
33333,erwin
44444,adam
55555,siegfried
666,uriel

Diese Datei ist nach dem ersten Feld sortiert (der Telefonnummer) und das gemeinsame
Feld ist in der 2 Spalte. Um diese Datei mittels join mit meinen
gesuchten Personen korrekt zu vereinen, brauche ich ersteinmal eine nach dem
2. Feld sortierte Liste:

heino@sora:~$ sort -k2 -t, telefon
44444,adam
33333,erwin
11111,igor
00000,otto
55555,siegfried
666,uriel
22222,zorro

Mit -k2 gebe ich das 2. Feld als Sortierfeld an.

Mit -t, gebe ich den Feldtrenner , an.

Diesen OUTPUT kann aich in eine Datei leiten oder ich nutze sort und
join kombiniert ueber PIPE auf der SHELL …

heino@sora:~$ sort -k2 -t, telefon | join -t, -1 1 -2 2 namen –
adam,44444
erwin,33333
igor,11111
otto,00000
uriel,666

Mit -t, gebe ich wieder den Feldtrenner an.

Mit  wird hier von STDIN gelesen, wegen der Sortierung der
Telefon Liste.

Mit -1 1 und -2 2 gebe ich an, dass in Datei 1 das erste Feld genommen wird
und in Datei 2 (kommt hier ueber STDIN weil ich  angegeben habe) das
zweite Feld. Schon habe ich eine Liste mit Anmeldenamen und Telefonnummern.
Zur korrekten Ansprache der Leute braeuchte ich noch den vollen Namen dazu …

erstelle eine weitere Datei

heino@sora:~$ join -t, namen raum > nara
heino@sora:~$ cat nara
adam,Adam Evans,44a
erwin,Erwin Derwish,33e
igor,Igor Frankenstein,11i
otto,Otto Fant,00o
uriel,Uriel Hell,666u

heino@sora:~$ sort -t, -k2 telefon | join -t, -1 1 -2 2 nara –
adam,Adam Evans,44a,44444
erwin,Erwin Derwish,33e,33333
igor,Igor Frankenstein,11i,11111
otto,Otto Fant,00o,00000
uriel,Uriel Hell,666u,666

Nun habe ich eine brauchbare Liste … inspiriert wurde ich von meinem
aktuellen Bedarf dieser Liste und der
Seite: Lesser-known Linux commands: join, paste, and sort

CUT

Ergaenzender Vorschlag von Nobby: eine Auswahl relevanter Spalten
ausgeben

Mit cut kann ich aus der Liste die vollen Namen und deren
Telefonnummern extrahieren.

Nur voller Name mit Telefonnummer

heino@sora:~$ sort -t, -k2 telefon | join -t, -1 1 -2 2 nara – | cut -f 2,4 -d“,“
Adam Evans,44444
Erwin Derwish,33333
Igor Frankenstein,11111
Otto Fant,00000
Uriel Hell,666

-f 2,4 gibt an, nur die 2. und die 4. Spalte auszuschneiden

-d „,“ bestimmt den Feldtrenner

29. August 2007 – 8:30 — heino

Ich moechte meine GPG und SSH Keys nutzen, aber nicht dauernd die Passworte neu eingeben. Ich wuerde mich einloggen und bei der ersten Nutzung meiner Keys ein Passwort eingeben wollen und dann fuer die naechste Zeit (z.B. den Rest des Arbeitstages) nicht mehr gefragt werden wollen.

Der SSH-Agent leistet schon gute Arbeit (siehe elssh-agent) und es gibt auch Tools wie Keychain, aber ich koennte genau so gut meinen GPG Agent fuer alles nutzen. Der laeuft sowieso und kann mittlerweile auch SSH-Keys verwalten. Vorteil: er ist bei den meisten Systemen schon „onboard“ und laeuft bereits nach dem X-Login nutzbar im Hintergrund fuer alle Prozesse erreichbar.

Den Start des GPG-Agenten uebernimmt /etc/X11/Xsession.d/90gpg-agent
mit folgenden Zeilen:


: ${GNUPGHOME=$HOME/.gnupg}

GPGAGENT=/usr/bin/gpg-agent
PID_FILE="$GNUPGHOME/gpg-agent-info-$(hostname)"

if grep -qs '^[[:space:]]*use-agent' "$GNUPGHOME/gpg.conf" "$GNUPGHOME/options"
&& test -x $GPGAGENT &&
{ test -z "$GPG_AGENT_INFO" || ! $GPGAGENT 2>/dev/null; }; then

if [ -r "$PID_FILE" ]; then
. "$PID_FILE"
fi

# Invoking gpg-agent with no arguments exits successfully if the agent
# is already running as pointed by $GPG_AGENT_INFO
if ! $GPGAGENT 2>/dev/null; then
$GPGAGENT --daemon --sh >"$PID_FILE"
. "$PID_FILE"
fi
fi

… also brauche ich die Zeile


use-agent

in der Datei $HOME/.gnupg/gpg.conf oder $HOME/.gnupg/options, um den GPG-Agenten von X starten zu lassen.

Den Angaben von man gpg-agent folgend kann ich in der Datei $HOME/.gnupg/gpg-agent.conf dem GPG-Agenten einige Verhaltensweisen vorschreiben.

Fuer mich nuetzliche Konfiguraionsparameter in $HOME/.gnupg/gpg-agent.conf

# PIN Eingabe UI
pinentry-program /usr/bin/pinentry-qt

# Maus und Keyboard nicht erfassen, sobald Pin Eingabe erscheint
# um X-Sniffing zu vermeiden
no-grab

# SSH-Agent Support aktivieren
enable-ssh-support

# ENV Datei schreiben
write-env-file ${HOME}/.gnupg/gpg-agent-info-${Hostname}

# Gueltigkeit auf 8 Stunden setzen 8x60x60 (fuer GPG Keys und SSH Keys)
default-cache-ttl 28800
default-cache-ttl-ssh 28800

# Lebensdauer auf 12 Stunden setzen 12x60x60 (fuer GPG Keys und SSH Keys)
max-cache-ttl 43200
max-cache-ttl-ssh 43200

# fuer Signierung von Keys erneut nach Passwort fragen
ignore-cache-for-signing

Nun kann ich nach erfolgreichem X-Login auf einer Konsole (oder Terminal 😉 )
den laufenden GPG-Agent ansprechen:


heino@noirtom:~$ ps ax | grep gpg-agent
3471 ? Ss 0:00 /usr/bin/gpg-agent --daemon --sh
4848 pts/1 R+ 0:00 grep gpg-agent
heino@noirtom:~$ # GPG-Agent laeuft also

heino@noirtom:~$ gpg-connect-agent
/help
Available commands:
/echo ARGS Echo ARGS.
/definqfile NAME FILE
Use content of FILE for inquiries with NAME.
NAME may be "*" to match any inquiry.
/definqprog NAME PGM
Run PGM for inquiries matching NAME and pass the
entire line to it as arguments.
/showdef Print all definitions.
/cleardef Delete all definitions.
/sendfd FILE MODE Open FILE and pass descripor to server.
/recvfd Receive FD from server and print.
/help Print this help.
....

heino@noirtom:~$

Jetzt lade ich meinen Lieblings SSH Key in den vom GPG-Agent per Socket
vorgetaeuschten SSH-Agenten.

heino@noirtom:~$ ssh-add -l
The agent has no identities.
heino@noirtom:~$ ssh-add .ssh/keys/heinoon_sshid
Enter passphrase for .ssh/keys/heinoon_sshid:

+--------------------------------------------------+
| pinentry-XX |
| please enter passphrase ... |
| (siehe Foto Anhaenge) |
| |
| Passphrase: _____________________ |
+--------------------------------------------------+

Identity added: .ssh/keys/heinoon_sshid (.ssh/keys/heinoon_sshid)
heino@noirtom:~$

Dabei gebe ich zuerst mein SSH-Key Passwort ein, wie bei einem normal
laufenden SSH-Agent. Dann oeffnet sich das konfigurierte PINENTRY-UI
und fragt nach einem Passwort, mit der der geheime SSH-Key im
„Schluesselkaestchen“ ($HOME/.gnupg/private-keys-v1.d/) des
GPG-Agenten gespeichert und verschluesselt werden soll. Dieses Passwort
ist frei waehlbar und es macht Sinn, nicht das Passwort des SSH-Keys zu
nehmen, sondern ein gleichwertig komplexes Passwort neu zu ersinnen. 😉

Der geheime SSH Key verschluesselt und gepseichert im Schluesselkasten vom GPG-Agent.


heino@noirtom:~$ ls .gnupg/private-keys-v1.d/
E78A62DB501143D11A82DBE5CA4DE81CA4B0B187.key
heino@noirtom:~$ less .gnupg/private-keys-v1.d/<...>.key
".gnupg/private-keys-v1.d/<...>.key" may be a binary file. See it anyway?
(21:protected-private-key(3:dsa(1:p513: .....
......9:protected25:openpgp-s2k3-sha1-aes-cbc((4:sha18:....
.......7:comment23:.ssh/keys/heinoon_sshid))
heino@noirtom:~$

Fuer die komplette Laufzeit des GPG-Agenten und die Lebensdauer des SSH-Keys
liegt dieser Key fuer die Nutzung bereit …


heino@noirtom:~$ ssh-add -l
4096 f5:52:bd:4a:be:02:74:ed:27:b0:67:78:a5:d8:d2:59 .ssh/keys/heinoon_sshid (DSA)
heino@noirtom:~$

Nach Ablauf der Gueltigkeit dieses SSH-Keys muss ich das neu ersinnte
Passwort (das zum Speichern im GPG-Agent Schluesselkasten) eingeben.
Die Gueltigkeit wird auch nach einem Neustart des Agenten oder des Systems
zurueckgesetzt. Mein eigentliches SSH-Key Passwort brauche ich erst wieder
nach Ablauf der Lebensdauer des Schluessels.

Die Gueltigkeit eiens SSH-Keys festlegen

default-cache-ttl-ssh 28800 # 8 Stunden

Die Lebensdauer eines Keys bestimmt, wie lange er aus dem Schluesselkasten
des GPG-Agenten verwendet werden darf. Innerhalb der Lebensdauer brauche
ich zum Reaktivieren nur das Schluesselkasten-Passwort des Keys, erst
danach muss ich den SSH-Key wieder erneut hinzufuegen (mittels
ssh-add) und brauche das eigentliche SSH-Key Passwort.

Die Lebensdauer eines SSH-Keys festlegen

max-cache-ttl-ssh 43200 # 12 Stunden

Sobald ich nun eine SSH Verbindung aufbaue und dabei mein SSH-Key benoetigt
wird, wird der GPG-Agent den SSH-Key aus dem Schluesselkasten laden, das
zugehoerige Schluesselkasten Passwort abfragen und den SSH-Key benutzen um mich
beim Verbindungsaufbau zu authentifizieren.

Fuer meine GPG-Keys gilt aehnliches, nur das dort die Keys nach Ablauf
der Lebensdauer nicht neu hinzugefuegt werden muessen. Sobald ich einen
GPG-Key benoetige (z.B. fuer Jabber, Mail, …), werde ich nach meinem
Passwort gefragt und aufgrund der Eintraege


default-cache-ttl 28800 # 8 Stunden Gueltigkeit

und

max-cache-ttl 43200 # 12 Stunden Lebensdauer

dann fuer mindestens 8 Stunden kein Passwort mehr eingeben
muessen. Spaetestens nach 12 Stunden jedoch ist der Key ungueltig und ich
muss erneut mein Passwort eingeben, aber das sollte dann doch zu schaffen
sein. 😉

Zum Schluss noch moechte ich meinen GPG-Agenten anweisen, das Passwort nicht fuer
Signier Aktionen zu nutzen. Das sollte jedesmal meine volle Aufmerksamkeit
fordern. Dazu die folgende Zeile in die Datei $HOME/.gnupg/gpg-agent.conf>

ignore-cache-for-signing

Viel Spass mit dem GPG-Agent. Weiteres kommt …

Ergänzend zu dieser netten Anleitung, wie sich der ssh-agent unter Kubuntu/Ubuntu nutzen lässt, habe ich noch ein kleines Script gebaut, welches dann die ssh-keys nach dem Login auch automatisch einliest.

Sinnvoll ist die Installation einer grafischen Passwort abfrage, beispielsweise mittels „aptitude install ssh-askpass“. Unter Kubuntu bzw. KDE bitte das Script nach ~/.kde/Autostart kopieren und entsprechend anpassen.

Auf einem meiner Webserver auf der Arbeit liegen diverse „Angebote“, die nur fuer ausgewaehlte User zugaenglich sein sollen. Auf VPN und Zertifikate habe ich nicht so viel Lust (Aufwand und Verwaltung etc.), sondern beschraenke den Zugriff halt auf die Proxy Server der Leute / Kollegen (auch aus anderen Systemhauesern), die darauf zugreifen wollen / sollen.

Ich habe mittlerweile an die 12 Proxy Server fuer 5 Diverse Bereiche (Directory / Location) zu verwalten, die ich dann direkt oder per Regex in die Allow Direktive packe. Schoen finde ich das nicht und deswegen habe ich mir die SetEnvIf Direktive angeschaut …

Das ganze funktioniert dann so:

apache2.conf:

...
SetEnvIf Remote_Addr 123.45.6.78.9? PROXY_A
SetEnvIf Remote_Addr 132.54.67|89.12[5-7] PROXY_B
SetEnvIf Remote_Addr 222.111.333.44|55 PROXY_C
...
# Meine Geheimnisse (nur ueber Proxy A)

AllowOverride None
Order deny,allow
Deny from all
# Erlaube Proxy Server
Allow from env=PROXY_A

...
# Meine nicht ganz so geheimen Geheimnisse (fuer Proxy A, B und C)

AllowOverride None
Order deny,allow
Deny from all
# Erlaube Proxy Server
Allow from env=PROXY_A env=PROXY_B env=PROXY_C

...

Mit SetEnvIf wird in Abhaengigkeit der Remote_Addr des Clients eine Umgebungsvariable gesetzt. Wenn diese dann gesetzt ist, wird dem Client mit Allow der Zugang erlaubt.

Somit darf man nur rein, wenn man ueber einen dieser Proxy kommt. Wie sicher das ganze ist, weiss ich nicht, aber dahinter geht es mit https und htaccess weiter … mein Ziel war es, nicht bei Google und Co. zu landen und zufaelligen Surfern aus dem Weg zu gehen.

Diesen Zugang auszuhebeln waere vlt. mal eine Demonstration wert 😉
Ich stelle dann gerne eine neu vorbereitete Testumgebung zur Verfuegung.