LM v7 Walkthrough

Michael · 7. März 2020 um 15:21

Warum nicht? Packt OPNSense diese Einträge in Konfigurationsfiles oder in Datenbanken?

mdt · 7. März 2020 um 20:13

Vor allem,weil es nicht dokumentiert ist.

Ich habe jetzt gesehen, dass die eine Menge Scripte (php, python, shell) nutzen, die das Menü einfach aufruft. Ein chsh funktioniert auch, dann hat man sofort eine Shell und kann per ssh fernsteuern. Alles ist aber eben Reverse-Engenieering, was wenig Spass macht.

Du siehst: Ich bin dran

Michael · 7. März 2020 um 20:50

Hast du’s schon im OPNSense-Forum versucht? Da findet man auch Hilfe, wenn’s klemmt … https://forum.opnsense.org/index.php?board=6.0

mdt · 7. März 2020 um 22:09

Ich habe im Forum folgendes gefunden:

is it possible to add a firewall rule from CLI?

Not with the default tools - you would have to edit /config/config.xml or write a service file and reload the filter afterwards. There is no command for that

Generell scheint bei denen in Richtung Automation wenig Interesse zu bestehen. Das Tool configctl wird nicht dokumentiert und die API enthält nur eine magere Handvoll Funktionen.

Michael · 8. März 2020 um 07:42

Hallo, was mir noch einfiel: beim Setup des Servers werden doch auch ein paar Settings automatisch auf der OPNSense-FW eingetragen, wie zB die Gateways (bei Subnetting) u.ä… Vielleicht ist das ein Ansatz, wo du dich mit deinem Script einklinken kannst?

mdt · 8. März 2020 um 13:12

Hast du einen Pointer für mich?

Michael · 8. März 2020 um 13:55

Guck mal hier rein

github.com

linuxmuster/linuxmuster-base7/blob/master/sbin/linuxmuster-import-subnets

#!/usr/bin/python3
#
# linuxmuster-import-subnets
# thomas@linuxmuster.net
# 20181210
#

import configparser
import constants
import csv
import datetime
import os
import re
import yaml

from bs4 import BeautifulSoup
from functions import firewallApi
from functions import getFwConfig
from functions import getSftp
from functions import isValidHostIpv4

This file has been truncated. show original

Da sind einige Zugriffe auf die Firewall

mdt · 8. März 2020 um 14:28

Danke!

Wow, das nutzt sowohl die API als auch Ändern der XML-Config.

Ich habe für beides keine Doku gefunden und bei vielen Funktionen der API ein ‚not found‘ zurückerhalten.

Die API wäre schon der richtige Weg, nur ohne Doku? Das XML zu ändern halte ich für gefährlich. Hm. Für den Python-Code zeichnet thomas@linuxmuster.net (ist das @thomas hier?) verantwortlich, hat Thomas mehr Informationen (und könnte mir weiterhelfen)?

Michael · 9. März 2020 um 07:26

… am besten direkt anfunken. Ich weiß nicht, ob er diesem ewig langen Thread (noch) folgt?!

baumhof · 9. März 2020 um 07:42

Hallo,

hat Thomas mehr Informationen (und könnte mir weiterhelfen)?
… am besten direkt anfunken. Ich weiß nicht, ob er diesem ewig langen
Thread (noch) folgt?!

ich habe Thomas auf den Tread aufmerksam gemacht.
Er hat aber derzeit mit dem kurz bevorstehnden Releas der lmn7 sehr viel
zu tun: ich hätte also Verständnis, wenn er nicht so bald darauf antwortet.

Viele Grüße

Holger

mdt · 9. März 2020 um 18:30

Er hat auf Email prompt geantwortet

Zu dem bionic-Client-Image: Ich versuche gerade ein paar Pakete zu deinstallieren, die wir hier nicht brauchen. Da stoße ich auf /usr/bin/tigerjython (mit verschiedenen anderen zugehörigen Dateien). Das Ding scheint nicht über das Paketsystem installiert zu sein. Wo kommt das her und wie kann ich das deinstallieren? (Nein, nicht per rm )

baumhof · 9. März 2020 um 18:51

Hallo Michael,

Zu dem bionic-Client-Image: Ich versuche gerade ein paar Pakete zu
deinstallieren, die wir hier nicht brauchen. Da stoße ich auf

/usr/bin/tigerjython| (mit verschiedenen anderen zugehörigen Dateien).
Das Ding scheint /nicht/ über das Paketsystem installiert zu sein. Wo
kommt das her und wie kann ich das deinstallieren? (Nein, nicht per |rm|
)

ich hab es nicht installiert: aber ich hab dem INstallierer bescheid
gegeben.
Ist es ein snap?
Was steht den auf deren Seite wie man es installieren soll?

LG

Holger

mdt · 9. März 2020 um 19:01

Nein, wohl kein snap, es ist in /opt und hat ein paar Dateien (nein, leider keine Symlinks nach /opt) in /usr. snap hab ich schon deinstalliert (hoffe, das reisst alles mit runter, was durch snap installiert wurde). Habe da noch mehr von der Art gefunden: zB „Google Earth Pro“, „MediathekView“ und weitere. Leider auch lmlcc sodass ich /opt nicht einfach löschen kann.

mdt · 10. März 2020 um 11:06

Da sind noch ein paar andere Auffälligkeiten. Ich habe zB apt-sources für Microsoft und Google und andere komerzielle Anbieter gefunden:

# cat sources.list sources.list.d/*|sed 's/#.*//'|sort -u

deb [arch=amd64] http://packages.microsoft.com/repos/vscode stable main
deb [arch=amd64] https://download.virtualbox.org/virtualbox/debian bionic contrib
deb http://archive.canonical.com/ubuntu bionic partner
deb http://dl.google.com/linux/earth/deb/ stable main
deb http://ftp-stud.hs-esslingen.de/ubuntu/ bionic main restricted
deb http://ftp-stud.hs-esslingen.de/ubuntu/ bionic multiverse
deb http://ftp-stud.hs-esslingen.de/ubuntu/ bionic universe
deb http://ftp-stud.hs-esslingen.de/ubuntu/ bionic-backports restricted multiverse universe main
deb http://ftp-stud.hs-esslingen.de/ubuntu/ bionic-updates restricted universe main multiverse
deb http://ppa.launchpad.net/alexlarsson/flatpak/ubuntu bionic main
deb http://ppa.launchpad.net/libreoffice/ppa/ubuntu bionic main
deb http://ppa.launchpad.net/openshot.developers/ppa/ubuntu bionic main
deb http://ppa.launchpad.net/otto-kesselgulasch/gimp/ubuntu bionic main
deb http://security.ubuntu.com/ubuntu/ bionic-security restricted universe main multiverse
deb http://www.geogebra.net/linux/ stable main
deb https://archive.linuxmuster.net/ bionic/
deb https://dl.winehq.org/wine-builds/ubuntu/ bionic main
deb-src http://ftp-stud.hs-esslingen.de/ubuntu/ bionic main restricted
deb-src http://ftp-stud.hs-esslingen.de/ubuntu/ bionic multiverse
deb-src http://ftp-stud.hs-esslingen.de/ubuntu/ bionic universe
deb-src https://archive.linuxmuster.net/ bionic/

Vielleicht bin ich zu sehr Minimalist, aber ich finde das unschön. Es ist auch eine gänzlich andere Liste als auf dem Server. Ich habe auch ein paar Pakete gefunden, die auf dem Server klaglos installierbar aber auf dem Client unbekannt waren.

Ich kann mich am Client nicht mehr anmelden. Ich habe ja snap deinstalliert und das scheint das Problem zu sein:

env: »/snap/communitheme/current/session“: Datei oder Verzeichnis nicht gefunden

Auf der Suche nach dem Grund habe ich in /etc jede Menge „broken Symlinks“ gefunden, die auf nicht sauber deinstallierte Pakete schliessen lassen.

Wie weit ist das Client-Image von einer finalen Version entfernt? Ist das erstmal ein Wurf, damit wie loslegen können oder ist das quasi die finale Version?

Es macht ja keinen Sinn, hier akribisch Fehler aufzulisten, wenn das Image sowieso nicht für Produktion vorgesehen ist…

baumhof · 10. März 2020 um 21:32

Hallo Michael,

Da sind noch ein paar andere Auffälligkeiten. Ich habe zB apt-sources
für Microsoft und Google und andere komerzielle Anbieter gefunden:

Microsoft steht drin wegen der TrueType Schriften für wine und google
wegen google Earth.

Ist nicht so schön: halte ich aber beides auch für notwendig.

LG

Holger

foer · 11. März 2020 um 06:45

Hi,
löschen von Tigerjython durch:
#rm -r /opt/Tigerjython
#rm -r /usr/local/bin/tigerjython
#rm -r /usr/share/applications/tigerjython.desktop

Das ist aus dem Kopf…es kann sich ggf. Groß- oder Kleinschteibung unterscheiden und der mittlere Pfad könnte auch /usr/bin/tigerjython sein.

Gruß Dominik

mdt · 11. März 2020 um 07:44

Klar könnte ich da nun weiter dran herumdoktern aber ich würde gern ein sauberes Image haben. Da sind ja neben Tigerjython weitere, ähnliche Problemfälle in dem Image.

Ich finde, das sollte optional sein. Die Fonts installiere ich übrigens immer per apt install ttf-mscorefonts-installer, nix M$ als url in apt-sources.

Die Hauptfrage ist eigentlich: Ist das ein finales Image oder kommt ein solches noch?

baumhof · 11. März 2020 um 08:34

Hallo Michael,

Die Hauptfrage ist eigentlich: Ist das ein finales Image oder kommt ein
solches noch?

„final“ ist es eigentlich nie: es wird immer etwas daran gearbeitet.
Aber irgendwann kommt mal nur noch ein neues cloop im Jahr … und da
sind wir noch nicht.
Ich muß ja schon noch einiges bereinigen im aktuellen cloop.

LG

Holger

mdt · 11. März 2020 um 08:46

Ich wäre ja ein Fan von einem minimalen Image oder noch besser einer guten Doku was einen Linuxmuster-Client ausmacht, sodass man andere Abbilder einfach integrieren kann (da gibts ja hier einen anderen Thread, der aber soweit ich weiss mit der Aufgabe endet).

Hm, nun bin ich am Ende: Ich habe gestern ein dist-upgrade auf dem Server gemacht und seit dem kann ich mich zwar am Client anmelden (der Client ist auf dem Stand vor meinem Versuch, ein paar Pakete zu deinstallieren), aber der Proxy „geht nicht mehr“. apt meldet 407 (der hatte ja user/pwd im conf), firefox fragt mich nicht mehr nach user/pwd (wie er vorher gemacht hat) sondern meldet einen Fehler. Anmelden klappt auch nur noch mit linuxadmin, nicht mit meinem account.

Das Upgrade hatte ich gestern gemacht weil hier ein Posting auftauchte, dass jemand LDAP-Probleme hatte nach einem Update… Der Thread wurde aber wieder entfernt (warst du das, Holger? Ich weiss nicht mehr).

alois · 11. März 2020 um 12:59

Nein, ich meine es war Michael.

Gruß

Alois