Debian Stretch Mariadb – Rootlogin phpmyadmin funktioniert nicht mehr

Es ist zwar kein neuer Hut mehr, dass es mit Mariadb in Verbindung mit dem rootlogin in phpmyadmin Probleme gibt, ich möchte es an dieser Stelle aber dennoch erwähnen und eine – meiner Meinung nach gute – Lösung anbieten.

Hintergrund

Bei Mariadb (aktuell in Version 10.1.26-0+deb9u1) ist für den root-user ein unix_socket Plugin aktiv. Dieses Plugin prüft, ob man:

1.) Als Rootuser in der Konsole eingeloggt ist und
2.) den vorhandenen Mariadb-root-user.

Wenn man sich nun bei phpmyadmin als Benutzer root einloggen will, schlägt dies fehl. Klar! In dem Fall meldet man sich ja nicht per Konsole (als User root) bei der Mariadb an, sondern über das Web.

Lösungsweg

Es gäbe nun die Möglichkeit, das Plugin für den Mariadb-Benutzer root zu deaktivieren. (Davon sehe ich hier aber ab). Besser ist es, einen neuen Datenbankbenutzer anzulegen, der -so wie root- auch Vollzugriff auf alle Datenbanken hat, um letztendlich alle Datenbanken per phpmyadmin verwalten zu können.



Im Terminal des Servers  bzw. des Linuxsystems sind folgende Schritte (eingeloggt als root) durchzuführen:

mysql

grant all on *.* to neuerrootuser@localhost (RETURN)
identified by 'deinpasswort' with grant option;

Es ist nun ein weiterer Benutzer mit DB-Rootrechten angelegt worden.

Absicherung der Installation

Es ist immer eine gute Idee, den Befehl

mysql_secure_installation

auszuführen, um einige DB-Einstellungen sicherer zu gestalten. Hierbei kann (und sollte!) auch für den bereits vorhandenen DB-Benutzer „root“ ein Passwort gesetzt werden. (In der Standardkonfiguration hat dieser DB-Benutzer kein Passwort, da ja u.a. auf das unix_socket-Plugin zurückgegriffen wird).

Bestehende MariaDB-Benutzer abfragen / Plugincheck

Will man prüfen, welche User angelegt sind / für wen das oben erwähnte Plugin aktiv ist, begibt man sich abermals in ein Rootterminal und startet folgende Abfrage:

mysql

select user, plugin from mysql.user;

 

 

Meltdown, Spectre: Systeme patchen nicht vergessen

Angesichts der momentan vorherrschenden Securityproblematik (Spectre, Meltdown…) solltet ihr eure Systeme Patchen. Für „Linux“ gilt es bereits vorhandene Kernelaktualisierungen einzuspielen und das System danach neu zu starten.

So gibts für die Stable Version von Debian (Stretch) mittlerweile die Kernelversion 4.9.65-3+deb9u2, die der Sicherheitsproblematik entgegenwirkt.

https://www.debian.org/security/2018/dsa-4078

https://security-tracker.debian.org/tracker/linux

Auch Microsoft stellt Patches zur Verfügung

Windows 7: https://support.microsoft.com/en-us/help/4056897/windows-7-update-kb4056897

Windows 8: https://support.microsoft.com/en-us/help/4056898/windows-81-update-kb4056898

Windows 10: https://support.microsoft.com/de-de/help/4056892/windows-10-update-kb4056892

Mikrotik Router – Grundkonfiguration from scratch

Generell kann der Mikrotik Router entweder über eine fixe IP-Adresse, oder das Programm Winbox angesprochen werden. Der Vorteil der Winbox besteht u.a. darin, dass der Mikrotik Router auch über seine MAC-Adresse gefunden wird.

Somit wird es möglich, per MAC-Adresse ins „Admin-Backend“ des Routers zu gelangen.

Ausgangslage

Sofern man die Werkseinstellungen des Routers übernimmt ist ein Port des Routers für den Anschluß des „Internet“ (anderer Router) gedacht. Die verbleibenden Ports stehen dem LAN zur Verfügung.

Ich will mich im Rahmen dieses Beitrages jedoch mit der kompletten Neukonfiguration beschäftigen. D.h. der Router ist absolut unkonfiguriert.

Was wollen wir erreichen

  • 1 Port soll für die WAN-Schnittstelle konfiguriert werden, wobei eine statische IP-Adresse Verwendung findet.
  • Die verbleibenden Ports sollen für das LAN zur Verfügung stehen.

WAN-Konfiguration

Nach dem Einstieg auf den Router per Winbox wählt man:

  • Menü IP -> Adresses
  • Klick auf das + Symbol im erscheinenden Fenster oben

Im Beispiel wird die IP 192.168.0.100/24 für das ether1 Port vergeben. Abschließend ist das Fenster mit OK zu bestätigen.

Bridge konfigurieren

Alle verbleibenen Ports sollen für das LAN zur Verfügung stehen und „gebridged“ werden (Jedes Port „macht“ das Gleiche).

  • Menü IP -> Bridge
  • Klick auf das + Symbol

Als Name wird z.B. bridge1 vergeben. Abschließend wird das Fenster mit OK geschlossen.

Der Bridge Ports zuordnen

Im Menü IP -> Bridge / Fenster Bridge müssen nun noch die Ports zugeordnet werden, die dieser Bridge zugeordnet werden sollen. Das WAN-Port darf der Bridge NICHT zugeordnet werden!

Dieser Schritt (oben) ist mit allen Interfaces zu wiederholen, die der Bridge hinzugefügt werden sollen.

Der Bridge eine IP Adresse zuweisen

  • Menü IP -> Adresses
  • Klick auf das + Symbol
  • IP Adresse der Bridge zuordnen

Abschließend ist das Fenster mit OK zu bestätigen.

Der Bridge einen DHCP-Server zuordnen

Für das LAN soll ein DHCP-Server konfiguriert werden. Da das LAN am Bridge-Port hängt, wird dem Bridge-Port ein derartiger Server zugeordnet.

  • Menü IP -> DHCP Server
  • Klick auf Button „DHCP SETUP“
  • Wahl des Interfaces (bridge1) -> Next
  • Den gewünschten Adressraum eingeben. Wenn z.B. der Mikrotikrouter mit 192.168.88.1 im LAN angesprochen wird, könnte man einen DHCP-Adressraum von 192.168.88.2 – 192.168.88.254 verwenden. -> Next
  • DHCP Relay leer lassen

Standardroute ins Internet setzen

Die Standardroute soll über zu einem Internet-Router zeigen, an dessen LAN-Port der Mikrotikrouter (WAN-Port) hängt. Der Internet-Router hat die IP Adresse 192.168.0.1

  • Menü IP -> Routes
  • Klick auf das + Symbol
  • Als Dst. Adresse: 0.0.0.0/0 eingeben (=Route ins Internet)
  • Gateway = IP des Internet-Router = 192.168.0.1
  • Mit Ok bestätigen

Im Fenster „Route List“ muss nun noch in den Reiter „Next Hops“ gewechselt werden, um zu prüfen, dass als Adresse die IP 192.168.0.1 (Internet-Router) eingetragen ist.

DNS Server definieren

Ohne DNS-Server geht es nicht.

  • Menü IP -> DNS Settings (Häkchen bei „Allow Remote Requests“ setzen nicht vergessen)

Das sollte es gewesen sein. Alle Clients die an den LAN-Ports des Mikrotik Routers hängen, sollten nun in das Internet gelangen.

 

 

 

Owncloud bleibt nach Upgrade im Wartungsmodus

Immer wiedermal passiert es, dass meine Owncloud nach einem Upgrade (per apt-get) im Wartungsmodus hängen bleibt. Um diesem Umstand entgegen zu wirken, muss man in der config.php, welche sich in der Regel (Debian) unter:

  • /var/www/owncloud/config/config.php

befindet den Wartungsmodus abschalten.

Mit einem Texteditor eurer Wahl editiert ihr also die config.php folgendermaßen:

  • ‚maintenance‘ => true,

ändern in:

  • ‚maintenance‘ => false,

Um sicherzugehen, dass das Upgrade fehlerfrei gelaufen ist, kann man folgende Befehl in der Kommandozeile absetzen, sofern der Wartungsmodus bereits inaktiv geschaltet ist:

  •  sudo -u www-data /var/www/owncloud/occ upgrade

mit einem:

  •  sudo -u www-data /var/www/owncloud/occ status

 

lässt sich der Versionsstatus abrufen. In meinem Fall sieht das dann so aus:

  • – installed: true
  • – version: 9.0.0.19
  • – versionstring: 9.0.0
  • – edition:
1 2