Kommandos von A bis Z

A

aa-complain programm

Das Kommando aa-complain aktiviert den complain-Modus für das AppArmor-Profil des angegebenen Programms. Regelverstöße werden damit zwar protokolliert, aber nicht geahndet, d.h., das Programm läuft ungestört weiter.

aa-complain steht wie alle anderen aa-xxx-Kommandos nur bei Distributionen zur Verfügung, die das Sicherheitssystem AppArmor verwenden, also (open)SUSE und Ubuntu. Unter Ubuntu befindet sich das Kommando im Paket apparmor-utils, das extra installiert werden muss.

Beispiel

Das folgende Kommando bewirkt, dass das Programm dovecot zwar weiterhin überwacht wird, Regelverstöße aber lediglich in einer Logging-Datei festgehalten werden:

aa-disable programm

aa-disable deaktiviert das AppArmor-Profil für das angegebene Programm. Zur Reaktivierung verwenden Sie aa-enforce oder aa-complain.

aa-enforce programm

Das Kommando aa-complain aktiviert den enforce-Modus für das AppArmor-Profil des angegebenen Programms. AppArmor unterbindet damit Datei- oder Netzwerkzugriffe, die durch AppArmor-Regeln verboten sind.

aa-status [option]

aa-status liefert eine Zusammenfassung über den Zustand des AppArmor-Systems. Durch die Angabe genau einer Option aus --complaining, --enabled, --enforced oder --profiled kann die Ausgabe auf eine Detailinformation verkürzt werden.

Beispiel

Auf dem Testrechner ist AppArmor aktiv. 25 Regelprofile sind geladen, aber nur vier davon überwachen tatsächlich laufende Programme.

ack [optionen] suchbegriff

ack ist eine für Programmierer und Administratoren optimierte Variante von grep. Im Gegensatz zum Original ignoriert ack GIT- und SVN-Verzeichnisse, Backup-Dateien sowie binäre Dateien. Bei vielen Distributionen befindet sich ack im gleichnamigen Paket oder in ack-grep. Alternativ kann ack auch als Perl-Modul installiert werden (cpan App::Ack).

ack ist grundsätzlich kompatibel zu grep, durchsucht aber standardmäßig rekursiv alle Dateien im aktuellen Verzeichnis (wie grep -r). Am häufigsten wird das Kommando in den Formen ack suchbegriff oder ack -i suchbegriff (Groß- und Kleinschreibung ignorieren) aufgerufen. Eine Referenz von ack-spezifischen Optionen liefern ack --help und man ack.

Eine Alternative zur ack-Variante ist das Kommando ag. Manche Distributionen bieten das Kommando im Paket silversearcher-ag an. Alternativ können Sie das Programm von GitHub klonen und dann selbst kompilieren:

https://github.com/ggreer/the_silver_searcher/wiki

Beispiel

Das folgende Beispiel sucht nach Dateien in /etc, die den Suchbegriff localhost enthalten, und gibt die entsprechenden Treffer samt Zeilennummern an:

acme.sh [optionen]

acme.sh ist ein Script, das bei der Installation von Let's-Encrypt-Zertifikaten hilft. Das Script ist eine handliche Alternative zum wesentlich bekannteren Kommando certbot, dessen Python-Abhängigkeiten aber in der Vergangenheit oft zu Installationsproblemen führten.

Auch acme.sh muss installiert werden. Das gelingt mühelos:

Im Rahmen der Installation wird /var/spool/root um eine Zeile erweitert. Dadurch kümmert sich Cron um den regelmäßigen Aufruf von acme.sh --cron und damit um die automatische Erneuerung aller Zertifikate, die mit acme.sh eingerichtet wurden.

• --cron
  erneuert alle mit acme.sh installierten Zertifikate, die älter als 60 Tage sind. Mit der zusätzlichen Option --force kann eine vorzeitige Erneuerung erzwungen werden.

• --install-cert -d domain
  [--cert-file path/to/certfile]
  [--key-file path/to/keyfile]
  [--fullchain-file path/to/fullchainfile]
  [--reloadcmd "systemctl restart httpd"]
  kopiert die zuvor mit acme.sh --issue erzeugten Zertifikate an einen Ort, wo der Webserver auf sie zugreifen kann, und startet den Webserver anschließend neu. Anstelle von systemctl restart httpd müssen Sie ein für Ihre Distribution geeignetes Kommando angeben, um den Webserver neu zu starten.

  Beachten Sie, dass es nicht zielführend ist, die in /root/.acme.sh gespeicherten Zertifikate selbst in ein anderes Verzeichnis zu kopieren. acme.sh merkt sich die Pfade und das Reload-Kommando für die automatische Zertifikatserneuerung.

  acme.sh verändert die Konfigurationsdateien Ihres Webservers nicht! Sie müssen die entsprechenden Anweisungen mit den Pfaden zu den Zertifikatsdateien selbst hinzufügen.

• --issue -d domain -w webrootdir
  richtet ein Zertifikat für die angegebene Domäne ein. Die Option -d kann mehrfach verwendet werden, um ein Zertifikat für zusammengehörige Domänen zu erzeugen (also z.B. -d eine-firma.de -d www.eine-firma.de). Wenn Sie ein Wildcard-Zertifikat wünschen, übergeben Sie beispielsweise -d eine-firma.de -d *.eine-firma.de. Die Zertifikate werden im Verzeichnis /root/.acme.sh gespeichert.

• --remove -d domain
  deaktiviert für die angegebene Domäne die Zertifikatserneuerung, die automatisch alle 60 Tage stattfindet. Obwohl der Optionsname das Gegenteil vermuten lässt, werden die Zertifikate selbst nicht gelöscht. Sie können aber nun das entsprechende Verzeichnis /root/.acme.sh/domain selbst löschen.

• --upgrade
  aktualisiert das Script acme.sh.

Beispiel

Die folgenden Kommandos erzeugen ein Zertifikat für die Domänen eine-firma.de und www.eine-firma.de und kopieren die Zertifikate in das für diesen Zweck eingerichtete Verzeichnis /etc/acme-letsencrypt:

acpi [optionen]