Patches für den FLI4L

An dieser Stelle möchte ich einige kleinere Erweiterungen und Änderungen am FLI4L bzw. an den OPT-Paketen aufzeigen. Diese Patches müssen manuell eingebaut werden, daher sind sie nur für erfahrene Benutzer gedacht. Ausserdem sollten Patches grundsätzlich nur auf Pakete mit gleicher Versionsnummer angewendet werden. Grundsätzlich gilt für alle Patches: Benutzung auf eigene Gefahr!

Sicherheitsrelevante Patches

Für den HTTPD in FLI4L 2.0.8 existiert ein Patch, der eine Sicherheitslücke behebt. Im Detail:

Beschreibung: Durch einen Fehler in den Routinen, die mini_httpd 1.15c benutzt, um HTTP-Anfragen zu verarbeiten, ist es einem entfernten Client möglich, beliebige Dateien auf dem betroffenen System zu lesen.

Risiko: Mittel in der Standard-Installation, da der HTTP-Port nur zum inneren Netzwerk offen ist. Hoch, wenn der HTTP-Port nach aussen geöffnet wurde.

Eine fehlerbereinigte Version findet sich unter http://download.fli4l.de/2.0.8/httpd-2.0.8-patch-a.tar.gz, Benutzer der Developer-Version sollten so schnell wie möglich auf 2.1.6 updaten.

Siehe dazu auch das Posting < d2n2l1-6ov.ln1@portfolio16.de > von Tobias Gruetzmacher in spline.fli4l.geschnatter.

Für opt_samba, version 2.1.6

Irgendwann ab 2.1.5 / 2.1.6 ist die Fileserverfunktionalität von opt_samba verloren gegangen. Anscheinend fehlen aber nur die Konfigurationsvariablen, die eigentliche Funktionalität ist immer noch da. Mit diesem Patch attachment:samba-2.1.6.diff wird sie wieder aktiviert. Der Patch ist ungetestet, reichte aber, um beim Browsen das fli4l rootfs und ein cdrom als share angezeigt zu bekommen. Vielleicht kann es ja mal jemand in etwas runderer und anwendungsfreundlicherer Form zur Verfuegung stellen (momentan muß man wissen, wie man mit diff und patch umgeht und ob der patch das upload ueberstanden hat, ohne sein Dos-Format zu verlieren, weiss ich auch nicht).

Nachfolgende Datei nach Installation des neuesten samba-opts (29.4.04) einfach wie ein opt darüber installieren:

attachment:samba%2Bfileserver-2.1.6.zip

Für opt_samba, version 2.1.7

ditto wie 2.1.6 (opt_samba_lpd vom 11.5.04):

attachment:samba%2Bfileserver-2.1.7.zip

Für opt_samba, version 2.1.8

ditto wie 2.1.7 (opt_samba_lpd vom 24/29.9.04):

Hinweis: da es immer wieder zu Fehlern bei der Installation kommt noch einmal deutlich: dies ist ein "patch" und ersetzt nicht das "aktuelle" samba-opt sondern "ergänzt" lediglich die fehlende "Fileserver-Funktionalität"!

Daher zuerst das aktuelle opt_samba_lpd und dann -> attachment:samba%2Bfileserver-2.1.8b.zip

• Mein WinZip moniert alle 3 Zip-Dateien (für 2.1.6, 2.1.7 und 2.1.8) als fehlerhaft! Wie kommt das? -- dn

• Habe gerade die Version 2.1.8 heruntergeladen und mit "unzip -t" getestet. Keine Probleme. Du hattest entweder einen Fehler beim Download oder WinZip spinnt. Versuch's mal mit dem InfoZip unzip von http://www.info-zip.org/pub/infozip/UnZip.html -- twm

• Habe die Datei (2.1.8) erneut heruntergeladen (an einem ganz anderen PC): WinZip kommt immernoch nicht mit der Datei zurecht! Dann habe ich mir das InfoZip unzip besorgt und getestet:

unzip -t "samba+fileserver-2.1.8b.zip"
Archive:  samba+fileserver-2.1.8b.zip
  End-of-central-directory signature not found.  Either this file is not
  a zipfile, or it constitutes one disk of a multi-part archive.  In the
  latter case the central directory and zipfile comment will be found on
  the last disk(s) of this archive.
unzip:  cannot find zipfile directory in samba+fileserver-2.1.8b.zip,
        and cannot find samba+fileserver-2.1.8b.zip.zip, period.

Und nun? --- dn

• alternativ steht der patch auch noch hier: http://jetzweb.de/harrynett/fli4l/fli4l218/samba_fileserver-2.1.8b.zip

• Danke für den Hinweis, wenn ich die Datei von dort lade funktioniert sie einwandfrei (auch mit WinZip)! Ich habe jetzt auch herausgefunden was mit der Datei hier vom Wiki los ist: Das ist ein GZip! und in diesem GZip ist nochmal ein Zip! D.h. Datei umbenennen auf Endung .gz, mit WinZip entpacken, entpackte Datei umbenennen auf Endung .zip, wiederum entpacken und man ist im Geschäft... zugegeben etwas kompliziert. mich wundert aber, dass das sonst noch niemandem aufgefallen ist! komprimiert Wiki die Dateien vielleicht nochmal zusätzlich mit GZip? -- dn

Für opt_samba, version 2.1.9

(opt_samba_lpd vom 30.1.05):

attachment:samba%2Bfileserver-2.1.9b.zip

und weil es so schön damit harmoniert noch das opt hdtune für 2.1.9 jedoch derzeit nur für boards mit intel-ide-chipset geeignet:

attachment:opt-hdtune-2.1.9

das opt aktiviert DMA und den 32-bit Zugriff - überprüfen kann man dies mit 'hdparm -d /dev/hda' bzw. 'hdparm -c /dev/hda'. Ein Speedtest (davor/danach) mit 'hdparm -t /dev/hda' dürfte dann auch eventuelle Zweifel (ob das opt etwas bringt) beseitigen!

Für opt_samba, version 2.1.10

(opt_samba_lpd vom 22/20/16.7.05):

attachment:samba%2Bfileserver-2.1.10e.zip

Für opt_samba, version 2.1.11/2.1.12/2.1.13

(opt_samba_lpd vom 29.7.05/12.9.05/08.12.05):

attachment:samba%2Bfileserver-2.1.11a.zip

Leider werden keine Dateien > 2 GB unterstützt. (db, 15.12.05)

Für opt_samba, version 3.0.x

(opt_samba_lpd vom 24.12.05): attachment:samba%2Bfileserver-3.0.0.zip

neue binaries (Dateien > 2 GB)

attachment:samba%2Bfileserver-3.0.1.zip --> ist kein zip- sondern ein tar-archiv: und heißt eigentlich opt_smb_2.2.12_fli4l_3.0.0b.tar.gz

Für fli4l 3.1.0 kernel 2.4/2.6 m. neuesten samba-binaries 3.0.22 (Dateien > 2 GB)

http://www.ip-phone-forum.de/downloads.php?do=file&id=297

attachment:pureftp-3.0.5.zip (pure-ftpd-1.0.22 - 29.5.06) für fli4l.3.0.x und 3.1.0

./configure --with-everything --with-language=german --with-largefile

Neu:

* Version 1.0.22: - TLS support for LDAP, contributed by Marc Balmer. - pureftpd.schema contained two errors. Reported by Ulrich Zehl.

* Version 1.0.21: UTF-8 support and client-to-fs charset conversions are ready. Large files are supported by default, even on Linux through sendfile64(). OPTS MLST and SITE UTIME commands have been implemented.

One last thing: pure-ftpd 1.0.21 is probably the release with the best performance ever. Thanks to some network optimizations, there have been huge performance improvements while transfering a lot of small files.

Für 1247-opt_cipe1.5.4_v1.1.4[2.0.7-2.0.8]

Leider geht eine Cipe-Verbindung gelegentlich verloren, insbesondere wenn man sehr viel Traffic erzeugt. In der Version für den 2.1.x'er FLI4L gibts dazu die Funktion, den Tunnel zu überwachen und ggf. automatisch neu zu starten. In den älteren Versionen gibts soetwas nicht, und selbst das Neustarten des Tunnels ohne die Verbindung abzubauen ist über die Konsole sehr umständlich. Daher habe ich ein Patch gemacht, der im Webinterface das starten und stoppen von Cipe ermöglicht (düfte im Moment aber nur klappen, wenn man nur ein Cipe-Tunnel hat).

Patch: Im Opt-Verzeichnis folgende Dateien gegen die gepatchen austauschen:

• opt\files\usr\local\bin\ciped.sh attachment:ciped.sh
• opt\files\usr\local\htdocs\main_cipe.cgi attachment:main_cipe.cgi

Der Patch baut darauf auf, dass in der Version vom Autor diese Funktion vorgesehen wurden, aber nicht zu Ende programmiert wurden (auskommentierte Zeilen).

Für 847-bcrelay-opt.0.3

Hier ist leider ein Fehler im OPT, wodurch das Relayen nicht funktioniert. Der Fehler liegt in der Datei opt\etc\rc.d\rc766.bcrelay.

Patch: In dieser Datei die Zeile

     /usr/local/sbin/bcrelay $bcport "\"$BCRELAY_INTERNALNET|ppp[$start-9][0-9]*\"" 

ersetzen durch

     /usr/local/sbin/bcrelay $bcport "$BCRELAY_INTERNALNET|ppp[$start-9][0-9]*" 

Für 780-opt_info-0.2.3

Mit einem kleinen Patch lassen sich die in der Detailansicht sichtbaren Prozesse mit einem Mausklick killen (ich hoffe, ihr wisst was ihr da tut!). Passt leider nicht ganz zu einem Paket, was eigentlich nur Inforamtionen anzeigt und mit dem man normalerweise nichts kaputt machen kann.

Im Opt-Verzeichniss folgende Datei gegen die gepatchte Datei austauschen:

• opt\files\usr\local\htdocs\info_process.cgi attachment:info_process.cgi

Für 546-opt_dyndns-2.1.16

Problem (Auszug aus der Doku zu OPT_DynDNS): "Dieses Paket macht bei jeder Neueinwahl ein Update. Dies kann bei einigen Anbietern, wenn der Provider mehrfach dieselbe IP-Adresse zuweist (z.B. HanseNet), zu Problemen bis hin zur Sperrung des Accounts wegen "abuse" fuehren. Abhilfe wuerde es schaffen, wenn man die letzte IP jeweils abspeichert und bei der naechsten Einwahl mit der neuen IP vergleicht."

Patch:

Im Opt-Verzeichnis folgende Datei gegen diese gepatchte austauschen:

• \opt\etc\rc.d\rc.dyndns attachment:rc.dyndns

Die Änderungen können auch von Hand eingepflegt werden. Ich habe jede Zeile, die ich verändert habe, mit '## wenger ##' gekennzeichnet.

Außerdem kann noch die Konfiguration für den DynDNS-Provider 'T-Link' (www.t-link.de) hinzugefügt werden.

Patch:

Im Opt-Verzeichnis folgende Datei gegen diese gepatchte austauschen:

• \opt\etc\dyndns.conf attachment:dyndns.conf

Oder die Änderungen (Zeile 4 bis 10) von Hand einpflegen.

Das Problem:

Nach einem Reboot von FLI4L wird der DynDNS-Update bei der ersten Einwahl nicht immer zuverlässig ausgeführt.

Die Lösung (vgl. www.arnowelzel.de/fli4l_software.php): Nach einem Hinweis in spline.fli4l.opt liegt das daran, dass die DSL-Verbindung bereits während des Bootvorgangs aufgebaut wird und das Update bei DynDNS nicht klappt, solange der Bootvorgang noch nicht vollständig abgeschlossen ist.

Patch:

Um dieses Problem zu umgehen, fügt man folgende Zeilen am Anfang (nach den einleitenden Kommentaren) der Datei /opt/etc/ppp/ip-up ein:

# wait until fli4l has booted completely
while [ ! -f /var/run/boot_finished ]
do
  sleep 1
done

Vorsicht! Das führt bei älteren fli4l-Versionen, die die Datei /var/run/boot_finished nicht schreiben, dazu, dass überhaupt nie eingewählt wird.