Beiträge

Flashplayer – eigener interner Update Service

flash-logoDie Anzahl gefährlicher Sicherheitsücken im Flashplayer zwingt Hersteller Adobe immer wieder, selbst zwischen den festgelegten Patchdays, Korrekturen für den Flashplayer zu veröffentlichen. Um diese schnellstmöglichst weitgehend automatisiert auszurollen, nutz(t)e ich für die Updates auf den Rechnern im Unternehmen die Funktion des Flashplayers, einen internen Webserver ansprechen zu können. In diversen Anleitungen und Dokus seitens Adobe wird dieses Szenario mehr oder weniger (eigentlich eher weniger) ausführlich beschrieben. Darum bereite ich das hier mal etwas auf.

Konfiguration des Flashplayers:

Der Flashplayer läßt sich mittels einer lokalen Konfigurationsdatei namens mms.cfg konfigurieren. Diese Datei befindet sich, je nach Ausführung des Flashplayers und der Windowsversion, ob 32 oder 64 bit , im Verzeichnis C:\Windows\SysWOW64\Macromed\Flash\mms.cfg (32 bit Flashplayer auf 64 bit Windows) oder C:\Windows\System32\Macromed\Flash\mms.cfg (64 bit Flashplayer oder 32 bit Flashplayer auf 32 bit Windows). Ist sie nicht vorhanden, kann man sie mittels Texteditor erstellen.

Folgende Parameter gehören in die Datei:

AutoUpdateDisable=0
SilentAutoUpdateEnable=1
SilentAutoUpdateServerDomain=Updateservername

AutoUpdateDisable setzt man auf 0 und aktiviert somit AutoUpdate. SilentAutoUpdateEnable bedeutet dem Updatedienst, seine Dienste unauffällig im Hintergrund zu erledigen, SilentAutoUpdateServerDomain betitelt schließlich den Server, auf welchem der Updatedienst nach Updates suchen soll. Dieser letzte Eintrag ist wichtig im Hinblick auf die folgende Beschreibung des Webservices.

Ein vorhandener Webserver stellt in einem fest von Adobe vorgegebenen Pfad die Dateien für das Update des Flashplayers zur Verfügung. Der Client spricht zwingend per https mit dem Webserver was bei der Einrichtung etwas mehr Aufwand wg. einem vertrauenswürdigen Zertifikat mit sich bringt (Sofern keine eigene CA im Einsatz, ggf. selbst signiert und über AD auf die Clients verteilt, es darf beim Aufruf der Serveradressen KEIN ssl Fehler auftreten).

Im Webrootverzeichnis muss folgender Ordnerpfad angelegt werden:

/pub/flashplayer/update/current/sau

Ein Aufruf mittels Browser sollte keine Fehlermeldung (auch keinen SSL-Fehler) produzieren:

https://Updateservername/pub/flashplayer/update/current/sau

In diesen Ordner muss nun ein Updatepaket von Adobe entpackt werden. Adobe verteilt es über die Seite https://www.adobe.com/de/products/flashplayer/distribution3.html und nennt das Paket dort „Ressourcen für Updates im Hintergrund herunterladen“. Gemeint ist das .cab Archiv fp_background_update.cab. Diese Datei lädt man also herunter, entpackt sie und lädt die entpackten Daten dann samt Unterordnerstruktur in o.g. Pfad. Die Pfadstruktur sieht dann in etwa so aus (Stand Nov. 2015, Versionen variieren):

https://Updateservername/pub/flashplayer/update/current/sau/currentmajor.xml
https://Updateservername/pub/flashplayer/update/current/sau/11/install/install_all_mac_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/11/install/install_all_win_ax_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/11/install/install_all_win_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/11/xml/version.xml
https://Updateservername/pub/flashplayer/update/current/sau/18/install/install_all_win_ax_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/18/install/install_all_win_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/18/xml/version.xml
https://Updateservername/pub/flashplayer/update/current/sau/19/install/install_all_win_ax_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/19/install/install_all_win_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/19/xml/version.xml

Der Webserver läuft bei mir auf einer vorhandenen Ubuntu VM mit. Ein Shellscript prüft jede Nacht ob eine neue Updatedatei (fp_background_update.cab) bei Adobe zum Download bereit liegt. Das erledigt das Tools wget mit der Option –spider welche Dateien nicht herunterlädt sondern nur deren Existenz überprüft. Das Ergebnis wird nach dem String „Last-Modified“ geparst und eigentlich wird nicht das Datum sondern nur der Ergebnisstring verglichen. Das reicht aber aus um festzustellen, daß sich etwas an der Datei geändert hat. Ist dies der Fall, wird diese heruntergeladen, entpackt und ersetzt die alten Dateien auf dem Webserver.

Mein Script downloadflash.sh welches jede Nacht ausgeführt wird:

#!/bin/bash
#
# Update der Adobe Flashkomponenten fuer internen Update Service
# Die Fortschrittsanzeige beim Download, für Testzwecke , stammt von:
# http://fitnr.com/showing-file-download-progress-using-wget.html
#
# 02.11.2015, kw
#

#aktuelles Datum
currentDate= date
#Logfile
log=/flashupdate/update.log

#Downloadfunktion zeigt einen prozentualen Downloadfortschritt an
download()
{
 local url=$1
 local targ=$2
 echo -n " "
 wget --progress=dot $url -O $targ 2>&1 | grep --line-buffered "%" | \
 sed -u -e "s,\.,,g" | awk '{printf("\b\b\b\b%4s", $2)}'
 echo -ne "\b\b\b\b"
 echo " DONE"
}
#Pruefung aktueller Status der Updatedatei und Bindung an Variable $adobecabdate -> Suche (grep) nach "Last Modified" -> xargs entfernt ggf. Leerzeichen/Tabs vor und nach String
adobecabdate=$(wget --server-response --spider http://download.macromedia.com/pub/flashplayer/current/licensing/win/fp_background_update.cab 2>&1 |grep Last-Modified | xargs)


#Prüfung aktueller Status der Updatedatei auf dem lokalen Server und Bindung an Variable $localcabdate
localcabdate=$(wget --server-response --spider http://localhost/pub/flashplayer/update/current/sau/fp_background_update.cab 2>&1 |grep Last-Modified | xargs)

# Zugriff Logfile
touch $log

# Vergleich letzter Status gg. aktueller Status. Wenn gleich, Scriptende. Wenn nicht gleich, Download.
if [ "$adobecabdate" = "$localcabdate" ]
 then
 echo $currentDate >>$log 2>1
 echo "Aktueller Wert Adobe: " $adobecabdate " - Letzer Wert lokal: " $localcabdate >>$log 2>1
 echo "Keine neue Version." >>$log 2>&1
 exit 1
 else
 # Zielordner bereinigen
 echo $currentDate >>$log 2>1
 echo "Aktueller Wert Adobe: " $adobecabdate " - Letzer Wert lokal: " $localcabdate >>$log 2>1
 echo "Neue Version Adobe: " $adobecabdate >>$log 2>&1
 echo "Zielordner bereinigen" >>$log 2>&1
 rm -rf /var/www/html/pub/flashplayer/update/current/sau/* >>$log 2>&1

 download http://download.macromedia.com/pub/flashplayer/current/licensing/win/fp_background_update.cab /var/www/html/pub/flashplayer/update/current/sau/fp_background_update.cab
fi


# Datei entpacken (-d = Zielverzeichnis)
cabextract -d /var/www/html/pub/flashplayer/update/current/sau/ /var/www/html/pub/flashplayer/update/current/sau/fp_background_update.cab >>$log 2>1

Und damit wars das auch schon mit der Konfiguration. Ein simpler https erreichbarer Webspace genügt um dem Flashplayer mittels einer Konfigdatei das leise Updaten über einen internen Server zu vermitteln. Das macht dann Sinn, wenn die Clients nicht ungezügelt externe Updatedienste im Internet kontaktieren sollen oder dürfen.

Stolpersteine:

Es gibt für dieses Szenario ein paar kleine Hürden.

Wie konfiguriere ich den Webserver bzw. die Clients für den fehlerfreien https Zugriff .

Eine hilfreiche Anleitung, wie man selbstsignierte Zertifikate erstellt und auch verteilt bietet dieser Artikel von Mark Heidbrink auf faq-o-matic.net. Wichtig hierbei ist, daß der gewählte Common Name (CN) für das Zertifikat dem Wert von SilentAutoUpdateServerDomain aus der mms.cfg entspricht. Erstellt man ein Zertifikat mittels selfcert, gehört dieses auf jedem PC in den Speicher für Vertrauenswürdige Stammzertifizierungsstellen. Darum bietet sich ein Rollout per Gruppenrichtlinie an.

Wie bekomme ich die Datei mms.cfg auf die Clients

Die mms.cfg kann man manuell, per Loginscript oder bspw. Clientmanagement, in meinem Fall OCS Inventory, auf die Clients kopieren.

Wie zwinge ich den Flashplayer JETZT ein Update zu suchen.

Zum Update des Flashplayers wird zusammen mit diesem ein Dienst namens „Adobe Flash Player Update Service“ installiert. Dieser steht auf Startart Manuell und ist beendet. Startet man ihn von Hand, beendet er sich augenblicklich wieder. Dieser Dienst startet standardmäßig jede Stunde. Dabei prüft er aber nicht, ob ein Update vorliegt sondern er prüft nur ob es mal wieder an der Zeit ist, nach neuen Updates zu suchen. Ich meine irgendwo gelesen zu haben, daß er erst nach mind 24 Std. seit dem letzten Update erneut nach Updates sucht. Daher verbraucht der Dienst sehr wenig Resourcen. Er prüft lediglich anhand eines Zeitstempels in der Registry ob die Zeit für eine neue Updatesuche gekommen ist.

Um nun nach der Einrichtung oder bei einer evtl. Fehlersuche den Flashplayer Update Service zum Update zu zwingen, genügt es, den Wert des Registrykeys

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Macromedia\FlashPlayerSAU\LastUpdateCheck

zu löschen (32 bit Flashplayer auf 64 bit Win). Wenn man anschließend den Update Service einmal von Hand startet, lößt dieser eine echte Updatesuche aus.

Ubuntu boot – Partition voll – Holzhammermethode

Wenn ich mit VMs hantiere und ‚mal schnell‘ eine Ubuntu VM installiere, klicke ich den Installer mit den meisten Default Einstellungen durch. Auch die Partitionierung der (virtuellen) HDD überlasse ich mangels besseren Wissens den Defaults des Setup.

Nun passierte es kürzlich, daß div. Softwareinstallationen scheiterten, weil die /boot Partition angeblich voll sei. Es stellte sich heraus, daß diese mit ca 240 MB nicht sonderlich groß war.

brd06

Ausgiebiges googeln nach Möglichkeiten der Vergrößerung ließ mich unzählige Workarounds mit fdisk und lvmgr ausprobieren. Letztlich führte nichts zum gewünschten Erfolg. Als alter Mausschubser wünschte ich mir ausserdem gern eine grafische Lösung meines Problems. Die fand ich schlussendlich in Form einer Boot CD zur Reparatur des grub2 Bootmanagers: Boot-Repair-Disk (B-R-D)

Mit der folgenden, etwas groben, Vorgehensweise konnte ich die /boot Partition vergrößern/verschieben.

  • Vergrößern der virtuellen Festplatte
  • Booten der VM mittels B-R-D
  • die nächsten Schritte mittels GParted: kopieren der /boot Partition auf den ungenutzten Speicherbereich
  • /boot-Flag auf neuer Partition setzen
  • alte /boot Partition löschen
  • GParted beenden
  • Aufruf des Tools „Boot-Reparatur“ von B-R-D
  • Anweisungen zur Reparatur von grub2 befolgen
  • Reboot, fertig.

Eine detailierte bebilderte Anleitung habe ich HIER zusammengestellt.

Es sei erwähnt, daß sich nach dem Booten mittels B-R-D ein Snapshot der VM anbietet um im Fehlerfall an den Ausgangspunkt der Aktion zurückspringen zu können.

Nachdem ich mittels o.g. Prozedur die Speicherprobleme beheben konnte, stellte sich mir die Frage, was eigentlich beim Setup per Default eingestellt ist und was es für Alternativen für die Zukunft gäbe.

Während der Ubuntu Installation lautet die Vorbelegung des Assistenten zur Partitionierung: „Geführt – gesamte Platte verwenden und LVM einrichten“.

 

brd03

Das führte zu folgender Partitionierung mit vollgelaufener /boot Partition

gefüllte /boot Partition

 

Die /boot Partition befindet sich am Anfang der HDD und kann nicht vergrößert werden

Weicht man stattdessen beim Setup auf den ersten Eintrag in der Liste aus – „Geführt – vollständige Festplatte verwenden“ …

brd04

…ergibt sich folgende Partitionierung, welche man im Bedarfsfall etwas einfacher erweitern könnte.

brd05

 

 

diverse Parameter bei der Arbeit mit Linux

Kommandos, Shortcuts, Konfiguration die ich mir immer wieder ergoogle weil ich sie mir nicht merken kann/will…

Ubuntu Version auslesen

lsb_release -a

Kernel Version

cat /proc/version_signature

CentOS Version auslesen

cat /etc/redhat-release

CentOS Dienste

chkconfig --list
service --status-all
service --stauts-all | grep... filtern

Editor vi – Zeilennummern

#Einschalten

:set number

#Ausschalten

:set nonumber

#Zeilennummer per default immer einschalten: in die Datei /etc/vim/vimrc die Zeile

set nu

einfügen.

Proxyserver als globale Variable eintragen: /etc/environment bzw. ~/.bashrc

export http_proxy='http://user:password@prox-server:port'
export https_proxy='http://user:password@prox-server:port'
export ftp_proxy='http://user:password@prox-server:port'
alternativ
export {http,https,ftp}_proxy='http://user:password@prox-server:port'

User/Password nur wenn für Proxy erforderlich

für apt in /etc/apt/apt.conf

Acquire::http::proxy "http://Proxy-IP-Adresse:Port/";

für wget in /etc/wgetrc

http_proxy = http://Proxy-IP-Adresse:Port/

https_proxy = http://Proxy-IP-Adresse:Port/

für yum in /etc/yum.conf
 proxy=http://Proxy-IP-Adresse:Port

für rpm: sudo visudo
Defaults env_keep += „http_proxy“
Defaults env_keep += „https_proxy“

 

Hilfreich: https://help.ubuntu.com/community/EnvironmentVariables

Linux Taskmanager – Alternative zu ‚top‘

Eine übersichtliche schicke Alternative zu ‚top‘ auf der Console ist ‚htop‘

Da ich mit Ubuntu arbeite, erfolgt die Installation mittels apt-get.

sudo apt-get install htop

Aufruf, schlicht: htop