Captain's blog

Nachdem Peter Gutmann und ich vor einiger Zeit TrueCrypt und Co. auf Nutzbarkeit und Sicherheit der Verschlüsselung getestet haben, haben sich mittlerweile ein paar Dinge an dieser Front getan:
Die Entwickler haben in Zwischenzeit eine neue Version (4.3) herausgegeben, die ein paar Verbesserungen (leider fast ausschließlich für Windows-User) mit sich bringt. Daraufhin haben sich findige Leute einmal auf andere Angriffsvektoren auf die Software konzentriert, und sind prompt (bei der Linux-Version) fündig geworden...

Auch wenn die LinuxWorld Expo (dieses Jahr in Köln) wieder ein Stückchen "übersichtlicher" geworden ist, hat sich der Besuch doch auf gewisse Art und Weise wieder gelohnt:

Als hervorstechendstes Erlebnis gab es ein extrem interessantes Gespräch mit den Jungs von Zimbra, in dem ich endlich mehr über die Vorzüge der frisch herausgegebenen Beta erfahren konnte.
Sehr zur Freude diverser potentieller Kunden wird es nun endlich nicht nur möglich, verschiedene Identitäten via Webfrontend zu nutzen, sondern auch selbständig einen "POP3-Sammeldienst" einrichten zu können. Gerade das waren die Sachen, die bislang viele davon abgehalten haben, Zimbra auch "just for fun" zu nutzen.
Auch "persönliche Verteilerlisten" stehen nun endlich auf dem Programm, und sind erstaunlich einfach zu handhaben.
Das Update auf die Beta habe ich daher direkt heute (auf meiner "persönlichen" Umgebung) durchgezogen, und bin begeistert. Auch wenn sich auf den ersten Blick nicht viel getan hat, wirkt die Oberfläche noch einmal ein wenig schneller, hat mich persönlich am allermeisten gefreut, dass den Kontakten nun auch der Geburtstag zuzuordnen ist.

Viel Zeit habe ich mit Sven (Grussfrequenzen ) bei den Jungs am Gentoo-Stand verbracht, an dem ich dann auch mein erstes "Club Mate"-Erlebnis hatte.

Kurz vor Beginn der Linux NewMedia Awards konnte ich noch den zuständigen Redakteur des Linux-Magazins persönlich kennenlernen, der für die Aktualisierung meines alten Nmap-Artikels für ein bald erscheinendes Sonderheft zuständig ist.
Die Awards selbst waren dieses Jahr recht unspektakulär. Sowohl Ubuntus "Community Manager" als auch Mark Shuttleworth konnten nicht anwesend sein, einzig und allein die Verleihung des Preises an den sichtlich ergriffenen Klaus Knopper war den Applaus wert.

Zur Abwechslung (und um wenigstens mal irgendwas hier zu posten) wieder mal ein wenig komplett ungeordnete Laberei aus dem "Privatleben":

Ich kann mich leider nicht mehr daran erinnern, wann Zeit zu einem meiner wertvollsten Güter geworden ist. Der Beginn des "nebenher laufenden" Studiums war sicherlich das erste Eriegnis, das dazu beitrug; die Selbständigkeit im Nebenberuf hat's auch nicht besser gemacht. Komischerweise stelle ich fest, dass es einigen meiner Freunden und Bekannten spätestens seit Mitte dieses Jahres genau so ergeht, wobei ich mich nach Gründen oder kausalen Zusammenhängen frage. Sollte hier eine groß angelegte Verschwörung am Werk sein?

Anbei ein paar Dinge, die mich ganz aktuell (neben Arbeit und Studium) auf Trab halten:
- Einiges an neuem Lesestoff (Einsteigerseminar Latex / C und Linux / BSD-Hacks / Unix-/Linux-Hochverfügbarkeit / Existenzgründung IT)
- Weiterführende Beschäftigung mit OpenBSD
- Schreiben eines Artikels über das Gibraltar Security Gateway 2800
- Umzug des alten Strato-Servers, der nur noch als Spielwiese diente auf eine dickere Kiste bei Hetzner (DS5000), der direkt auf mehrere virtuelle Server aufgeteilt wird. An dieser Stelle werde ich mir dann auch direkt den Traum eines kleinen, öffentlichen Honeypots wahr machen.
- Sonstiger Kleinscheiß, der an dieser Stelle zu weit führen würde...

Darüber hinaus habe ich eben erfahren, dass ich (nun zum dritten Mal in Folge) in der Jury der diesjährigen LinuxNew Media-Awards sitzen werde, deren Ergebnisse am 15. November auf der LinuxWorld Expo in Köln vorgestellt werden.

Im Zuge des (hoffentlich) bald fertigen Artikels über Crypto-Filesysteme unter Linux habe ich kürzlich endlich einmal ein Projekt in Angriff genommen, das ich schon längst einmal angegangen sein wollte: die Verschlüsselung des gesamten Systems auf der Festplatte.
Im Gegensatz zu einem meiner älteren Artikel, der die Verschlüsselung von /home und Swap mit Hilfe des (mittlerweile obsoleten) Cryptoloop-Systems beschreibt, kommt in diesem Fall DM-Crypt inklusive der LUKS-Erweiterung(en) zum Einsatz. Glücklicherweise sind die meisten Werkzeuge für das Vorhaben bereits unter Dapper bereit, ein paar Hürden galt es jedoch zu überwinden.

Inspiriert ist dieses kurze Howto durch einen Blogeintrag von Sternensucher, sowie einem (eigentlich veralteten) Thread im Ubuntu-Forum.
Obwohl das Vorhaben sicherlich auch aus einem laufenden System heraus machbar wäre, wird das System im folgenden komplett neu installiert.

Bevor es losgeht, noch der obligatorische Disclaimer:
1. Dieses Howto richtet sich an Personen, die (wenigstens ungefähr) wissen, was sie damit anstellen. Die hier vorgestellte Vorgehensweise hat sich für mich als stabil und gangbar erwiesen. Sollte das bei dir nicht der Fall sein, kann ich dich (zur Zeit) nur schlecht bis gar nicht supporten.
2. Eine Datensicherung bereits im Vorfeld ist unabdingbar.
3. Solltest du deine Daten (durch dieses Howto, eine vergessene Passphrase, whatever) verlieren, übernehme ich keine Verantwortung dafür.

Da auch das geklärt ist, kann's ja nun losgehen:

Es ist mal wieder so weit: entgegen den bisherigen Plänen, einen Artikel über Tarantella (ups sorry, soll natürlich Sun) Secure Global Desktop und NX zu schreiben, genießt ein ganz anderes Thema seit gestern Prio eins.

Dieser Artikel wird wohl der für mich bisher interessanteste, nicht zuletzt deshalb, weil ich ihn in Zusammenarbeit mit jemand anderem schreibe. Ich werde dabei die Praxistauglichkeit von Festplatteverschlüsselungs-Tools unter Linux testen, darunter die beiden im Userspace arbeitenden EncFS und CryptoFS, sowie die kernelbasierten DM-Crypt, TrueCrypt und (unter Umständen) das kommerzielle BestCrypt.
Das eigentlich interessante an der Sache ist jedoch, dass kein geringerer als Peter Gutmann (Autor u.a. von "Secure Deletion of Data from Magnetic and Solid-State Memory") die theoretische Seite der Software untersuchen wird, der Artikel also letztendlich einem (kleinen) Security-Audit ziemlich nahe kommen wird.

Der erste Kontakt mit Peter war jedenfalls schon äußerst positiv, besonders, da ich ihm aus lauter Faulheit auch auf deutsch schreiben kann...was eigentlich auch ein Vorteil für ihn ist, da er mein grottenschlechtes Englisch so nicht ertragen muss.

Ich freue mich jedenfalls schon sehr auf die weitere Zusammenarbeit und auf das, was sie zutage fördern wird.

Nachdem ich jetzt mittlerweile ein paar Tage mit EncFS herumgespielt habe, frage ich mich zunehmend, wieso die Verschlüsselung von mehreren Dateien und / oder Verzeichnissen bislang so aufwändig war. Wenn ich daran denke, welchen Aufwand ich für meinen damaligen Artikel über verschlüsselte Filesysteme betrieben habe, kommt mir die Arbeit mit EncFS vor wie ein Kinderteller.

Auch wenn's doch erst sehr spät kommt, wünsche ich allen hier lesenden ein gutes und erfolgreiches neues Jahr,. Ich für meinen Teil bin am Abend des 1.1. wieder zuhause angekommen, und habe bis heute schon wieder einiges erlebt. Mit Details möchte ich euch an dieser Stelle aber nicht langweilen, immerhin habe ich mich in letzter Zeit ja doch recht rar gemacht, und will niemanden mit belanglosen persönlichen Dingen vergraulen..

Den ersten Eintrag des Jahres werde ich auch recht kurz halten, da ich leider erst seit gestern mit alternativen Möglichkeiten der Verschlüsselung von Daten auf Festplatten befasse. Seit meinem Artikel zum Thema im Linux-Magazin hat sich diesbezüglich ja doch einiges getan.
Durch ein Posting im RootForum bin ich zum ersten Mal auf die Möglichkeit gestoßen, mit Hilfe von fuse für Verschlüsselung zu sorgen. Das Ganze nennt sich dann schlicht und ergreifend encfs, dessen Möglichkeiten ich immer interessanter finde.

Das auch im Posting genannte TrueCrypt hingegen regt mich irgendwie (rein subjektiv) nicht so zum "rumspielen" an. Vielleicht täuscht mich mein Gefühl in diesem Punkt ja vollkommen, und sofern mich jemand da eines besseren belehren kann, würde ich mich sehr über Erfahrungsberichte freuen.

Bis dahin aber teste ich auch weiterhin mit encfs rum, und werde Erfahrungsberichte im Laufe der nächsten paar Tage hier als "Rückkehr" veröffentlichen. Vielleicht entwickelt sich bis dahin ja hier schon eine kleine Diskussion.

Ich bin beeindruckt: anscheinend hat mein nmap-Artikel im aktuellen Linux-Magazin den Jungs und Mädels so gut gefallen, dass er in übersetzter Form sogar in der nächsten Ausgabe des internationalen / englischen Linux Magazine erscheinen wird. Heute habe ich jedenfalls endlich das "Go" für die Übersetzung geben können.

Ich war ja schon etwas stolz drauf, den Text (endlich) in der deutschen Ausgabe zu sehen, (mal wieder) über die Grenzen Deutschlands (in gedruckter Form) gelesen zu werden ist schon recht...speziell...
Ich bin ja mal gespannt, ob der kürzlich angefangene neue Artikel wieder so gut ankommen wird.

P.S.: Ist eigentlich jemand am 15. dieses Monats auf der LinuxWorld Expo?

Auch wenn ich seit mittlerweile über einem Jahr (natürlich immer nur schubweise ) an meinem Artikel über nmap für's Linux-Magazin saß, hielt ich ihn gestern zum ersten Mal in gedruckter Form in den Händen.

Ab Seite 46 geht's los, und ich bin echt froh, diesmal nicht doch wieder diverse Tippfehler entdeckt zu haben. Einen besonders blöden habe ich dann aber doch noch gefunden...und das noch auf der letzten Seite (52): natürlich muss es "IDS für Arme" heißen, und eben nicht IPS.
Na ja, ich werd's überleben.

Der Artikel passt jedenfalls meiner Meinung nach sehr gut zum restlichen Themenschwerpunkt "Security", und es ist ein gutes Gefühl, seinen Namen in einer solch illustren Runde zu lesen. Besonders gut gefällt mir übrigens der Artikel über HA-Firewalls mit OpenBSD, der mir nicht zuletzt aufgrund meiner aktuellen OpenBSD-Spielereien extrem entgegen kommt.
Im Gegensatz zu hochverfügbaren Linux-Firewalls ist diese Technik nämlich durch den Einsatz von CARP (Common Address Redundancy Protocol) spätestens im Fehlerfall überlegen, ganz abgesehen davon, dass ich PF erheblich einfacher (und konsistenter) finde als IPTables.

Vielleicht liest ja der eine oder andere hier meinen geistigen Erguss, und traut sich sogar, das durch konstruktuves Feedback hier zuzugeben?

Heute ist mal wieder einer dieser Tage:

Bedingt durch einen neuen Artikel, der sich mit Tarantella und NoMachine NX befassen wird, habe ich heute morgen kurzer Hand einen kleinen LDAP aufgesetzt. Warum sollten die paar Testuser, die dafür nötig waren auch an diversen Stellen einzeln händisch angelegt werden?
Da das Ganze aber dann doch so wunderbar lief, und ich nach kurzer zeit fertig war, habe ich dann kurz entschlossen endlich meinen lang gehegten Plan einer zentralen Userverwaltung hier zuhause umgesetzt. Mittlerweile authentifizieren sich auch schon sämtliche Unix-Hosts hier gegenüber dem LDAP-Server (natürlich verschlüsselt via SSL).

Als kleines Tüpfelchen auf dem i wurde dann auch noch der Samba-Server dort intergriert. Immerhin legt schließlich sogar ein einziger User seine Files auf dem zuständigen Server ab...

Hatte ich eigentlich schon erwähnt, dass ich Urlaub habe?

Endlich ist es so weit: ich habe heute Abend endlich die erste Rohfassung des (nächsten Monat erscheinenden) nmap-Artikels fertig gestellt und eingesandt. Zu meinem Erstaunen kam sogar schon die erste Reaktion, die durchaus positiv ausfiel.

Ich bin jedenfalls schon sehr gespannt, was letztendlich daraus wird, da ich alleine jetzt (ohne Grafiken) bereits ca. drei Seiten über den bislang geplanten fünf liege, und dabei noch etliche Optionen und Möglichkeiten außen vor bleiben mussten. Ich bin selbst mächtig erstaunt, dass die Sache doch so umfangreich wurde...aber schließlich ist nmap ein recht komplexes, aber extrem interessantes Thema.

So, wie es sich bsiher anhört, wird sich die kommende Ausgabe des Linux-Magazins für einige Leute lohnen, da der Schwerpunkt einmal mehr auf Security gelegt wird, und sich einige recht bekannte Gesichter finden werden...und ich mittendrin...

So, genug der Schleichwerbung... Ich freue mich jedenfalls, nun endlich wieder dem Blog mehr Zeit widmen zu können, und habe schon wieder einige interessante Themen, die ich ab morgen wieder posten kann. Immerhin muss ich dann auch kein schlechts Gewissen mehr haben, so viele Lücken im Kalender rechts zu sehen.

Nachdem die letzte Woche fast ausschließlich meinem "ersten" Job, und die letzten beiden Tage (endlich mal wieder) meiner Freundin vorbehalten waren, habe ich die Zeit heute dazu genutzt, am nmap-Artikel weiter zu schreiben.

Da dieser in der im November erscheinenden Ausgabe des Linux-Magazins veröffentlicht wird, bleibt mir dafür immerhin noch Zeit bis zum Ende dieser Woche (Danke, Achim!).
Ganz so viel ist es zwar nicht mehr, eine weitere Chaoswoche würde mir in dieser Hinsicht allerdings wohl einen mächtigen Strich durch die Rechnung machen.

Ich bin jedenfalls schon mächtig gespannt, wie die Reaktionen auf diesen Artikel so werden, da das Thema Portscanning schließlich immer noch z.T. recht heftige Diskussionen auslöst. Im Artikel versuche ich das Tool allerdings so weit wie irgend möglich als Hilfsmittel für den Admin herauszustellen, und ein paar Tips für den alltäglichen Gebrauch geben, die man vielleicht noch nicht an jeder Ecke des Netzes gesehen hat.
Um nicht zu viel vorweg zu nehmen höre ich jetzt aber besser erstmal mit der Schleichwerbung auf.

So, nach dem ganzen OT der letzten Tage komme ich heute endlich mal wieder auf die eigentlich interessanten Themen zurück:

Als ich gestern am fortgeschrittenen Abend endlich einmal dazu kam, das aktuelle Linux Magazin zu lesen, stieß ich auf einen höchst interessanten Artikel über "stapelbare" Filesysteme. Diese werden z.B. von Knoppix dazu verwendet, Files auf der Live-CD "beschreiben" zu können. Möglich wird diese (eigentlich nicht machbare) Technik mit Hilfe von Union-FS, das als Kernelmodul (für 2.4er und 2.6er-Kernel) arbeitet.

Im Zuge meines (hoffentlich irgendwann erscheinenden) nmap-Artikels im Linux Magazin habe ich mich heute mal wieder eingehend mit diesem grandiosen Portscanner befasst. Heute ging es mir ganz speziell um die (noch ziemlich) frisch herausgegebene neue Version (3.90), die im Vergleich zum Vorgänger (3.81) um die dreifache (!) Menge an Dienst- und OS-Signaturen besitzt.

Im Zuge meines kommenden nmap-Artikels habe ich mich gestern Abend zum ersten Mal ernsthaft mit dem honeyd befasst. Sinn und Zweck der Aktion war, bzw. ist es, mit einfachen Mitteln verschiedene Hosts mit verschiedenen Betriebssystemen auf einer Maschine "emulieren" zu können. Natürlich hätten es auch Xen, vServer, VMWare usw. getan, diese sind allerdings nicht in der Lage, den Netzwerkstack auch anderer Betriebsysteme täuschend echt nachzubilden.