Captain's blog

Mit der (partiellen) Umstellung von Linux- auf Apple-Clients im Heimnetz war es an der Zeit, über Anpassungen am vorhandenen Ubuntu-Fileserver nachzudenken. Möglichkeiten für den Zugriff per Netzwerk gibt es immerhin zuhauf:

- NFS, als Netzwerk-Filesystem unter Unix gestartet, und seit langem erprobt. Recht zügig bei der Arbeit, leider nicht allzu bekannt für Sicherheit
- SMB, der Versuch aus Redmont, eine Alternative zu NFS zu finden
- SSH- / FTPFS, als FUSE-Erweiterungen, leider nicht allzu performant
- AFP, Apples natives Netzwerk-Dateisystem. Recht fix, und durch SSL-Verschlüsselung auch entsprechend sicher.

Wo die Wahl im Linux-Umfeld naturgemäß auf NFS fällt, habe ich mich aus Performance- und Sicherheitsgründen entschlossen, parallel dazu Netatalk als Fileserver für meine Apple-Hardware aufzusetzen. Als zusätzliches Schmankerl soll das MacBook seine Backups per Time Machine nicht per USB, sondern zentral auf den Server sichern.

Ein paar minimale Hürden gibt es hierzu jedoch zu meistern:

Nach langer, langer Zeit geht's auch hier im Blog wieder weiter. Neben den obligatorischen Linux- und Security-Themen wird's in Zukunft unter Umständen recht Cisco-lastig, immerhin schlage ich mich jetzt seit knapp über einem Jahr beruflich mit den Kisten herum. Falls Fragen auch gerade dazu auftauchen, bitte einfach kurz ansprechen.

Wer ein öffentlich erreichbares (Unix-) System betreibt, kennt die Problematik der diversen gescheiterten Anmeldeversuche per SSH. Hervorgerufen durch Bots, die triviale Kombinationen und Passworten durchprobieren, müllen sie Logfiles zu, und finden schlimmstenfalls sogar wirklich einen Luser, der ein leicht zu erratendes Passwort nutzt.
Lösungen für dieses Problem sind (nicht nur hier) bereits mehrfach angesprochen worden; angefangen bei einfachen Maßnahmen wie der Verlegung des Port von 22 auf einen anderen, nicht standardgemäßen. Nutzung von SSH-Public Keys. Weiter über Paketfilter und eigens hierfür entwickelte Tools wie z.B. denyhosts oder fail2ban.

Eine gänzlich andere Möglichkeit, die darüber hinaus noch weitere Vorteile bietet ist die Authentisierung über Einmalpassworte. In Verbindung mit einer Zwei-Faktorauthentisierung (wie sie z.B. RSA mit den SecureID-Tokens) vormacht kommt zusätzlich zum Passwort noch eine Besitzkomponente hinzu. Ohne Token, das das OTP anzeigt, ist kein Zugang möglich.

Leider lohnen sich der Kauf dieser Token für den "Privatgebrauch" nicht wirklich, immerhin existieren mittlerweile (freie) Projekte, die diese Technik sehr kostengünstig ermöglicht. Das wohl vielversprechendste ist hier wohl FreeAuth.
Statt eines Hardwaretokens kommt hier das (in den allermeisten Fällen eh vorhandene) Handy zum Einsatz, das mit Hilfe eines kleinen Stückchen Java-Software die Funktion schnell und einfach nachbildet.

Nachdem es so gut zum letzten Posting hier passt, geht es heute wieder um eine "Security-Linux Live-CD": nach einigen Monaten Wartezeit wurde gestern die stabile Version der "Pentesting-Distribution" BackTrack in Version 2 freigegeben.

Wer sich einmal eingehender mit Penetration Testing befasst hat, wird um den Download bisher wohl kaum herumgekommen sein. Natürlich gibt es auch andere Projekte, die sich die Ansammlung möglichst vieler sinniger Tools auf die Fahnen geschrieben haben, das Team um Max Moser hingegen begnügt sich nicht nur mit aktuellen Sicherheitswerkzeugen (von denen trotzdem über 300 mitgeliefert werden).
Viel mehr wird dem Tester alleine durch die Vorbereitung der Wireless-Module für Packet Injections, als auch besonders im Bereich der (oft so ungeliebten) Methologie und "Nacharbeit" (Dokumentation etc.)) unter die Arme gegriffen. Nicht umsonst orientiert sich die Distribution mehr und mehr an "Standards" wie ISSAF und OSSTMM. Die Ausformulierung von Vorgehensweise, Erkenntnissen und potentiellen Lösungen bleibt dem Pentester jedoch trotz allem selbst überlassen.

Den weiteren Abend werde ich jedenfalls damit verbringen, mir die neue Version einmal ganz genau anzusehen. Jedem, der sich für Security interesissert kann selbiges definitiv auch ans Herz gelegt werden. In diesem Sinne: Slainte Mhath!

Dass Linux nicht nur Spaß machen,sondern auch mal (bewusst) unsicher sein kann, zeigt das Damn Vulnerable Linux-Projekt (kurz DVL). Es besteht aus einem Damn Small Linux, das aber eigens zu "Trainingszwecken" für Einsteiger und Fortgeschrittene der IT-Security modifiziert wurde.

Am besten jedoch beschreibt es ein Zitat der Macher selbst:

Actually, it is a perverted Linux distribution made to be as insecure as possible. It is collection of IT-Security and IT-Anti-Security tools. Additional it includes a fullscaled lesson based environment for Attack & Defense on/for IT systems for self-study or teaching activities during university lectures. It's a Live Linux Distro, which means it runs from a bootable CD in memory without changing the native operating system of the host computer. As well it can be run within virtual machine environments, such as qemu or vmware. [...] Its sole purpose in life is to put as many security tools at your disposal with as much training options as it can. It contains a huge ammount of lessons including lesson description - and solutions if the level has been solved by a community member at crackmes.de.

Ich weiß, das Thema ist steinalt und ausgenudelt wie sonst nur was. Da ich aber irgendwann garantiert wieder danach suchen werde, poste ich die Sachen jetzt einfach mal hier rein. Daher gibt's anbei noch mal zwei verschiedene Möglichkeiten, SSH-Bruteforcing mit Hilfe von Paketfiltern (in diesem Fall IPTables und OpenBSDs PF) in die Schranken zu weisen:

Vor ein paar Tagen hatte ich ja bereits angekündigt, dass es (dem Freitraffic sei Dank ) demnächst hier einen Mirrorserver für verschiedene Projekte geben wird. Dieses Vorhaben habe ich nun endlich in die Tat umgesetzt, und bin gerade dabei, die hierfür reservierten 150 GB mit "Leben" zu füllen.

Das erste Projekt, das ich hier mit Plattenplatz und Traffic unterstützen möchte ist OpenBSD, von dem (ganz gemäß der Mirror-Policy) jeweils die letzten beiden Releases, sowie die Snapshots vorliegen werden. Natürlich werden auch die dementsprechenden OpenSSH-Tarballs zu finden sein.
Weitere Dinge, die ich noch gern spiegeln würde sind Nmap und ein paar kleinere Exploit-Archive. Man darf also gespannt sein, was in naher Zukunft hier noch so alles auftaucht.

P.S.: Vorschläge für andere unterstützenswerte Projekte bitte als Kommentar oder (noch besser) Mail an mich.

Auch wenn die LinuxWorld Expo (dieses Jahr in Köln) wieder ein Stückchen "übersichtlicher" geworden ist, hat sich der Besuch doch auf gewisse Art und Weise wieder gelohnt:

Als hervorstechendstes Erlebnis gab es ein extrem interessantes Gespräch mit den Jungs von Zimbra, in dem ich endlich mehr über die Vorzüge der frisch herausgegebenen Beta erfahren konnte.
Sehr zur Freude diverser potentieller Kunden wird es nun endlich nicht nur möglich, verschiedene Identitäten via Webfrontend zu nutzen, sondern auch selbständig einen "POP3-Sammeldienst" einrichten zu können. Gerade das waren die Sachen, die bislang viele davon abgehalten haben, Zimbra auch "just for fun" zu nutzen.
Auch "persönliche Verteilerlisten" stehen nun endlich auf dem Programm, und sind erstaunlich einfach zu handhaben.
Das Update auf die Beta habe ich daher direkt heute (auf meiner "persönlichen" Umgebung) durchgezogen, und bin begeistert. Auch wenn sich auf den ersten Blick nicht viel getan hat, wirkt die Oberfläche noch einmal ein wenig schneller, hat mich persönlich am allermeisten gefreut, dass den Kontakten nun auch der Geburtstag zuzuordnen ist.

Viel Zeit habe ich mit Sven (Grussfrequenzen ) bei den Jungs am Gentoo-Stand verbracht, an dem ich dann auch mein erstes "Club Mate"-Erlebnis hatte.

Kurz vor Beginn der Linux NewMedia Awards konnte ich noch den zuständigen Redakteur des Linux-Magazins persönlich kennenlernen, der für die Aktualisierung meines alten Nmap-Artikels für ein bald erscheinendes Sonderheft zuständig ist.
Die Awards selbst waren dieses Jahr recht unspektakulär. Sowohl Ubuntus "Community Manager" als auch Mark Shuttleworth konnten nicht anwesend sein, einzig und allein die Verleihung des Preises an den sichtlich ergriffenen Klaus Knopper war den Applaus wert.

Es ist (vorläufig) vollbracht:

Nachdem die letzten paar Wochen wieder sehr hektisch waren, kam ich innerhalb der letzten paar Tage endlich dazu, den kürzlich fertig gewordenen neuen Server in Betrieb zu nehmen. Da die Kiste für meine Zwecke mehr als ausreichend mit Athlon 64 3700+, 2 GB RAM, 2x 300 GB-Platten und einem /28er-Subnetz dimensioniert ist, komme ich also endlich in den Genuß, wieder vermehrt mit Virtualisierung herumzuspielen.

Zur Abwechslung (und um wenigstens mal irgendwas hier zu posten) wieder mal ein wenig komplett ungeordnete Laberei aus dem "Privatleben":

Ich kann mich leider nicht mehr daran erinnern, wann Zeit zu einem meiner wertvollsten Güter geworden ist. Der Beginn des "nebenher laufenden" Studiums war sicherlich das erste Eriegnis, das dazu beitrug; die Selbständigkeit im Nebenberuf hat's auch nicht besser gemacht. Komischerweise stelle ich fest, dass es einigen meiner Freunden und Bekannten spätestens seit Mitte dieses Jahres genau so ergeht, wobei ich mich nach Gründen oder kausalen Zusammenhängen frage. Sollte hier eine groß angelegte Verschwörung am Werk sein?

Anbei ein paar Dinge, die mich ganz aktuell (neben Arbeit und Studium) auf Trab halten:
- Einiges an neuem Lesestoff (Einsteigerseminar Latex / C und Linux / BSD-Hacks / Unix-/Linux-Hochverfügbarkeit / Existenzgründung IT)
- Weiterführende Beschäftigung mit OpenBSD
- Schreiben eines Artikels über das Gibraltar Security Gateway 2800
- Umzug des alten Strato-Servers, der nur noch als Spielwiese diente auf eine dickere Kiste bei Hetzner (DS5000), der direkt auf mehrere virtuelle Server aufgeteilt wird. An dieser Stelle werde ich mir dann auch direkt den Traum eines kleinen, öffentlichen Honeypots wahr machen.
- Sonstiger Kleinscheiß, der an dieser Stelle zu weit führen würde...

Darüber hinaus habe ich eben erfahren, dass ich (nun zum dritten Mal in Folge) in der Jury der diesjährigen LinuxNew Media-Awards sitzen werde, deren Ergebnisse am 15. November auf der LinuxWorld Expo in Köln vorgestellt werden.

Kürzlich war es einmal wieder so weit, und der Notebook-Kaufrausch packte mich einmal mehr. Zur Auswahl standen diesmal (zur Überraschung aller, die mich näher kennen) das nette schwarze MacBook, natürlich aber auch wieder ein ThinkPad. Da ich mich mittlerweile absolut in die T-Serie verguckt habe, sollte es sich dabei genau genommen um ein T40p handeln.

Lange Rede, kurzer Sinn: es ist einmal mehr das ThinkPad geworden, und ich bereue diese Entscheidung nicht im geringsten. Immerhin ist das MacBook meines Arbeitskollegen innerhalb von knapp einem Monat zum zweiten Mal zur Reparatur weg.
Verglichen mit den anderen ThinkPads, die ich bisher in den Fingern hatte, bin ich mit diesem Modell nun endlich "zuhause", und rundum glücklich. Auch wenn ich auf die Geräte schwöre: es gab bislang immer irgendeinen kleinen Kritikpunkt, das X21 zum Beispiel war halt schon etwas älter, bei der R-Reihe ist mir mittlerweile zu viel Plastik verbaut und zum rumschleppen zu schwer. Das T30 hingegen hat durch den Pentium 4-Mobile eine vergleichsweise recht kurze Akkulaufzeit, und war schon irgendwie etwas "pummelig" (im Vergleich zum Nachfolger).

Im Zuge des (hoffentlich) bald fertigen Artikels über Crypto-Filesysteme unter Linux habe ich kürzlich endlich einmal ein Projekt in Angriff genommen, das ich schon längst einmal angegangen sein wollte: die Verschlüsselung des gesamten Systems auf der Festplatte.
Im Gegensatz zu einem meiner älteren Artikel, der die Verschlüsselung von /home und Swap mit Hilfe des (mittlerweile obsoleten) Cryptoloop-Systems beschreibt, kommt in diesem Fall DM-Crypt inklusive der LUKS-Erweiterung(en) zum Einsatz. Glücklicherweise sind die meisten Werkzeuge für das Vorhaben bereits unter Dapper bereit, ein paar Hürden galt es jedoch zu überwinden.

Inspiriert ist dieses kurze Howto durch einen Blogeintrag von Sternensucher, sowie einem (eigentlich veralteten) Thread im Ubuntu-Forum.
Obwohl das Vorhaben sicherlich auch aus einem laufenden System heraus machbar wäre, wird das System im folgenden komplett neu installiert.

Bevor es losgeht, noch der obligatorische Disclaimer:
1. Dieses Howto richtet sich an Personen, die (wenigstens ungefähr) wissen, was sie damit anstellen. Die hier vorgestellte Vorgehensweise hat sich für mich als stabil und gangbar erwiesen. Sollte das bei dir nicht der Fall sein, kann ich dich (zur Zeit) nur schlecht bis gar nicht supporten.
2. Eine Datensicherung bereits im Vorfeld ist unabdingbar.
3. Solltest du deine Daten (durch dieses Howto, eine vergessene Passphrase, whatever) verlieren, übernehme ich keine Verantwortung dafür.

Da auch das geklärt ist, kann's ja nun losgehen:

Nachdem ich heute wieder Gelegenheit hatte, mich mit weiteren Maßnahmen zur Hochverfügbarkeit von Linux-Servern zu befassen, kam ich endlich mal wieder in Kontakt mit Bonding. Manch einer mag dabei an Seile und andere Nettigkeiten denken, dabei handelt es sich schlicht und ergreifend um die Bündelung verschiedener Netzwerkkarten mit dem Ziel, die Geschwindigkeit und / oder die Verfügbarkeit zu erhöhen. Jeder, der sich mal näher mit Cisco-Switchen auseinandergesetzt hat, wird der Begriff Etherchannel hier direkt in den Sinn kommen, schlussendlich laufen beide Dinge aber auf's Gleiche hinaus.

Obwohl es von großem Nutzen sein kann, haben nur vergleichweise wenige Linux-Admins (die ich kenne) auch schon damit gearbeitet. Alleine aus diesem Grund möchte ich das Thema hier einmal in aller Kürze vorstellen:

Seit dem gestrigen Update meiner Dapper-Installation auf dem T30 war es mir nicht mehr möglich, eine automatisierte WPA-Verbindung zum Access-Point aufzubauen.

Bei der Analyse des Problems fiel mir dann auch sehr schnell ins Auge, dass drei wichtige, zum Paket gehörende Dateien (/etc/default/wpasupplicant, /etc/init.d/wpasupplicant und /etc/wpa_supplicant.conf) umbenannt waren, und nunmehr die Endung ".dpkg-bak" trugen.
Da ich es zu dem Zeitpunkt gestern relativ eilig hatte, brachte ein beherzter manueller Aufruf (wpa_supplicant -B -D wext -c /etc/wpa_supplicant) erst einmal das gewünschte Ergebnis: die Verbindung war wiederhergestellt.

Auch wenn es sehr lange gedauert hat, beginne ich nun endlich (meist durch Zufälle) zu verstehen, welche Vorteile der Bootloader Grub gegenüber dem guten alten Lilo bietet.

Vor ein paar Minuten habe ich (durch einen solchen Zufall) entdeckt, wie man Grub anweisen kann, ohne manuellen Eingriff (in) ein bestimmtes, in der grub.conf definiertes System zu (re)booten:
Hierzu wird schlicht und ergreifend das Kommando grub-reboot mit der Nummer des Eintrags und (optional) weiteren Bootparametern aufgerufen.

Die Vorgehensweise mag zwar für den Desktop "nur" recht nützlich sein, auf dedizierten Servern ohne direkten Zugriff (oder eine serielle Konsole) kann diese Vorgehensweise schon sehr praktisch sein, z.B. um ohne die grub.conf (oder menu.lst) zu editieren die neu installierte Kernelverion zu booten.

Wieder was dazu gelernt...