Captain's blog

Sollte es jemand noch nicht mitbekommen haben:
Endlich ist es so weit...nach rund 6 Monaten Arbeit hat Fyodor heute Nmap 4.20 freigegeben. Interessant wird die Sache allein wegen der sog. "2nd generation OS detection", aber auch einige andere nette Neuigkeiten, sowie ein ganzer Haufen hinzugekommene Fingerprints sind definitiv wieder einen Download wert.

Mal schauen, ob ich da nicht auf die Schnelle ein passendes OpenBSD-Paket zusammengeschnürt bekomme.

Nachdem Mattias Schlenker im Rootforum alleine durch die Umschreibung der Vorteile von Jails einen kleinen FreeBSD-Hype ausgelöst hat, interessierte mich eine solche (im "Standardumfang" nicht enthaltene) Lösung natürlich auch gerade unter OpenBSD. Immerhin bedeutet eine "virtuelle" OS-Instanz vor allem eine weitere erhöhte Sicherheit.

Fündig in diesem Fall wurde ich bei sysjail, das Jail-Konstrukte mit Hilfe des systrace-Frameorks umsetzt, das seinerseits eine sehr mächtige (aber dennoch einfache) RBAC-Imlementierung für System Calls darstellt. Somit lässt sich der "Komfort" eines Jails noch durch zusätzliche Sicherheit kombinieren, da sich so sehr feingranular einschränken lässt, was in der VM erklaubt ist.

Ich weiß, das Thema ist steinalt und ausgenudelt wie sonst nur was. Da ich aber irgendwann garantiert wieder danach suchen werde, poste ich die Sachen jetzt einfach mal hier rein. Daher gibt's anbei noch mal zwei verschiedene Möglichkeiten, SSH-Bruteforcing mit Hilfe von Paketfiltern (in diesem Fall IPTables und OpenBSDs PF) in die Schranken zu weisen:

Vor ein paar Tagen hatte ich ja bereits angekündigt, dass es (dem Freitraffic sei Dank ) demnächst hier einen Mirrorserver für verschiedene Projekte geben wird. Dieses Vorhaben habe ich nun endlich in die Tat umgesetzt, und bin gerade dabei, die hierfür reservierten 150 GB mit "Leben" zu füllen.

Das erste Projekt, das ich hier mit Plattenplatz und Traffic unterstützen möchte ist OpenBSD, von dem (ganz gemäß der Mirror-Policy) jeweils die letzten beiden Releases, sowie die Snapshots vorliegen werden. Natürlich werden auch die dementsprechenden OpenSSH-Tarballs zu finden sein.
Weitere Dinge, die ich noch gern spiegeln würde sind Nmap und ein paar kleinere Exploit-Archive. Man darf also gespannt sein, was in naher Zukunft hier noch so alles auftaucht.

P.S.: Vorschläge für andere unterstützenswerte Projekte bitte als Kommentar oder (noch besser) Mail an mich.

Es ist (vorläufig) vollbracht:

Nachdem die letzten paar Wochen wieder sehr hektisch waren, kam ich innerhalb der letzten paar Tage endlich dazu, den kürzlich fertig gewordenen neuen Server in Betrieb zu nehmen. Da die Kiste für meine Zwecke mehr als ausreichend mit Athlon 64 3700+, 2 GB RAM, 2x 300 GB-Platten und einem /28er-Subnetz dimensioniert ist, komme ich also endlich in den Genuß, wieder vermehrt mit Virtualisierung herumzuspielen.

Zur Abwechslung (und um wenigstens mal irgendwas hier zu posten) wieder mal ein wenig komplett ungeordnete Laberei aus dem "Privatleben":

Ich kann mich leider nicht mehr daran erinnern, wann Zeit zu einem meiner wertvollsten Güter geworden ist. Der Beginn des "nebenher laufenden" Studiums war sicherlich das erste Eriegnis, das dazu beitrug; die Selbständigkeit im Nebenberuf hat's auch nicht besser gemacht. Komischerweise stelle ich fest, dass es einigen meiner Freunden und Bekannten spätestens seit Mitte dieses Jahres genau so ergeht, wobei ich mich nach Gründen oder kausalen Zusammenhängen frage. Sollte hier eine groß angelegte Verschwörung am Werk sein?

Anbei ein paar Dinge, die mich ganz aktuell (neben Arbeit und Studium) auf Trab halten:
- Einiges an neuem Lesestoff (Einsteigerseminar Latex / C und Linux / BSD-Hacks / Unix-/Linux-Hochverfügbarkeit / Existenzgründung IT)
- Weiterführende Beschäftigung mit OpenBSD
- Schreiben eines Artikels über das Gibraltar Security Gateway 2800
- Umzug des alten Strato-Servers, der nur noch als Spielwiese diente auf eine dickere Kiste bei Hetzner (DS5000), der direkt auf mehrere virtuelle Server aufgeteilt wird. An dieser Stelle werde ich mir dann auch direkt den Traum eines kleinen, öffentlichen Honeypots wahr machen.
- Sonstiger Kleinscheiß, der an dieser Stelle zu weit führen würde...

Darüber hinaus habe ich eben erfahren, dass ich (nun zum dritten Mal in Folge) in der Jury der diesjährigen LinuxNew Media-Awards sitzen werde, deren Ergebnisse am 15. November auf der LinuxWorld Expo in Köln vorgestellt werden.

...die Pix zuhause als DSL-Router fungieren würde...

In diesem Fall würde ich wohl endlich mal Nägel mit Köpfen machen, und mir eine kleine Soekris-Box dort hin stellen. Erst recht, wo das Flashboot-Projekt es ermöglicht, die aktuelle OpenBSD-beta vom Flash aus zu starten. Alternativ würde sich natürlich auch noch ein zweiter WRT54G mit OpenWRT anbieten, dann wäre wohl auch noch die letzte Ecke des Hauses (und vermutlich noch das der Nachbarn) komplett "ausgeleuchtet".

Nach diversen Recherchen innerhalb der letzten paar Tage bin ich nun doch zum Schluss gekommen, dass ich das (hoffentlich ganz bald ankommende) ThinkPad X21 nun doch nicht mit OpenBSD bestücken werde.

Hatte ich mal erwähnt, dass ich IBM ThinkPads so richtig ins Herz geschlossen habe? Seit Jahren schon wollte ich einen dieser stylischen schwarzen Kisten haben, und spätestens als ich meinen ersten R51 (1,6 GHz Pentium M, 1 GB RAM, 15 Zoll mit 1400x1024er Auflösung) als "Workstationersatz" für die Arbeit bekommen habe, bin ich diesen Laptops vollkommen verfallen. Aktuelle läuft darauf Ubuntus Entwicklerversion "Dapper Drake", und bis auf ein paar kleine Bugs konnte ich mich bislang noch nicht die Bohne über Probleme beklagen.

Wer beim surfen im Internet so wenig Spuren wie irgend möglich hinterlassen möchte, tut dies meistens sinnigerweise über sog. Anonymizer wie JAP oder Tor. Auch diese sind allerdings nicht dazu in der Lage, eine vollständige Anonymität herzustellen. Hierzu ist dann noch ein entsprechend ausgestattetes System vonnöten, da Cookies und Co. zusätzlich noch ihre Spuren auf der Festplatte hinterlassen.

Vor ein paar Tagen (s.u.) hatte ich kurz etwas über die neu hinzukommende Möglichkeit der kommenden OpenSSH-Version gepostet, "VPN-Tunnel" (ähnlich wie OpenVPN) damit aufbauen zu können.

Da ich ohnehin seit Anfang des Jahres massiv mit diversen Betriebssystemen innerhalb der Parallels Workstation rumspiele (in der erfreulicherweise auch OpenBSD läuft), kam ich seit ein paar Tagen nun endlich dazu, mir diese Möglichkeit einmal näher anzusehen:

Kaum durchwühlt man "kurz" wieder die Neuigkeiten, die einem sein Feedreader so ins Haus liefert, wird doch wieder was längeres daraus...

In diesem Fall hielt mich ein Interview auf SecurityFocus auf Trab, in dem auf neue Features der kommenden OpenSSH-Version (4.3) eingegangen wird.

Auch wenn es in den letzten Tagen (Asche auf mein Haupt) hier im Blog viel zu ruhig geworden ist, bin ich nicht von der Bildfläche verschwunden. Meinen ersten "großen" Urlaub dieses Jahres wollte ich nur einmal ganz ruhig angehen lassen, und die Zeit vor allem endlich mal gebührend meiner Freundin widmen.

Ganz davon abgesehen, stecke ich zur Zeit auch immer noch tief in meiner ToDo-Liste (s.u.), und muss mal schauen, ob ich den Wunsch, das alles zusammenzuschreiben noch in die Tat umsetze.
Immerhin konnte ich folgende Punkte schon einmal abhaken:

Seit kurzem befasse ich mich endlich einmal wieder mit RBAC-Systemen zu befassen. Obwohl ich mir nach meinen damaligen Versuchen mit RSBAC (noch zu Adamantix-Zeiten) eigentlich geschworen hatte, solche Sachen nie wieder anzufassen (und daher auf "meinen" RedHat-Kisten das noch unsäglichere SELinux grundsätzlich deaktivere), zog mich OpenBSDs Systrace dann doch wieder in seinen Bann.

Nach längerem Hin und Her habe ich die gute alte Strato-Kiste heute Nacht / Morgen komplett neu aufgesetzt. Der Grund hierfür bestand darin, dass dort seit langer Zeit Adamantix lief, das Projekt aber mittlerweile anscheinend eine one man show, bzw einfach tot. Es dürfte jedenfalls das denkbar schlechteste Zeichen für ein Security-Projekt sein, keinerlei Updates mehr unter die Leute zu bringen.