Tux the penguin

December 23, 2005

Security Skills

Filed under: — 11:51

Wem ueber die Feiertage langweilig ist, kann ja mal versuchen seine Security Skills zu testen:

https://www.learnsecurityonline.com/index.php?_o=news&_m=Details&id;=22

Viel Spass dabei und ein schoenes Fest.

November 12, 2005

ssh Version 4: 'ControlMaster' und 'HashKnownHost' Option

Filed under: — 08:31

Die aktuelle Version 4 von OpenSSH hat einige interessante Neuerungen auf der Client Seite gebracht.

HashKnownHosts
In der Datei ~/.ssh/known_hosts wurde schon vorher der Hostname bzw. die IP Adresse mit dem Hostkey des jeweiligen Systems gespeichert um nach der ersten Authentifizierung sicherstellen zu koennen, dass man sich wieder mit dem richtigen Rechner verbindet und keine boesen Hacker einen auf einen anderen Rechner umleiten und das Passwort ausspionieren.
Seit Version 4 wird der Hostname bzw. die IP Adresse per Default als Hash in ~/.ssh/known_hosts gespeichert, damit wird verhindert, dass falls ein Angreifer erfolgreich ein System kompromiert hat, er weiter lohnende Ziele in dieser Datei findet.

Allerdings kann es auch vorkommen, dass man ein System neu installiert oder ein Rettungssystem wie Knoppix bootet oder einfach ein Rechner eine IP Adresse bekommen hat, ueber die man sich vorher auf einem anderen Rechner angemeldet hat.
In all diesen Szenarien verhindert der ssh Client, dass man sich auf dem ssh Server anmelden kann. Wenn man sich sicher ist, warum sich der SSH Host Key geaendert hat, genuegt es die korespondierende Zeile aus ~/.ssh/known_hosts zu loeschen.

Da, per Default, der Hostname bzw. die IP Adresse nur noch als Hash-Wert gespeichert werden ist das loeschen aber deutlich erschwert. Abhilfe schafft der Eintrag von

HashKnownHosts no

in die Systemweite Datei /etc/ssh/ssh_config oder in der Benutzer eigene Datei ~/.ssh/config

ControlMaster
Sehr praktisch ist die Moeglichkeit mit der ControlMaster Option eine bestehende SSH Verbindung zu einem Host fuer weiter Verbindungen wieder zu verwenden. Dadurch entfaellt der Overhead der anfaellt wenn beim Verbindungsaufbau das Protokoll ausgehandelt wird und damit auch, falls man sich nicht per Public Key Authentication verbindet, die erneute Eingabe des Passworts. Damit wird die SSH Verbindung deutlich schneller hergestellt.

Noetig sind dafuer die beiden folgenden Zeilen in /etc/ssh/ssh_config oder ~/.ssh/config

ControlMaster auto
ControlPath ~/.ssh/controls/%r@%h:%p

Anschliessend muss man noch das Verzeichnis fuer den ControlPath anlegen und restriktive Rechte setzen:

mkdir -p ~/.ssh/controls
chmod 0700 ~/.ssh/controls

Auch scp und sftp Verbindungen profitieren dann von der Master Verbindung.

Der einzige Nachteil ist, dass man die erste Verbindung zu jedem Host, die Master Verbindung, erst wieder schliessen kann wenn alle anderen Verbindungen beendet sind,

Weiter Details findet man in dem Blog Eintrag Reusing existing OpenSSH v4 connections auf der Webseite Debian Administration.

October 23, 2005

VMware Player als Windows Dienst

Filed under: — 23:03

Die Firma VMware hat diese Woch den VMware Player veroeffentlicht. Damit lassen sich virtuelle VMware Images benutzen, aber keine neuen VMware Instanzen aufsetzen, dies bleibt den kommerziellen Workstation und Server Produkten vorbehalten.

Meiner Meinung nach ein hervorragend Zug von VMware, damit wird der bisherige Verbreitungs- und Bekanntsheitsgrad wahrscheinlich noch deutlich groesser.

Es gibt bereits VMware Images speziell fuer die Benutzung im VMware Player. VMware stellt selbst eine Browser Appliance auf Basis von Ubuntu zur Verfuegung. Andere Hersteller bieten eigene Images an: http://www.vmware.com/vmtn/vm/

Ich habe auf meiner Workstation ein VMware Image erstellt und eine minimales Debian Sarge installiert. Danach noch OpenSSH installiert und /etc/network/interfaces angepasst.

Die spannende Frage war dann, ob sich der VMware Player auf einem Windows Server installieren laesst. Ich habe das ganze auf einem Windows 2003 Server ausprobiert. Der VMware Player warnt zwar davor, laesst sich aber dennoch installieren.

Anschliessen habe ich das Debian VMware Image auf den Server kopiert und gestartet, laeuft wunderbar. Jetzt soll das Image aber immer automatisch starten, auch ohne dass ein User auf dem Server angemeldet ist.

Dieser WinTotal Artikel und dieser Windows Knowledge Base Aritkel beschreiben den Vorgang ein Programm als Dienst zu installieren.

Man benoetigt dafuer die Windows Server 2003 Resource Kit Tools. Und daraus die beiden Programme srvany.exe und instsrv.exe.
Die beiden Programme muessen mit ihrem vollen Pfadnamen aufgerufen werden:

"C:\Programme\Windows Resource Kits\Tools>instsrv.exe" vmware-debian "C:\Programme\Windows Resource Kits\Tools\srvany.exe"

Damit wird ein Dienst mit dem Namen vmware-debian erstellt.
Dieser muss noch mit dem Registry Editor regedit bearbeitet werden:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vmware-debian

Dort muss ein neuer Unterschluessel mit dem Namen Parameters erstellt werden.
Im Unterschluessel Parameters wid folgender Wert hinzufuegen:

Name: Application
Datentyp: REG_SZ
Wert (Zeichenkette): "C:\Programme\VMware\VMware Player\vmplayer.exe" "C:\vmware\Debian\Sarge.vmx"


Als Wert wird der volle Pfad zum VMware Player und der volle Pfad zum VMware Image angegeben.

Jetzt legt man einen User Account mit Administratoren Rechten an, unter diesem wird die VMware Instanz spaeter laufen.

Diesen Account muss man noch dem Dienst zuweisen, unter:

START->Einstellungen->Systemsteuerung->Verwaltung->Dienste

sucht man den Dienst vmware-debian und traegt in den Einstellungen unter Anmeldung den Usernamen und das Passwort das oben angelegten Users ein.

Wenn man jetzt auf Dienst starten klickt sollte der Dienst gestartet werden und die VMware Instanz im Hintergrund geladen werden. Wenn alles geklappt hat, sollte das Debian nach einigen Minuten unter der eigenen IP Adresse erreichbar sein.

Wenn der Dienst auf automatisch starten steht wird jetzt bei jedem Start des Servers dieser Dienst automatisch gestartet :-)

September 18, 2005

Netzwerk Scanner nmap

Filed under: — 22:05

Vor einigen Tagen ist die neue Version 3.9 des bekannten Netzwerk- und Portscanners nmap erschienen.

Neben einigen Detailverbesserungen und einer sehr grossen Erweiterung der Netzwerk Fingerprints, die es erlauben ueber ein Netzwerk das Betriebssystem und die laufenden Dienste zu bestimmen, ist wohl die wichtigste Neuerung, dass die Option '-sP', die einen gesamtes Netzwerksegment mit einem sogenannten Ping Sweep scannt und alle verfuegbaren Rechner auflistet, nun auch mit ARP Scanning arbeitet.

ARP Scanning, welches bei nmap explizit mit der Option -PR aktiviert werden kann, arbeit nur in einer lokalen Broadcast-Domaene, da das Address Resolution Protocol nicht von Routern und Gateways weitergeleitet wird.

Damit ist es jetzt moeglich mit der -sP Option von nmap, Rechner die per Firewall Einstellung keine ICMP oder TCP Pakete von aussen zulassen, zuverlaessig zu erkennen. Das ARP Protokoll kann nicht per Firewall geblockt werden, da sonst das darauf aufbauende IP Protokoll nicht mehr benutzbar waere.

In diesem Zusammenhang auch recht interessant ist das Programm arping.

September 16, 2005

Samsung Laserdrucker ML-1610 mit Linux Treibern

Filed under: — 19:28



Ich habe heute den Samsung Laserdrucker ML-1610 gekauft. Entscheident war dabei fuer mich das gute Abschneiden im c't Druckertest in Ausgabe 19 auf Seite 128, der geringe Preis von 89,- Euro und die vom Hersteller erhaeltichen Linux Treiber.

Bei Auslieferung ist der Toner zwar nur zur Haelfte gefuellt, aber damit kann man immer noch ~ 1000 Seiten drucken und mit einem neuen Toner fuer 59.- sollen dann 2000 Seiten moeglich sein.

Bis jetzt bin ich mit dem Drucker sehr zufrieden. In Sachen Linux Unterstuetzung koennten sich andere Hersteller bei Samsung etwas abschauen.

August 20, 2005

W2K Terminal Server Windows Update

Filed under: — 14:44

Die Terminal Server der Windows Familie von Microsoft sind eigentlich eine feine Sache. Das verwendete RDP Protokoll ist sehr effizient und auch die Benutzer fuehlen sich damit wohl. Aber die Administration ist, wie bei Microsoft Produkten ueblich, ein Graus.

Um die neusten Sicherheitsupdates einzuspielen ruft man http://windowsupdate.microsoft.com/ auf.

bla bla blub, das Update ist jetzt nur noch mit dem neusten Internet Explorer + Service Pack moeglich, es wird auch gleich installiert.

Na gut, von mir aus...

Um neue Software installieren zu koennen muss sich der Terminal Server im Installationsmodus befinden

*arg* okay START->Einstellung->Systemsteuerung->Software->Neue Programme hinzufuegen->Windows Update

Um neue Software installieren zu koennen muss sich der Terminal Server im Installationsmodus befinden

*arg* bin ich doch... dann halt mit Gewalt: START->Einstellung->Systemsteuerung->Software->Neue Programme hinzufuegen->CD oder Diskette->"cmd.exe"

Jetzt noch mal ueber http://windowsupdate.microsoft.com/ das Update aufrufen und alles laeuft ohne Probleme durch. Aha.

Nach dem Update das Konsolen Fenster schliessen, auf "Weiter" in dem Installationsdialog klicken und neu starten.

Willkommen in der schoenen bunten Microsoft Welt *arg*

June 18, 2005

NEIN zu Software Patenten

Filed under: — 21:37

STOP Software Patents!

June 6, 2005

Apple steigt auf Intel um

Filed under: — 21:03

Die Geruechte sind wahr, Apple steigt auf die Intel Architektur um. Mehr dazu bei Heise: http://www.heise.de/newsticker/meldung/60335

Gar nicht gut fuer IBM....

April 5, 2005

security by obscurity?

Filed under: — 16:06

Mich juckt es gerade einfach in den Fingern.
Ein System auf dem ich nicht der Administrator bin, auf dem ich nur als gewoehnlicher User per ssh Zugriff habe, hat sich etwas seltsam verhalten. Ich hab mal etwas genauer hin geschaut und war sehr ueberrascht.

finger, who und last sind Tools die man oefters auf der Kommandozeile benutzt um z.B. die E-Mail Adresse heraus zu bekommen oder zu sehen wer gerade auf dem System angemeldet ist.

Zuerst hat auf diesem besagten System finger nicht mehr funktioniert. cd /usr/bin && ls -l *finger* zeigte ganz schnell, dass finger in rootfinger umbenannt war und nur noch der Benutzer root dieses ausfuehren konnte. Mmh auf allen anderen *nix System in diesem Netzwerk funktionierte finger aber noch. Komische Aktion, wer Zugriff auf dieses eine System hat kann finger auch auf jedem anderen System ausfuehren.

Als naechstes spuckten who und last aus, dass man nicht die noetigen Zugriffsrechte besitzt. ls -l /usr/bin/who und ls -l /usr/bin/last zeigten, dass der Admin jetzt auch die Zugriffsrechte fuer diese beiden Programme eingeschraenkt hat.

Okay hab ich mir gedacht, mal schauen ob derjenige wirklich Ahnung hat von dem was er da macht. who und last sind zwei Frontends die beide die Datei /var/log/wtmp auswerten, in welcher die Loginzeiten gespeichert werden. ls -l /var/log/wtmp besaetigte meine Vermutung, die Datei war world readable. Was soll so etwas bringen? Ein per sftp ins Homeverzeichniss kopiertes who brachte wieder alle Informationen aus der /var/log/wtmp zutage.

Zu allem Ueberfluss hat der Admin auch uebersehen, dass anstelle von who gleich das Programm w benutzt werden kann, es zeigt nicht nur die momentan eingeloggten Benutzer, sondern auch welchen Prozess der jeweilige User ausfuehrt. w hat natuerlich noch die Berechtigung um von jedem ausgefuehrt zu werden.

Da fragt man sich doch, wer an einem, eigentlich schon sehr wichtigem System, rumfummelt ohne wirklich zu wissen was er macht? Ich dachte immer, diese sei nur eine Krankheit die bei Windows Admins verbreitet ist.

March 21, 2005

Laptop Access Point

Filed under: — 01:20

Ich sitz gerade bei einem Freund und uns fehlt ein Ethernet Kabel um alle Rechner anzuschliessen. Aber Linux macht fast alles moeglich. Der hostap Treiber ermoeglicht es eine Wlan Karte mit Prism Chipsatz zum Access Point zu machen.

iwconfig wlan0 essid "fastWlan" mode master key off

Jetzt noch schnell eine Bridge zwischen dem Ethernet Interface und dem Wlan Interface konfigurieren und alle anderen Notebooks koennen ueber das Wlan ins Netz.

brctl addbr br0
brctl stp br0 off
brctl addif br0 eth0
brctl addif br0 wlan0
killall dhclient
ifconfig eth0 down
ifconfig wlan0 down
ifconfig eth0 0.0.0.0 up
ifconfig wlan0 0.0.0.0 up

So jetzt soll unser Laptop Access Point aber selber auch noch ins Netz kommen.

dhclient br0
echo "1" > /proc/sys/net/ipv4/ip_forward


Fertig ist der Access Point.

Impressum
Powered by bBlog
Provided by allweil.net
Hosted by Lime Webapplications