Re: [OT] Freundlichkeit war:Apache2 down
Hi Ulf, Ulf Volmer wrote: On Fri, Nov 17, 2006 at 09:26:49PM +0100, Hannes H. wrote: 2006/11/17, Robert Grimm [EMAIL PROTECTED]: Es sind vorwiegend eher kompetente Vielschreiber die so reagieren. Ob der Wert einer Liste steigt, wenn die alle weg sind dürfte durchaus umstritten sein. Toll! Man kennt zwar das dritte Zeichen in Zeile 456 der Konfigurationsdatei /etc/blabla.conf aber null zwischenmenschliche Arroganz. Was will man mehr? Ich fuehle mich mal angesprochen: Ich kenne in der Tat das dritte Zeichen ... [ head -n 456 /etc/blabla.conf | tail -n 1 | cut -c 3 ] und verfuege ueber Null zwischenmenschliche Arroganz. Was will man mehr? Worauf wolltest du gleich hinaus? Dass ich toll bin? Schön dass wir mal einer Meinung sind. LOLROTFPOML Gruß -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] Freundlichkeit war:Apache2 down
Hi, Mario Guenterberg wrote: On Fri, Nov 17, 2006 at 11:43:51AM +, Markus Braun wrote: Und schau Dir bitte mal http://learn.to/quote an, bevor Du weiter unsere Mailboxen mit sinnlosen Fullquotes zumuellst. Ja chef. Ich weiss sehr wohl wie das geht. Nur bei hotmail ist das so ein problem. Soll ich dir jetzt nen Euro als Entschädigung für die paar bytes schicken? Freundlicher Hinweis, freche Antwort. Ich lese jetzt schon eine ganze Weile diese ML mit und wundere mich immer wieder ueber die doch teilweise ruede Art und Weise, wie Leute hier auf teilweise Kleinigkeiten hingewiesen werden. Eine kleine simple Antwort tut es doch auch, wie ja, nein oder siehe..., oder? Wenn ich manchmal die OT-Threads sehe, die hier (nicht immer uninteressant) auftauchen, frage ich mich zum Beispiel, warum wird auf ein vielleicht unnoetiges, aber leider nun mal passiertes Fullquoting so reagiert. Auf anderen ML klappt es doch auch ohne diese Art und Weise. ja, und genauso ist dann auch die Qualität der entsprechenden Listen. Du wüsstest zwar die Antwort, aber nach zwei Seiten FullQuoting hast Du keine Lust mehr weiterzulesen. Und weg. Ist doch schade oder? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Netzwerkdurchsatz Win-Debian
Hi, Udo Mueller wrote: Hallo Andreas, * Andreas Pakulat schrieb [16-11-06 16:41]: On 16.11.06 10:56:23, Udo Mueller wrote: Bisher lief das Backup auf ein Fedora Core 3 mit ungefähr 5 MB/s. Dies ist für mich in einem 100 MB geswitchen Netzwerk noch akzeptabel. Naja. Jetzt hatte ich die Scripte erweitert um das Backup auf die Debian Maschine. Aber dorthin habe (über den gleichen Switch) nur einen Transfer von 1,8-2,1 MB/s. In welchem Modus läuft Deine Netzwerkkarte und welche verwendest Du? Ansonsten wird es IMHO an den TCP/IP Einstellungen liegen MTU, mss, WS, ... Eventuell ein seltsames Routing? Ist das diesselbe Maschine oder eine andere? Fedora und Debian sind 2 unterschiedliche Maschinen. Spasseshalber habe ich mal einen Transfer von Fedora nach Debian (und zurück) laufen lassen, welcher am Ende einen Transfer von 9,2 MB/s aufwies. Das kommt dem Üblichen schon näher. Stehen die Rechner alle im selben Subnet? Auch mit scp? Ja, alles per scp. Hat jemand eine Erklärung, warum der Win-Deb-Transfer so langsam geht und wie ich das evtl steigern kann? So aus dem FF nicht, schonmal das scp weggelassen und einfach mit z.B. netcat Daten transferiert? Vllt. ist auch die Verschluesselung einfach zu langsam scp (Verschlüsselung) hat keinen nennenswerten Einfluss auf die Geschwindigkeit; Das wird nicht mehr als 2-10% ausmachen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: nvidia Error:API mismatch
Hi, Helge Reimer wrote: Markus Schulz schrieb: [..] Ich habe nur den einen Kernel installiert (2.6.16-2-686-smp) Außerdem habe ich nvidia-glx_1.0.8776-1 und nvidia-kernel-source_1.0.8776-1 installiert. Aus dem nvidia-kernel-source habe ich nvidia-kernel-2.6.16-2-686-smp_1.0.8776-1_i386.deb gebaut und installiert. Es lief ja auch wochenlang ohne Probleme. Hab dann mal wieder ein dist-upgrade gemacht und seitdem war X sehr lahm. Nach nem Neustart startete X gar nicht mehr eben wegen diesem API mismatch. An den nvidia Paketen hat sich aber beim upgrade nichts geändert. selbst auf die Gefahr einer nicht debiankonformen Lösung; Ich würde einfach den Treiber 1.0-9629 von NVidia installieren. Ist eh closed Source. Aber der sollte funktionieren. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Erleuchtet mich zu wodim oder wer hat cdrecord geklaut?
Hi, Eduard Bloch wrote: #include hallo.h * Joerg Schilling [Fri, Oct 20 2006, 01:39:30AM]: Damit verstanden werden kann, warum Leute wie Eduard Bloch OSS Projekte vergiften und z.B. dem cdrtools Projekt gewaltig schaden versuche ich mal beispielhaft eine der typischen Bloch Aussagen zu kommentieren.. vergiften, schaden, gewaltig... du nimmst den Mund ganz schön voll für das, was du an harten Tatsachen vorlegst. Ich versuche mal, objektiv zu bleiben. Wer wem jetzt zuerst ins Förmchen gepinkelt hat, ist mir ziemlich egal. Fakt ist, das Ihr mittlerweile Stunden damit verbracht haben müsst diese Auseinandersetzung zu führen. Eventuell hilft es Euch ja, wenn mal ein Anwender erläutert wie er das sieht. Ich setze Debian ein, weil ich es für eine technisch sehr ausgereifte Distribution halte (genaugenommen halte ich Debian für das beste Linux). Über die allgemeine Qualität hinaus bietet Debian aber einen weiteren wesentliche Vorteil, nämlich den der 'political correctness'. Da ich weder Zeit noch Lust habe mich für jedes Programm darum zu kümmern, ob ich es in meinem Sinne einsetzen kann, greife ich unter anderen auf Debian zurück. Wenn Debian jetzt meint cdrecord oder was auch immer, ist nicht mit den Grundsätzen von Debian zu vereinbaren, dann schmeisst den Kram raus. Fertig. Wenn der Programmierer dieser Software damit nicht einverstanden ist, erklärt Ihm warum. Fertig Eine Diskussion die so ausufert wie diese hier, ist vollkommen überflüssig. Jörg Schilling hat die Möglichkeit seine Software so zu Lizensieren, wie es für Debian notwendig ist. Das tut er nicht, warum auch immer. UND AUS. Mehr gibt es dazu nicht zu sagen. Jedes weitere Wort dazu ist Verschwendung. Das einzige was Ihr jetzt noch erreichen könnt ist die Beschädigung Eurer Arbeit. Selbst im Kindergarten wird es einem Kind irgendwann zu dumm das alte 'Nein-Doch Spiel' zu spielen. Euer Verhalten erinnert viel eher an Altersstarsinn. Also Eduard Bloch; Was kümmerts den Mond, wenn ihn der Hund anbellt? Ich werde weiterhin Debian einsetzen. Deswegen unterstütze und schätze ich Euch. Also Bitte, Bitte, könntet Ihr jetzt diese Auseinandersetzung beenden. Danke -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server sichern durch CD-Betrieb?
Hi, Christian Frommeyer wrote: Am Donnerstag 19 Oktober 2006 04:36 schrieb Gerhard Wendebourg: wie ist die Option einzuschaetzen, einen Server zu schuetzen, indem seine aktiven Komponenten (Binary's usw.) von CD betrieben werden, um damit die Korruption durch malware zu unterbinden? Einen gewissen Schutz bietet das. Aber nicht vor einem Angriff, sondern eigentlich nur davor, das ein Angreifer über einen Reboot hinaus im System bleiben kann. Hat ein Angreifer erst einmal root-Rechte erlangt, kann er auf der für Logs etc vorhandenen HD auch Binaries abladen, ist die Platte mit noexec gemountet ist er auch zu einem Remount berechtigt. Ein System auf CD zu brennen hat einen entscheidenen Nachteil. Für ein security Fix muss eine neue CD/DVD gebrannt werden. Ansonsten ist das Konzept allerdings genial, weil sehr einfach. Hostbasierte IDS sind nicht trivial einzurichten und können auch ausgetrickst werden. Ausserdem ist es eben wieder einmal ein Mehr an Software auf dem Rechner. Besser ist ein System mit nur den notwendigsten Programmen und Bibliotheken. Bei einem CD-basiertem System, sollte man jedoch darauf achten, dass man eben keine HD oder andere wiederbeschreibare Medien im Rechner hat. Man muss sich dann darum kümmern, das die Logdateien auf ein anderes System geschrieben werden. Dazu bestehen folgende Möglichkeiten: - Die Daten über eine serielle Schnittstelle auf ein anderes System schreiben. - Die Logdaten ausdrucken. - Die Logdaten auf einem Loghost aufzuzeichnen. Die einzelnen Lösungen bieten mehr oder weniger Sicherheit. Im normalen Fall würde ich die Logdaten über ein dediziertes Netz auf einen Loghost schreiben. Alternativ kann auch das 'normale' Netz verwendet werden. Allerdings ist hier dann TCP Pflicht. Ausserdem würde ich die Daten dann nur verschlüsselt über das Netz senden. Dafür eignet sich syslog-ng sehr gut. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server sichern durch CD-Betrieb?
Hi, Andre Timmermann wrote: [..]. Also ich würde sagen, dass Ganze ist stark vom Einsatzgebiet abhängig. Eine Firewall z.B. könnte man so betreiben, da da nicht viel am System geändert werden muss. Allerdings würde ich das nicht über eine CD machen. Für sowas würde ich von einem USB-Stick booten, bei dem man den Schreibzugriff per Schalter abstellen kann. Dann könnte man das System auch bequemer pflegen. Die Regeln könnten in kompilierter Form im RAM Wenn sich das System mit einem USB-Stick booten lässt, ist diese Möglichkeit sogar noch besser. Alternativ wäre es natürlich auch möglich das System auf eine SCSI-Platte zu installieren und auf dieser dann nach erfolgter Konfiguration, die Stromzufuhr zu den Schreibköpfen zu unterbrechen. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Optimale Primary Keys bei Datenbanken
Hi, Jochen Schulz wrote: Jan Kohnert: Da ich sowas aber auch mache (mit etwa gleich großen Bildern, nicht auf einem Fileserver), stellt sich für mich jetzt die Frage, was denn besser wäre. Dateiname, -größe oder -header sind ja wohl genauso ungeeignet wie jeglich Art von Hashes (obwohl ich noch keine Probleme hatte). Was aber wäre optimal? Was spricht gegen einen künstlichen Primärschlüssel? Alle RDBMSe sollten Sequenzen kennen, die garantiert nie einen Schlüssel zwei Mal erzeugen. Z.B. weil man Schlüssel benötigt, welche nicht vorhersagbar sind. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: md5 hashes zu kurz (zu viele collisionen)
Hi, Michelle Konzack wrote: Moin Leute, Ich habe einen FileServer auf dem derzeit 130 millionen Dateien von wenigen Bytes bis zu hunderten von MBytes gespeichert sind. Lächerlich. Alle Dateien haben md5 hashes und bei der eintragung in meine PostgreSQL sind Fehler aufgetaucht... (die md5 hashes sind die primary keys) Ich habe weit über 2000 collisionen! Was somit über 2000 zuviel sind. Theoretisch kann es durchaus zu einer Kollision zwischen den Hashes zweier Dateien kommen. In diesem Universum sind 2000 Kollisionen jedoch unmöglich weil das so unglaublich unwahrscheinlich ist, dass es nur aufgrund einer falschen Implementation oder eben bei Dir auftreten kann. Gut, nachdem diverse Filesharing Firmen (Napster?, Kaaza?) miliarden von Dateien handhaben müssen, - und es bereits 64 Byte md5sums gibt, Was sollen denn 64Byte md5sums sein? Du möchtest bestimmt mal im RFC 1321 blättern. Md5 ist erzeugt einen 128-bit fingerprint und sonst nix. nea:~# cat /proc/crypto name : md5 module : kernel type : digest blocksize: 64 digestsize : 16 -- cut -- Falls Dir das nicht reicht, es gibt auch andere Hash-Algorithmen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Optimale Primary Keys bei Datenbanken
Hi, Jan Kohnert wrote: Ulf Volmer schrieb: On Fri, Oct 13, 2006 at 04:45:10PM +0200, Armin Berres wrote: Naja, da habe ich aber anderes in Erinnerung. Kurzes googeln hat mich da auch eher unterstützt. Siehe zum Beispiel [1] Vorsätzlich Kollisionen zu erzeugen ist dagegen wohl kein allzugroßes Problem. Siehe [2] ROTFLOL Das Problem ist eher theoretischer Natur. _Ja_, es ist Forschern gelungen eine Kollision herbeizuführen. Dabei ging es konkret darum, zwei unterschiedliche Dateien mit dem gleichen MD5-Hash zu erzeugen. Das ist jedoch nur unter unter eng begrenzten Voraussetzungen und einer relativ hohen Rechleistung möglich. MD5 Hashes sind auch heute noch eine sichere Möglichkeit Daten eindeutig zu kennzeichnen. Es ist keineswegs so, das MD5-Hashes häufige kollidieren. Kollisionen sind hier nur sehr mutwillig und unter günstigen Bedingungen herbeizuführen. Der Aufwand ist hier sehr gross. Als primärer Schlüsssel eigenen sich MD5 Hashes daher sehr gut. Dazu ist es hilfreich sich mal die Dimensionen klar zu machen. Ein MD5 Hash besteht aus 32 Hexwerten. Die lassen sich mit 16 Byte darstellen. 16 Byte (bei einer Byte Grösse von 8Bit, es gibt auch andere Byte-Grössen) sind 16 * 8Bit. Das sind 128 Bit. Das sind 2^128 Möglichkeiten. Der geneigte Leser kann gerne mal ausprobieren wie Sein Rechner auf diese Aufgabe reagiert (Registerbreite ist 32 oder 64 Bit). Übrigens, die Anzahl der Atome im Weltall wird auf 10^80 geschätzt. Zusammenfassung: 2^128 sind ca. 3.4 × 10^38 Möglichkeiten, also eine Dezimalzahl mit etwas mit mehr als 38 Stellen. Und mal im Ernst, was sind da schon 130 millionen Dateien (130 000.000). Lächerlich. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: lokaler User vs. Root
Michelle Konzack wrote: Am 2006-09-13 19:08:12, schrieb Jan Dinger: Wie gelangt ein potenzieller Angreifer an root-rechte? Ich meine ich habe es eine ganze Weile mal aus Spass probiert aber bin zu keine erfolg gekommen. Denn um ein RootKit in betrieb zu nehmen oder Irgendwas brauche ich ja erstmal root-access oder irre ich mich da? Nö, Root-Kits habe ich hier jede menge rumliegen... Alles vom Internet gesaugt. könntest Du Dich einfach woanders wichtig machen. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Gateway an 2 ISPs
Hi, Andreas Richter wrote: Hi, ich habe hier einen Debian Sarge Gateway, der bisher über einen ISP per eth1 an die Außenwelt angebunden war. eth0 ist das Interface in das lokale Netzwerk. Standardgateway ist bisher auf eth1 Nun haben wir einen 2. ISP bekommen, der über eth2 an das Gateway angeschlossen werden soll. Über eth1 sollen im laufenden Betrieb nur noch die Mails reinkommen und der restliche Internet-Verkehr soll auf eth2 laufen. Wie stell ich das am dümmsten an? Bisher habe ich in /etc/network/interfaces eth2 als satic und mit default-gateway hinzugefügt. Das läuft auch. Nur hab ich dann ein Problem, daß ich eth1 von außen nicht mehr anpingen kann und darüber auch keine Mails mehr reinkommen. Du hast zwei Probleme, das Erste ist einfach zu lösen. 1.) Wenn Du bei Deinem Provider ein Mail Postfach hast, kannst Du Mail von drinnen über eine Hostroute auf dem Provider Mailserver abholen. etwa so: route add -host 'IP_DES_PROVIDER_MAILSERVERS' dev eth1 Damit wird jeglicher Traffic zu Deinem Provider Mailserver, über eth1 versendet. 2.) Du möchtest Deinen Server auf seinem eth1-Device anpingen. Ich glaube ja nicht das das sinnvoll ist, aber eventuell möchtest Du ja auch ein ssh oder sowas machen. Nun, hier ist Dein Problem: Solange vom Provider Mailserver, Pakete ankommen (egal Welche), werden die über die host-route korrekt ausgetauscht, also keine Probleme. Alle anderen Pakete laufen über die default-route. Möchtest Du jetzt allerdings von einem beliebigen Rechner im Internet Deinen Rechner über sein eth1 device erreichen, hast Du ein Problem. Dein Rechner wird zwar die ankommenden Packete annehmen, allerdings werden die Anwortpackete dann über eth2 versendet. Das ist für den Rechner mit dem Du im Internet versuchst eine Verbindung auf eth1 aufzubauen fatal, er bekommt jetzt zwar die Antwortpakete zugestellt, aber mit der falschen Absender IP, eben der von eth2. Jetzt gibt es zwei Lösungen: Entweder Du setzt einen 'richtigen' dynamischen Router auf (z.B. zebra), oder Du beschäftigst Dich mit dem Paketfilter auf Deinem Router. Ich weiss das es mit dem Paketfilter unter OpenBSD dafür eine Lösung gibt, bei Linux bin ich mir nicht sicher. Wie kann ich das umbiegen? Hat jemand eine Idee oder ein Tutorial zu o.g. Problem? Beschäftige Dich mit dynamischen Routern. -hth -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Debian Gateway an 2 ISPs
Hi, Martin Reising wrote: On Fri, Sep 01, 2006 at 01:37:55PM +0200, Joerg Zimmermann wrote: Jetzt gibt es zwei Lösungen: Entweder Du setzt einen 'richtigen' dynamischen Router auf (z.B. zebra), oder Du beschäftigst Dich mit dem Paketfilter auf Deinem Router. Ich weiss das es mit dem Paketfilter unter OpenBSD dafür eine Lösung gibt, bei Linux bin ich mir nicht sicher. Die Lösung intressiert mich! Welche genau? zebra ist halt eine Routersoftware und kann halt wesentlich mehr als mit einer default-route routen. Das ist allerdings einigermassen umfangreich, so dass ich dazu erstmal auf deren Dokumentation verweise. http://www.zebra.org/ Eine Lösung unter Linux mit Paketfilter habe ich noch nicht machen müssen. Ich glaube auch nicht, das das geht. Unter OpenBSD geht das so: pass in on $mail_if reply-to ( $mail_if $mail_ip ) inet proto tcp from any to $mail_ip port 22 keep state Wie soll man mit nur einem Computer ohne AS mit 2 x /30 Upstream, wobei der MX nur in einem der beiden /30 liegt, dafür sorgen das alles außer inbound SMTP über das andere /30 geroutet wird? -hth -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umlaute
Hi, Oliver Block wrote: Am Mittwoch, 30. August 2006 18:08 schrieben Sie: meta http-equiv=Content-Type content=text/html;charset=ISO-8859-15 Welcher Zeichensatz steht darin? iso-8859-1 Der Browser nimmt einen anderen Zeichensatz als Du verwendest. Das sollte jedoch nicht passieren, wenn der meta-Tag vorhanden ist. Wenn ich Der meta-Tag ist an sich einigermaßen unsinnig. Entscheidend für den ausgewählten Zeichensatz ist _nicht_ HMTL selber, sondern HTTP. Zum Prinzip: Der Browser stellt eine Anfrage (get) an den Webserver (http). Der Webserver stellt den übertragenen Daten (Webseiten), einen HEADER voran (Das Prinzip ist ähnlich bei MIME). Im HEADER gibt es u.A. eine Eigenschaft Content-Type: Das beschreibt den Inhalt also z.B. 'text/html', 'application/xml' oder auch text/plain. Hier _kann_ jetzt zusaetzlich die Zeichenkodierung angegeben sein. Das ganze sieht dann etwa so aus: Content-Type: txt/html; charset=utf-8 Also legt der Admin des Webservers die Zeichensaetze fest. Nun kann man durchaus im übertragenden Dokument einen Zeichensatz angeben. Das ist aber etwas unsinnig, obwohl es häufig funktioniert. Unsinnig ist es deswegen, weil erst im Dokument selber geklärt wird welcher Art die verwendeten Zeichen in ihm selber sind. Das ist so als wuerde ich in Thaihotisch erklären wie Thaihotisch funktioniert. Trotzdem sieht HTML eine Möglichkeit vor Zeichensätze zu definieren. Das geschieht über ein HTTP-Äquivalent: meta http-equiv=Content-Type content=txh/html; charset=utf-8 Dieses Konstrukt existiert um einen eventuell fehlenden HTTP-Header nachtragen zu können. Um den Zusammenhang zu verstehen hilft 'ethereal' oder das Firefox-Plugin LiveHTTPHeader. -hth -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: martians ping(arp spoofing) - ohne ende
Hi, [EMAIL PROTECTED] wrote: Hallo hab hier riesen problem mit einer debian kiste in unserem netzwerk. Die Box hat eine NIC intel e1000 ganz normal konfiguriert in unserem class c netz (192.168.0.0.) Soweit so gut leider spooft(arp) das Ding in in ein Netz obwohl es nicht in dieses Netzt konfiguriert ist. Mein Router beklagt sich... Aug 31 09:38:41 derrouter kernel: martian source 192.168.30.32 from 192.168.30.32, on dev eth1 Aug 31 09:38:41 derrouter kernel: ll header: ff:ff:ff:ff:ff:ff:00:0e:0c:3d:03:mc:08:06 (mac für beispiel geändert) Nun ja, :mc wäre auch etwas seltsam. da gab's doch gerade einen thread zu. Schau Dir mal die devices an: was sagt: $netstat -iee und $ ip addr show -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umlaute
Hi, Oliver Block wrote: Am Donnerstag, 31. August 2006 09:59 schrieb Joerg Zimmermann: Der meta-Tag ist an sich einigermaßen unsinnig. Entscheidend für den ausgewählten Zeichensatz ist _nicht_ HMTL selber, sondern HTTP. Das stimmt nicht. Was genau stimmt nicht? Die erste Aussage ist zugegebenermaßen subjektiv. Die Zweite wirst Du nicht wiederlegen können. Du kannst in HTML definieren was Du willst, wenn der Webserver (HTTP) kein utf-8 kann oder will, dann bekommst Du auch kein utf-8. Zum Prinzip: Der Browser stellt eine Anfrage (get) an den Webserver (http). Der Webserver stellt den übertragenen Daten (Webseiten), einen HEADER voran (Das Prinzip ist ähnlich bei MIME). Im HEADER gibt es u.A. eine Eigenschaft Content-Type: Das beschreibt den Inhalt also z.B. 'text/html', 'application/xml' oder auch text/plain. Hier _kann_ jetzt zusaetzlich die Zeichenkodierung angegeben sein. Das ganze sieht dann etwa so aus: Content-Type: txt/html; charset=utf-8 Also legt der Admin des Webservers die Zeichensaetze fest. zitat To sum up, conforming user agents must observe the following priorities when determining a document's character encoding (from highest priority to lowest): 1. An HTTP charset parameter in a Content-Type field. 2. A META declaration with http-equiv set to Content-Type and a value set for charset. 3. The charset attribute set on an element that designates an external resource. /zitat (http://www.w3.org/TR/html401/charset.html) Wahrscheinlich meinst Du das. Aber das können wir m.E. getrost vergessen, weil Das meinte ich, da steht aber eben was von 'priorities'. 1. die Seiten höchstwahrscheinlich lokal geladen wurden. Da verstehe ich den Zusammenhang gerade nicht. 2. es nicht sehr wahrschlich ist, daß ein Zeichensatz wie ISO-8859-1 von einem Webserver in einen anderen konvertiert wird. Oder doch? Das nicht, aber an der Kommunikation ist eben auch der Browser beteiligt. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Umlaute
Hi, Frank Lanitz wrote: Am Mittwoch 30 August 2006 13:56 schrieb Christian Frommeyer: Am Mittwoch 30 August 2006 12:31 schrieb Mathias Brodala: Besser noch ist es dagegen auf die eierlegende Wollmilchsau (UTF-8) zu setzen. Darin muss man kein einziges Zeichen umschreiben. Nur ist Das würde ich so nicht propagieren. Es gibt immer noch genug Software, die nicht mit UTF-8 umgehen kann. ACK. Zum Beispiel habe ich die Erfahrung gemacht, dass der IE immer mal Probleme damit hat. oder diverse Bibliotheken in der Webprogrammierung. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Ubuntu ist überall, oder?
Hi, J. Dietrich Boock wrote: Michelle Konzack schrieb: [..] Q: Schon mal gesehen, wer die Besitzer der der sogenannten Medien Industrien sind? Im internet wirds aufgeschlüsselt... Alles Juden... Würde es Dir gefallen wenn ich Dich jetzt mit dreckige(r) Faschist(in) anrede? Antisemitismus != Faschismus. Einfach sachlich bleiben, das ist viel effektiver. Niveau hat eine untere Grenze aber keine Obere. Mir fiel spontan folgendes Vorwort ein: (Es könnte auch zu Michelles unsäglicher Mail zu 'Frank Küsters Entschuldigung für die Verwendung des Wortes Vergasung im Labor' gewesen sein) -- Zitat -- LinuX Anwenderhandbuch und Leitfaden für die Systemverwaltung Wir nehmen Stellung: Gegen Faschismus und Rassismus! Diese Ideologien verdrängen die Probleme unserer Gesellschaft nach außen, anstatt sie zu lösen. Es gibt keine einfachen Rezepte, schon gar keine nationalistische Lösung. Eine grundlegende Neuorientierung der Gesellschaft ist notwendig. Sie kann aber nur mit Menschen und Völkern der anderen Ländern und Kontinente entwickelt werden. Die sogenannte Asylproblematik wird nicht durch Vertreibung gelöst, sie entsteht durch Vertreibung! Es gibt viele Arten einen Menschen zu töten. Nur wenige davon zählen in diesem Land als Asylgrund. In tiefer Trauer um einen von stolzen, deutschen Faschisten ermordeten Freund, und um alle anderen Opfer faschistischer und rassistischer Gewalttaten. Die Dummheit der Täter und das Elend ihres Lebens entschuldigen diese Taten nicht. Für uns gilt weiterhin: Schaut nicht weg! Greift ein! Berlin, den 7.9.1994 Sebastian Hetze, Dirk Hohndel, Olaf Kirch und Martin Müller LunetIX Softfair -- Zitat ende -- Vollkommen egal ob es Juden, Anthroposophen, Steinkreisprogrammierer oder Katoliken sind. FACK!! FACK Jeder Ossi wird wissen wenn ich einfach sage: Kapitalisten. Den kannte ich noch gar nicht. Nunja, wie kamen wir drauf? Ach: Ubuntu... Gehörte auch zu den überflüssigen Threads. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables standortbezogen - oder besser nicht?
Hi, Richard Mittendorfer wrote: Also sprach Dirk Ullrich [EMAIL PROTECTED] (Fri, 18 Aug 2006 10:50:32 +0200): Die wichtigste: Innerhalb meines Heim-Netzes erlaube ich meinem Desktop natürlich uneingeschränkten Zugriff auf mein Notebook über Freigabe der IP-Adresse. Wenn ich diese Regel uneingeschränkt setze und ich mich mal in einem anderen Netz mit gleichen Adressen befinde, würde ich ja versehentlich unerwünschten Gästen den Zugang erlauben. Wenn ja, dann bleibe ich bei meiner Antwort: Ein Angreifer braucht nur die MAC-Adresse des Rechners des anderen Netzes rausbekommen, dem der Zugriff erlaubt ist. D.h. a) der Angreifer u.d. Notebook muessen sich im richtigen Netz befinden und b) der Angreifer muss die MAC des Rechners zuhause(!) beim OP wissen. MMn. halt keine wahrscheinliche Situation. Aber es kann ja nicht schaden es sicherer zu machen. Ich verwende auf meinem Laptop dafür einen Portknocker (sadoor, [Sequenzen und keys]). -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: sendmail - bestimmte error bounces blocken
Hi, Thorsten Haude wrote: Moin, * Enrico Weigelt wrote (2006-08-18 21:35): kennt jemand eine praktikable Möglichkeit, um *ausgehende* error-bounces (zB. user unknown) zu blocken ? # place to which unknown users should be forwarded Kuser user -m -a DLlocal:unknown Naja, in der Regel macht man das mit diversen m4 Macros. Also für unbekannte user z.B.: define(`LUSER_RELAY', `local:unknown')dnl Welche bounces möchtest Du denn noch 'blocken'. Mit Sendmail sieht die Lösung vermutlich etwa so aus: 09ujsdäas+#ü+)(/$)09LÖKM09835klj=)40802354 %%$ Hey, biste auf der Tastatur ausgerutscht? Für Postfix steht hier etwas: http://www.postfix.org/FILTER_README.html War nicht gefragt. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Adresse updaten
Christoph Haas wrote: On Thursday 17 August 2006 20:15, [EMAIL PROTECTED] wrote: ich bin gerade dabei meine Adressdaten auf den aktuellen Stand zu bringen, wenn du möchtest, kannst du Deine Daten selber ändern. Ich bin ja militanter Nichtraucher, aber vom dem Zeug will ich auch was. Ob die Software weiß, dass diese Vorgehensweise bei Mailinglisten zweckfrei ist? Falls Spammer noch Adressen brauchen, hier sind welche: http://abook.fechner.net/ Ob all die Leute auf der Liste wissen, dass ihre Telefonnummern frei im Internet herumliegen? ;) Christoph Soo, Du findest das also lustig Christoph?? Du findest es lustig wenn neben reinen Mailadressen auch teilweise Telefonnummern, Adressdaten sowie Geburtsdaten von über 70 Personen durch die Unfähigkeit eines Einzelnen im Internet veröffentlich werden. Dir ist klar, das diese Daten nicht durch einfaches löschen entfernt werden können. Mit ein wenig Pech, hat schon ein Spam/Suchmaschinen-Robot das ganze Zeug eingescannt. Wie würdest Du reagieren, wenn Deine Daten so frei zugänglich wären? Hier werden Persönlichkeitsrechte tangiert. Diese Art von Umgang mit Daten Dritter ist unverantwortlich. Es handelt sich hier ganz offensichtlich um ein persönliches Adressbuch eines gewissen 'Matthias Fechner'. Wenn da meine Daten auftauchen würden, der Mann hätte sofort ein unangenehmes Problem mit mir. Das ist kein Spass mehr, das kann ernste Konsequenzen haben. Aus diesem Grund, kann das auch nicht folgenlos bleiben. Die Betroffenen muessen informiert werden. -Jörg @Christoph: War nicht persönlich gemeint;) Ich finde nur das der Umgang mit persönlichen Daten mittlerweile mit einer erschreckenden Gleichgültigkeit geschieht. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Brother Multifunktonsdrucker was Lexmark-Drucker
Hi, Stefan Frech wrote: Am Samstag, 12. August 2006 09:06 schrieb Peter Blancke: Ad 2006-08-11, Stefan Frech [EMAIL PROTECTED] dixit: [Debian-Unterstuetzung] Gibt es auch bei Brother Druckern ( sogar bei den Multitfunktionsteilen ) hab mir deswegen so einen Bestellt - vieleicht hat Debian doch mehr Freunde als man denkt Da wuerde mich dann -- sobald Du das Teil Dein Eigen nennen darfst -- ein Erfahrungsbericht sehr interessieren. Es gibt wohl zu den meisten Brother Geräten propritäre Treiber als DEB's. Ich verwende hier seit ca einem Jahr den Brother MFC7420 (USB, Laser). Drucken, scannen, faxen, kopieren für etwa 300EUR. Die Installation war einfach unter Woody und Sarge. Ich hatte bisher keine Probleme. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: 'ls -lR' (oder so) per ssh auf einem maildir übers Internet...
Hi, Michelle Konzack wrote: Moin *, da es keider kein Tool gibt, mit dem man von einem Script aus einen IMAP server abfragen (Mailboxen, gelesene und neue Messages), will ich das ganze nun über SSH machen. für sowas gibt's Perl. use Mail::IMAPClient; Damit leite ich Mails weiter die länger als drei Arbeitstage ungelesen in einem Postfach rumlungern. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hi, Peter Jordan wrote: Joerg Zimmermann wrote: Hi, Peter Jordan wrote: [..] Als Modifikation zu dem von Hauke Genannten gäbe es noch die Möglichkeit, eine klitzekleine Partition von nur wenigen MB zu erstellen, auf der dann die Schlüssel für alle Partitionen abgelegt werden. Diese wird dann beim Bootvorgang noch vor cryptdisks--early und cryptdisks eingebunden. Nach der Entschlüsselung kann die key-Partition wieder ausgehängt werden. Und wozu soll das gut sein??? Das dient dem Schutz aller auf dieser Partition liegenden Schlüssel während des laufenden Betriebs. Dann kläre mich bitte mal auf;) Du legst die Schlüssel auf einer unverschlüsselten (klitzekleinen) Partition ab?? So habe ich nämlich Deine Mail verstanden. Dann käme ja jeder an die Schlüssel heran um die verschlüsselten Partitionen zu entschlüsseln. Wenn auch diese Partition verschlüsselt ist, ist mir unklar wo denn da der Vorteil liegen soll. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hi, Peter Blancke wrote: Ad 2006-08-10, Joerg Zimmermann [EMAIL PROTECTED] dixit: Peter Jordan wrote: Joerg Zimmermann wrote: Du legst die Schlüssel auf einer unverschlüsselten (klitzekleinen) Partition ab?? So habe ich nämlich Deine Mail verstanden. Dann käme ja jeder an die Schlüssel heran um die verschlüsselten Partitionen zu entschlüsseln. Wenn auch diese Partition verschlüsselt ist, ist mir unklar wo denn da der Vorteil liegen soll. Ich muszte den Sachverhalt auch erst mehrfach durchdenken. Er benoetigt gleich nach dem Start diese Mini-Partition, die selbstverstaendlich verschluesselt ist. Hierfuer zeigt er sein Paszwort vor. In dieser Partition liegen die restlichen Schluessel (oder auch nur einer) fuer alle weiteren Partitionen inklusive Swap. Nachdem alle Partitionen geoeffnet wurden, wird die Minipartition geschlossen und damit werden die Schluessel geschuetzt fuer den Fall, dasz jemand in einem Kurzen Augenblick sich der Schluessel bemaechtigt. Das macht Sinn. Da die Schluessel fuer den weiteren laufenden Betrieb nicht benoetigt werden, sondern lediglich zum Oeffnen der Partitionen erforderlich sind, ist die Idee durchaus gut. yep, Idee gut. Danke für die Erhellung. Es kommt trotzdem anders: Er wird von den einschlaegigen Strafverfolgungsbehoerden an befreundete beispielsweise US-amerikanische Behoerden uebergeben, die ihn ihrerseits wieder (via Ueberflug ueber Deutschland) an Schurkenstaaten ueberstellen. Diese foltern ihn solange (langsames Ausreiszen aller Finger- und Fusznaegel beispielsweise war da mal sehr erfolgreich), bis er alle Paszwoerter herausrueckt. So sieht bald die Realitaet aus. Uhuu; Ich hoffe Du übertreibst, fürchte aber Du bist nicht so weit von der Wirklichkeit entfernt. beste Grüsse -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: cryptsetup(-luks), gpg, passphrases und root partition encryption
Hi, Peter Jordan wrote: [..] Als Modifikation zu dem von Hauke Genannten gäbe es noch die Möglichkeit, eine klitzekleine Partition von nur wenigen MB zu erstellen, auf der dann die Schlüssel für alle Partitionen abgelegt werden. Diese wird dann beim Bootvorgang noch vor cryptdisks--early und cryptdisks eingebunden. Nach der Entschlüsselung kann die key-Partition wieder ausgehängt werden. Und wozu soll das gut sein??? So habe ich es jedenfalls gemacht, und es klappt ganz gut. Klar, ist nur leider vollkommen sinnfrei. Oder verstehe ich da gerade was nicht? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wie wird normalerweise das default-gw bei DSL gesetzt?
Dirk Salva wrote: On Tue, Aug 08, 2006 at 09:51:46AM +0200, Matthias Houdek wrote: [..]. find /usr/share/man/man* -type f | xargs zcat | grep -A 8 replacedefaultroute Ok. Das bringt mir allerdings: [EMAIL PROTECTED]:~$ find /usr/share/man/man* -type f | xargs zcat | grep -A 8 Aufruf: grep [OPTION]... MUSTER [DATEI]... »grep --help« gibt Ihnen mehr Informationen. xargs: Prozeß zcat abgebrochen durch das Signal 13. ROTFLOL Dann geb den Befehl doch mal vollständig ein. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: hello
Hi, Andreas Juch wrote: bootlog wrote: [Spam entfernt] LOL Ist es eigentlich wirklich notwendig auf Spam zu antworten? Das verwirrt IMO nur die bayesischen Spamfilter. Und ein Fullquote ist auch nicht notwendig, außer du willst unbedingt, dass auch die deren Spamfilter die OP gelöscht hat auch noch was davon haben... Ganz meiner Meinung. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Bind-Verständnisfrage, oder: Wo kommt plötzlich die Meldung her?
Hi, Ace Dahlmann wrote: Hi! Am Thu, 03 Aug 2006 14:14:58 +0200 schrieb Joerg Zimmermann [EMAIL PROTECTED]: Besser wäre $ tcpdump -v -i eth0 host 68.178.211.201 -w /root/tcpdump.dump Ist ja klar. Jetzt, wo der tcpdump läuft, bekomme ich die Meldung seit 18 Stunden nicht mehr. :-\ schade, aber vielleicht hilft das ja auch schon. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Bind-Verständnisfrage, oder: Wo kommt plötzlich die Meldung her?
Hi Ace, Ace Dahlmann wrote: [..]. elbereth:~# tcpdump tcp port 53 8 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 00:49:15.401561 IP elbereth.intern.dahlmann.net.57196 ip-68-178-211-201.ip.secureserver.net.domain: S 324446473:324446473(0) win 5840 mss 1460,sackOK,timestamp 594682738 0,nop,wscale 0 00:49:15.588176 IP ip-68-178-211-201.ip.secureserver.net.domain elbereth.intern.dahlmann.net.57196: S 2056054616:2056054616(0) ack 324446474 win 5840 mss 1452,sackOK,timestamp 594682738 0,nop,wscale 0 00:49:15.588286 IP elbereth.intern.dahlmann.net.57196 ip-68-178-211-201.ip.secureserver.net.domain: . ack 1 win 5840 nop,nop,timestamp 594682925 594682738 00:49:15.588804 IP elbereth.intern.dahlmann.net.57196 ip-68-178-211-201.ip.secureserver.net.domain: P 1:60(59) ack 1 win 5840 nop,nop,timestamp 594682926 594682738 330% [1au][|domain] 00:49:15.772734 IP ip-68-178-211-201.ip.secureserver.net.domain $ host ip-64-202-165-202.secureserver.net Host ip-64-202-165-202.secureserver.net not found: 3(NXDOMAIN) elbereth.intern.dahlmann.net.57196: R 1:1(0) ack 1 win 5840 nop,nop,timestamp 594682925 594682738 00:49:16.014073 IP elbereth.intern.dahlmann.net.57197 ip-64-202-165-202.secureserver.net.domain: S 322018682:322018682(0) win 5840 mss 1460,sackOK,timestamp 594683351 0,nop,wscale 0 00:49:16.201716 IP ip-64-202-165-202.secureserver.net.domain elbereth.intern.dahlmann.net.57197: S 1869801305:1869801305(0) ack 322018683 win 5840 mss 1452,sackOK,timestamp 594683351 0,nop,wscale 0 00:49:16.201810 IP elbereth.intern.dahlmann.net.57197 ip-64-202-165-202.secureserver.net.domain: . ack 1 win 5840 nop,nop,timestamp 594683539 594683351 00:49:16.202267 IP elbereth.intern.dahlmann.net.57197 ip-64-202-165-202.secureserver.net.domain: P 1:60(59) ack 1 win 5840 nop,nop,timestamp 594683539 594683351 40868% [1au][|domain] 00:49:16.387429 IP ip-64-202-165-202.secureserver.net.domain elbereth.intern.dahlmann.net.57197: R 1:1(0) ack 1 win 5840 nop,nop,timestamp 594683539 594683351 8 Hmm, die IPs sagen mir übrigens gar nichts. Ich hab die URLs, die ich eben aufgerufen habe, überprüft; da scheint nichts dergleichen dabei gewesen zu sein (also auch nicht auf den Links der Seiten). Allerdings heißt das wahrscheinlich nichts, denn ich bekomme die Log-Meldungen auch zu Zeiten, in denen hier wirklich NIEMAND ist, von daher könnte ich mir vorstellen, dass Spamassassin das auch mit einem seiner Checks hervorrufen könnte. Ich konnte nur folgendes zu den anderen System herausfinden. secureserver.net scheint ein Provider zu sein. Ich habe das System nicht gescannt, es scheint aber ein BSD-Unix zu sein. So weit ich das gesehen habe bietet secureserver.net anonymen Webspace an. Ausserdem stehen die Systeme von denen teilweise auf Blacklists. Hilft Dir der TCP-Dump irgendwie? Nicht wirklich. Da sieht man nicht genug. Besser wäre $ tcpdump -v -i eth0 host 68.178.211.201 -w /root/tcpdump.dump Damit logs Du alle Packete komplett. Eventuel steht in der Payload irgendwo eine Fehlermeldung vom System gegenüber. Ausserdem wäre es natürlich interessant zu wissen, _warum_ die Namensauflösung über TCP läuft. Also alles was sonst noch zu diesem Rechner geht, könnte interessant sein. Insbesondere auch IP, UDP und ICMP. Auffällig ist übrigens, dass die beiden Meldungen immer genau mit einer Sekunde Abstand aufeinander folgen. Ich habe das gerade mal mit den anderen Log-Einträgen verglichen, das ist in der Tat immer so. Naja, timeouts eben. [..] Du solltest TCP [53] schon zulassen. Auch nach außen völlig freigegeben? Nein, so Du keine Dienste nach Aussen hin anbietest, sollten alle Ports von Aussen geschlossen sein, mit Ausnahme von ICMP. Aber von Innen sollten die Ports 53 (tcp/udp) geöffnet sein. Wenn Dein Router Zustandsbasiert filtert, kommen alle Packete die in diesem Kontext von Aussen ankommen auch durch. Außerdem stealtht mein Router nicht, sondern blockt. Also eigentlich Wenn Du z.B. ssh nach Aussen hin anbietest, ist Dein Rechner auch sichtbar. Dann wäre ein REJECT besser als ein DROP. könnte Bind doch auf seinem eigenen Anfrage-Weg auch etwas zurück bekommen, oder? Keine Ahnung was Du meinst, _was_ blockt Dein Server denn genau? Hmm, da die Router irgendwie alle für bestimmte Dinge verschiedene - teilweise aus dem Zusammenhang gerissene - Fachbegriffe für gewisse Dinge nutzen, bin ich in der Hinsicht mit diesen Begriffen etwas verwirrt. Nicht nur Du. Bei mir im Router ist das dort sog. SPI + Anti-DoS ausgeschaltet. Das verhindert erstmal, dass man beim Scannen über z.B. scan.sygate.com nur noch blocked. Das macht es mir dann auch möglich, in den Router-Einstellungen einzelne Ports für einzelne IPs nach außen freizugeben. Nach meiner Erfahrung lässt dies dann auch Kommunikation zu, die über Stealth GAR nicht gehen. Z.B.
Re: OT: Bind-Verständnisfrage, oder: Wo kommt plötzlich die Meldung her?
Hi Ace, Ace Dahlmann wrote: Hallo zusammen, ich komme mal wieder mit einer Debian-unspezifischen Frage um die Ecke: Seit ein paar Tagen bekomme ich plötzlich solche Nachrichten über logcheck zugesandt: --8-- Aug 2 13:17:00 elbereth named[27143]: dispatch 0x819b830: shutting down due to TCP receive error: connection reset Könntest Du davon einen tcpdump-Mitschnitt senden? Ich denke das liegt nicht an Deinem BIND, sondern an der Gegenseite. Möglicherweise baut die Gegenseite die Verbindung nicht korrekt ab. Das sollte aber keine negativen Auswirkungen auf Dein System haben. Beim Googlen fand ich das hier dazu heraus: [1], [2] Die Situation bei mir ist fast derer von [1] gleich. Ich benutze den Bind also nur hier für mein lokales Netz sowie als Cache für außen. Nun steht ja in [2], dass das ganz normal ist und wahrscheinlich TCP-Port 53 offen sein müsste. Du solltest TCP [53] schon zulassen. Was ich aber nicht verstehe: Logcheck und Bind laufen bei mir beide seit vielen Monaten und erst seit dem 31. habe ich täglich diese Meldungen. Was ist denn plötzlich anders? Wenn der Nameserver eine Antwort auf eine Anfrage eines Resolvers liefert die groesser 512 Bytes wäre, so wird der Nameserver das TC-Bit im Flag-Feld des DNS Packetes setzen und nur die ersten 512Bytes senden. Das veranlasst den Resolver seinerseits eine erneute Anfrage über TCP zu stellen. Es muss sich also auf Deinem System nichts geändert haben. Außerdem stealtht mein Router nicht, sondern blockt. Also eigentlich könnte Bind doch auf seinem eigenen Anfrage-Weg auch etwas zurück bekommen, oder? Keine Ahnung was Du meinst, _was_ blockt Dein Server denn genau? Woanders hatte ich noch gelesen, dass diese Meldungen bei bind ganz normal sind (was sich allerdings mit [2] widerspricht). Aber wie gesagt: Seit Dezember tauchen sie nun das allererste Mal auf. Und mal eine Nebenfrage: Was genau ist eigentlich 0x819b830? Das ist immer gleich. Ist das eine Anfrage-ID so wie die IDs bei Mailspool-Jobs? Bevor ich bind gestern mal neugestartet habe, war es immer 0x816aac8. Eher nicht, weiss ich aber nicht so genau. Könnte das was mit der PID zu tun haben? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: word-kommandozeilen-tool
Hi, Helmut Franke wrote: On Wed, Aug 02, 2006 at 08:32:34PM +0200, Peter Blancke wrote: [...] Hoc est enim verbum meum! Verbum secundum tibi dona! :) Tertium sed alius aut alia tibi donet! Das ist eine deutschsprachige Liste. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Label eines vfat-Dateisystems ändern?
Hi, Peter Jordan wrote: Stefan Bauer wrote: Peter Jordan schrieb: Und wie benutze ich mlabel? in der man steht mlabel drive. was muss ich für drive einsetzen? http://www.linuxforum.com/man/mlabel.1.php Ich fühle mich wie der lange Arm der Suchfaulen. Ähhm, wenn ich aus der man schlau geworden wäre, würde ich nicht fragen. Ich habe auch geschrieben In der man steht mlabel drive, insofern muss In der Man steht 'drive:[new_label]'. Ich würde also 'c:[new_label]' versuchen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ls | datei informationen des dateisystems
Hi, Andreas Winkelmann wrote: Am Saturday 17 June 2006 19:03 schrieb Florian (flobee): [..] $ man find $ man file $ man stat $ man sort $ man head $ man tail und vermutlich $ man bash Statt sort/head/tail liesse sich das vermutlich auch eleganter mit awk lösen. $ man awk Statt sort/head/tail/find/stat/file/awk laesst sich das eleganter mit Perl lösen;-) SCNR -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Reihenfolge der Netzwerkkarten
Hi, Klemens Kittan wrote: Hallo, ich weiß das dieses Thema schon diskutiert wurde, die Mails dazu habe ich auch gelesen. Die Reihenfolge der Netzwerkkarten wollte ich über die Datei /etc/modules (kernel modules to load at boot time) festlegen. Das hat überhaupt nicht funktioniert. Dann habe ich zusätzlich in der Datei /etc/modutils/aliases die Einträge: alias eth0 tg3 und alias eth1 e100, danach update-modules. Auch das hat nicht funktioniert. Beim booten ist mir aufgefallen das der Treiber e100 und dann der Treiber tg3 geladen wird 8-9 Ausgabe später wurde erst die Datei /etc/modules eingelesen und da wurde festgestellt, das die Treiber e100 und tg3 schon geladen sind. An welcher Stelle werden die Module geladen? Sie sind nicht in den Kernel kompiliert. Es könnte helfen die Karten im Rechner zu vertauschen. AFAIR gibt es dafuer aber auch eine Software mit der man die Reihenfolge verändern kann. Aber wofür soll das gut sein? Warum hat man den den Mechanismus /etc/modutils/aliases nicht so gelassen wie er war? Mir ist aufgefallen, das in /etc/rc2.d ist kein Link für networking ist. Wie oder wer startet den dann das Netzwerk? Das script 'networking' liegt in /etc/rcS.d, alles was hier liegt wird beim booten eingelesen. Erst danach wird das entsprechende Runlevelverzeichniss eingelesen. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Google earth unter Debian?
Hi, Andreas Pakulat wrote: [..] Hmm, Sid mit Xorg 7.0 und Radeon R250 zeigt mit DRI nur ein total kaputtes 3D-Bild. Mit Software-GLX gehts, aber natuerlich nur Schneckentempo... Bei mir läuft es mit Xorg 7.0, Nvidia 7800 GO, SID mit DRI in ansprechneder Geschwindigkeit ohne Probleme. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] Reihenfolge der iptables rules
Hi, Chris C. wrote: Hi, [..] wird die ja doch sehr grobe letzte Regel einfach ignoriert (vermutlich wegen den Rejects darüber), setze ich -A INPUT -d localhost ganz nach oben, läuft alles. Für eben diesen Fall gibts bei pf pass in quick (PF geht nach meinem verständis erst alle Regeln durch und nimmt nicht die erste die halbwegs passt...). Ein quick benötigst Du bei Linux nicht. Im Gegensatz zu OpenBSD, sorgt der erste Treffer dafür, dass das Packet die weiteren Regeln nicht mehr durchläuft. Bei OpenBSD durchläuft das Packet die Regeln aber immer vollständig, es sei denn, Du nimmst es mit quick raus. OpenBSD nimmt übrigens keine Packete die 'halbwegs passen', sondern matched wie Linux nur bei exakter Übereinstimmung;-) -hth -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSL-/TLS-Zertifkate mit qualifizierter Signatur unterschreiben
Hi, Hannes H. wrote: Am 30.05.06 schrieb Christian Frommeyer [EMAIL PROTECTED]: [..] Abgesehen davon, dass ich noch immer die Hoffnung habe, dass das Stamm-Zertifikat für die Qualifizierten Signaturen in die Browser übernommen werden möchte ich den Usern ganz einfach die Möglichkeit geben die Unterschrift mittels Fingerprint zu überprüfen - wenn es denen ein Anliegen ist. Was ist denn ein richtiges? Schau Dir evtl. mal www.cacert.org an. Zum beispiel eines von VeriSign für das man - zumindest als ich das letze Mal nagsehen hab - fast 900 Euro bezahlt. Was ist denn an cacert-Zertifikaten nicht richtig (ausser das sie kein Geld kosten)? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VMWare 3.2 unter Debian/Sarge
Hi, Peter Blancke wrote: Joerg Zimmermann [EMAIL PROTECTED] dixit: Peter Blancke wrote: Peter Blancke [EMAIL PROTECTED] dixit: Hmmm... Als 2.4-Kernelbenutzer hat man mit den ploetzlich auftauchenden vier Ziffern in der Kernelversion einfach seine Schwierigkeiten. ACK. Bei mir läuft VMWare Workstation 5.5 ohne Probleme mit dem 2.6.16'er Kernel auf mehreren Maschinen. Ohne weitere Nachinstallationen irgendwelcher Patches in VMWare bzw. den Kernel-Sourcen? Ja, ich habe nichts weiter installiert. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: alle Prozesse innerhalb eines Zeitraumes
Hi, Jan Kesten wrote: [..] -- apt-get install acct Das aktiviert jedoch das Prozessaccounting, welches noch ein wenig mehr tut und eventuell auch nicht gewünscht ist. Die Liste oben bekommst Du mit lastcomm (wie last commands), auswerten musst Du sie dann selbst, brauchst Du auch nur eine bestimmte Zeit, kannst Du das Accounting entsprechend mit accton zu den gewünschten Zeiten ein-/ausschalten (und natürlich das automatische Starten verhinden). Im Paket dürften folgende Tools sein: aczusammenfassende Infos zu den letzten Logins sa zusammenfassende Infos zu den letzten Prozessen lastcommAuflistung der letzten Prozesse lastAuflistung der letzten Logins acctonTool zum Aktivieren/Deaktivieren des Accountings dump-acctListe mit den Prozessinformationen dump-utmpListe mit den Logininformationen Und nie die bösen User überwachen :-) ;) Nein, ich möchte nur sehen ob bestimmte unregelmässig startenden Prozesse auch wirklich starten. Vielen Dank für alle Antworten, acct ist cool. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VMWare 3.2 unter Debian/Sarge
Hi, Peter Blancke wrote: Peter Blancke [EMAIL PROTECTED] dixit: [VMWare unter Kernel 2.16 lauffaehig machen] Den Kernel hätte ich auch gerne. [..] - Die VMWare-Workstation 5.5 macht offensichtlich zahlreichen Anwendern erhebliche Probleme, sobald der Kernel groeszer gleich 2.15 ist. Ich habe jetzt einen Kernel 2.13.5 installiert. Damit laufen die VM-WS5.5 und natuerlich auch der dazugehoerige VMPlayer ohne weitere Verrenkungen auf Anhieb. Du hast definitiv ein Kernel Problem. ;-) Bei mir läuft VMWare Workstation 5.5 ohne Probleme mit dem 2.6.16'er Kernel auf mehreren Maschinen. - cryptsetup wird zahlreichen Diskussionsfaeden nach offensichtlich erst ab 2.16.10 fuer den produktiven Einsatz tauglich. Damit muszte die Kernelversion zwangslaeufig zwischen 2.6.10 und 2.6.14 liegen. s.o. [..] Den wohl kostenlosen VMServer habe ich jetzt noch nicht ausprobiert, mir fehlen dazu noch Erfahrungsberichte. Der ist wohl noch Beta, ich weisz auch gar nicht, mit welcher Oberflaeche man diesen Server bedient (VMPlayer?). Beta-Software halte ich ohnehin fuer Produktionsumgebungen auch fuer bedenklich, schlieszlich halte ich meinen Kopf hin, wenn beim Kunden die Systeme abrauchen. Der VMWare-Server ist mit Vorsicht zu geniessen. Mit dem hatte ich einige Probleme. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
alle Prozesse innerhalb eines Zeitraumes
Hi, ich suche eine tool, welches mir eine Liste aller Prozesse/Programme ausgibt, die innerhalb einer bestimmten Zeitspanne gestartet wurden. Hat jemand eine Idee dazu? -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH: connection reset by peer (nach 10 min), wenn Fritz!Box
Hi, Daniel Musketa wrote: Hallo, ich verbinde mich mit dem OpenSSH-Client von Sarge zu einem Server selben Typs. Wenn ich die Verbindung von »hinter« einer Fritz!Box Phone (DSL-Modem-Router) aufbaue, wird eine Sitzung nach ca. 10 Minuten Inaktivität geschlossen; die Meldung lautet »connection reset by peer«. Dein Router trennt nach eben nach 10min inaktivität die Verbindung. Also musst Du künstlich eine Aktivität erzeugen. man 5 ssh_config ServerAliveInterval -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: PHP Editor
Hi, Stefan Stolz wrote: Hallo, ich bin gerade auf der Suche nach einem neuen PHP Editor. Bisher verwendete ich einfach Kate womit ich auch sehr zufrieden bin und was eigentlich auch ausreicht. Nun habe ich aber ein Projekt wo in einer Datei oft ewig viele Funktionen bin. Ich bräuchte daher einen PHP Editor der mir in einer Seitenleiste die Funktionen in der Datei auflisten kann. GPHPEdit macht das zB was ich gesehen habe. Er will aber bei mir nicht richtig funktionieren. Wenn ich auf eine Funktion in der Seitenleiste doppelklicke springt er nicht zur Funktion. Auch fehlt mir der Verzeichnisbaum in der Seitenleiste. Bei ewig vielen Dateien ist es hart jedesmal auf Datei öffnen zu klicken. Quanta, einfacher (aber leider nicht immer stabiler) Editor. PHPEclipse, geniales Tool (Eclipse ist echt Klasse), allerdings gewöhnungsbedürftig. zend-Studio ist für PHP genial, kostet aber rund 150EUR. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ipw3945 auf debian sid - Erfolg?
Hi, Lars Schimmer wrote: Hi! Ich habe heute versucht, auf einem neuen T60 Notebook den ipw3945 1.0.1 zu installieren. Das ist aber kein stabile Version, nimm lieber die ipw3945-1.0.0. Kernel 2.6.16 neugebaut, ieee80211 integriert, die ipw3945 Pakete vom server geholt und entpackt. gcc ist der 4.0 aus sid. Ein make des ipw3945 bricht mit einer Menge errors ab. Kann man den ipw3945 nur mit gcc 3.3 kompilieren oder ist debian schuld daran? Hat jmd. schon Erfolg damit gehabt? ja, bei mir werkelt: Kernel 2.6.15, ieee80211-1.1.12, ipw3945-1.0.0 Vorher hatte ich die Version ipw3945-0.0.69, die hatte allerdings immer Aussetzer. Post mal Deine Fehlermeldungen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sourceslist
Markus Braun wrote: ...wenn Du stable willst, dann soll da stable stehen; wenn Du sarge willst, schreib stattdessen sarge hin. Dein Wunsch sei Befehl... also wie jetzt? der vorherige meinte: stable ist auf den Servern ein symbolischer Link auf sarge. Ist also im Prinzip egal, was von beiden du benutzt. ist jetzt stable gleich sarge oder nicht? nein, sarge ist stable, aber nur bis etch stable ist und erst seit woody nicht mehr stable ist. Vor woody war sarge testing. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi Harals, Harald Tobias wrote: Joerg Zimmermann schrieb: [..]. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. Ja, bitte gib mir genauere Infos. Von BSD weiß ich das es das gibt und das es ein Unix-artiges Betriebssystem ist. Mehr nicht. :-[ Zunächst einmal, OpenBSD ist auch nur ein Unix. Also mit Linuxkenntnissen kommt man hier schon weiter. Das System ist klein (bei mir 80MB), verfügt über eine hervorragende und umfassende zusammenhängende Dokumentation und ist sehr gut durchdacht. Da es wohl für diese Liste OT ist, schlage ich vor, das wir das per PM weiterbehandeln. Viel aber nicht alles. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi, Harald Tobias wrote: Moin liebe Debianer, ich stehe vor folgender Aufgabe und traue mich nicht so richtig ran: In einem Netzwerk soll ein VPN eingerichtet werden. In diesem Netz steht ein Router mit Firewall (z.Z. unter BSD, kann aber durch Debian abgelöst werden). In diesem Router stecken 5 Netzwerkkarten. Die erste Karte hängt am DSL-Zugang, die vier anderen Karten sind jeweils für ein Subnetz. An jedem Subnetz hängt eine andere Firma. Alle vier Firmen sollen die Möglichkleit erhalten, externe Mitarbeiter via VPN ins lokale Subnetz unter IP 192.168.a., 192.168.b., 192.168.c. und 192.168.d. zu lassen. Das VPN soll mit IPSec realisiert werden, weil a) der Kunde will das so, weil würde ich als Kunde auch wollen. b) (lt. Kundenaussage) ein IPSec-Client auf einer MAC-Maschine sowieso vorhanden ist. OpenVPN wurde von mir vorgeschlagen, aber wg. b) verworfen. Hat jemand von euch so etwas mit mehreren Netzwerkkarten schon mal gemacht? Über jeden Tipp würde ich mich freuen. IPSec ist der Standard für sowas und in komplexeren Umgebungen allererste Wahl. OpenVPn ist wesentlich einfacher aufzusetzen und eignet sich gut für kleinere Umgebungen. Allerdings skaliert es nicht so gut wie IPSec und unterliegt gewissen Beschränkungen. Aber das ist ja auch nicht gewünscht. Da der Router ja schon ein BSD ist, wäre interessant welches. Bei Linux bekommst Du spätestens mit den Filterregeln Probleme. Es gibt zwar dafür mittlerweile Patches (für netfilter), ich fand es aber sehr hackelig. Meine letzte Erfahrung unter Linux mit IPSec war allerdings ein 2.6.(8?)'ter Kernel. Die sicherste und IMHO einfachste Lösung ist eine OpenBSD-Maschine. OpenBSD kann alles out of the Box was Du benötigst. Die Einrichtung von ISAKMPD ist sehr übersichtlich, erinnert an die alten ini-Dateien von Windows. Einzig der PF-Filter ist für Linuxer etwas gewöhnungsbedürftig. Glücklicherweise gibt es hierfür aber ein sehr gutes Linuxtool, FWBuilder. Ich würde Dir daher zu einer OpenBSD-Lösung raten. Der Kernel kann NAT-Traversal und Du brauchst nur den ISAKMPD und den Pf zu konfigurieren. Nicht zu erwähnen, wird sowas mit X509 Certificates aufgesetzt. Für genauere Infos melde Dich einfach nochmal. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheit vorm bösen Internet
Hi, Felix M. Palmen wrote: Hallo Joerg, * Joerg Zimmermann [EMAIL PROTECTED] [20060406 16:43]: Felix M. Palmen wrote: Du hast nichts verstanden. Die trügerische Sicherheit ist /ein/ Woher nimmst Du Dir das Recht, mit zur unterstellen das ich etwas nicht verstanden habe, zumal ich mich ja inhaltlich zur Sache noch nicht geäussert habe? Daher: ?? Das ist eine Textpassage aus meiner Mail nach Deiner Unterstellung. Wie kann das sein? Der erste Teil ist eine nicht haltbare Behauptung Deinerseits. Mag ja sein, dass Dir keine solche Funktionen bekannt sind, einer Softwaregattung jedoch grundsätzlich bestimmte Fähigkeiten abzusprechen, setzt die genaue Kenntniss jedes Programmes dieser Gattung voraus. Der Absatz zeigt sehr deutlich, dass du keine Ahnung vom Thema hast. Und Du wirst wieder nicht inhaltlich, sondern nur persönlich. Ob eine bestimmte Software sinnvoll ist oder nicht, ist eine Frage die im Einzelfall zu stellen ist. Nicht immer. Ob du das nun nicht verstehen WILLST weil du dich ja so gerne profilierst, oder ob du es WIRKLICH nicht verstehst, sei dahingestellt. Ist mir letztendlich auch egal. Aber unkommentiert darf solcher Blödsinn nicht stehenbleiben. Es nützt Dir gar nichts persönlich zu werden. Ich sehe auch nicht wo ich mich hier profilieren will. Belege das doch mal. Wenn man inhaltlich nicht weiterkommt, ist es eine schlechte Idee persönlich zu werden. Wie gesagt, unterste Schublade Felix M. Palmen. Aber das ist jetzt Dein Problem. Ich werde mich zu Dir nicht mehr äussern. *plonk -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: vi mit Verzögerung
Hi Klaus, Klaus Becker wrote: n'Abend, seit einiger Zeit startet vi regelmäßig mir ein paar Sekunden Verzögerung, aber nur wenn ich ihn in der Konsole als root starte. Wenn ich ihn als user starte, überlegt er nicht erst hin und her, ob er starten soll oder nicht. das wird wohl an der .viminfo liegen. Loesche die mal. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: vi mit Verzögerung
Hi Klaus, Klaus Becker wrote: Le Freitag 7 April 2006 20:25, Klaus Becker a écrit : seit einiger Zeit startet vi regelmäßig mir ein paar Sekunden Verzögerung, aber nur wenn ich ihn in der Konsole als root starte. Wenn ich ihn als user starte, überlegt er nicht erst hin und her, ob er starten soll oder nicht. Hab' gerade mal versuchsweise per KDE-Menü eine neue Konsole gestartet. Wenn ich mich per su als root anmelde, habe ich obiges Problem nicht, aber die Meldung Xlib: connection to :0.0 refused by server. Xlib: No protocol specified. Wenn ich aber auf Sitzung - neue Konsole für Benutzer root eingebe, habe ich keine Fehlermeldung, aber die Verzögerung. welche Dateien gehören dem vi im Verzeichniss /root ? Was läd Dein vi denn alles und welche Ausprägung des vi verwendest Du? Arbeitest Du mit dem vim? Du könntest den vi auch mal mit strace starten, also 'strace vi' und nach allem was mit open beginnt suchen. Dein zweites Problem verstehe ich nicht. Diese Fehlermeldung kommt immer dann, wenn Du versuchst als root (oder einem anderem Benutzer), ein grafisches Programm auf dem Screen von Deinem aktullen Benutzer zu starten. Nimmt statt 'su' den Befehl 'sux', ist eventuell nachzuinstallieren. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheit vorm bösen Internet
Hi, Felix M. Palmen wrote: Hallo Joerg, * Joerg Zimmermann [EMAIL PROTECTED] [20060405 21:56]: PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer einer PFW würden sich in einer trügerichen Sicherheit wiegen, sollten sich mal fragen in welcher Sicherheit Sie sich denn selber wiegen. Du hast nichts verstanden. Die trügerische Sicherheit ist /ein/ Woher nimmst Du Dir das Recht, mit zur unterstellen das ich etwas nicht verstanden habe, zumal ich mich ja inhaltlich zur Sache noch nicht geäussert habe? häufiges Problem. Der Kern der Sache ist aber, dass eine PFW nicht die geringsten sicherheitsrelevanten Funktionen bringt, die Windows nicht sowieso schon hat (mit anderen Worten: völlig überflüssig ist), und man dabei Der erste Teil ist eine nicht haltbare Behauptung Deinerseits. Mag ja sein, dass Dir keine solche Funktionen bekannt sind, einer Softwaregattung jedoch grundsätzlich bestimmte Fähigkeiten abzusprechen, setzt die genaue Kenntniss jedes Programmes dieser Gattung voraus. Ich glaube nicht das Du diese Kenntnisse besitzt. gleichzeitig riskiert, die Sicherheit seines Rechners aktiv zu gefährden. Ob eine bestimmte Software sinnvoll ist oder nicht, ist eine Frage die im Einzelfall zu stellen ist. Ich argumentiere hier nicht grundsätzlich _für_ PFWs, allerdings auch nicht dagegen. Ich finde lediglich, das man immer aller Optionen im Auge behalten sollte. Wenn du hier also für PFWs Stellung beziehst machst du dich indirekt mitschuldig an Malware- und Spam-Verbreitung. Unterste Schublade Felix M. Palmen. Aber auch Dein Rundumschlag nützt Dir nichts. Dogmatiker können nicht Recht haben, die Wahrheit ist niemals Schwarz oder Weiss sondern immer Grau, mal heller mal dunkler. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheit vorm bösen Internet
Hi Gebhard, Gebhard Dettmar wrote: On Tuesday 04 April 2006 23:40, niels jende wrote: Gebhard Dettmar schrieb: Siehst du? Felix hat obigen Link geposted. Dort findest du u.a. http://www.pcflank.com/art21.htm, Personal firewalls vs Leak Tests Das sind Hacker, die ihre Ergebnisse den betreffenden Firmen mitteilen und deren Reaktionen abdrucken. Die kommen nicht in die Tagesschau (obwohl das vielleicht besser wäre). Script Kiddies normalerweise auch nicht - es sei denn, sie räumen so ab wie bei Blaster Sasser. Ich sage nun, dass PFWs zwar grundsätzlich genauso problematisch sind, wie auf den betreffenden Seiten unter linkblock dargestellt, dass sie gegen Blaster und Co. - also Malware von Script-Kiddies, die nicht sehr sophisticated ist (der remote procedure call-Absturz von Blaster war garantiert nicht beabsichtigt, im Prinzip sogar ein Glück für die Anwender, da es sonst wer weiß wie lange gedauert hätte, bis sie die Infektion überhaupt bemerkt hätten), das bei derart vielen offenen Ports, wie sie zu Vor-SP2-Zeiten die Regel waren, aber auch garnicht sein muss - dass hier also PFWs selbstverständlich mehr nutzen als schaden, wie der Rückgang solcherart Würmer seit SP2 ja wohl auch hinreichend belegt, weswegen mir der oft polemische Ton gegen PFWs (insb. http://www.fefe.de/pffaq/) nicht gefällt, und ich deshalb immer sofort zu Flamewars dazu aufgelegt bin *JOKE* (Uff, meine Sätze ;-)) Diskussionen über PFW sind genauso müssig wie über das richtige OS, den richten MUA etc. Ich finde allerdings, dass Du Dich hier sehr gut gehalten hast, daher wollte ich Dir hier zumindest meine Zustimmung signalisieren. PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer einer PFW würden sich in einer trügerichen Sicherheit wiegen, sollten sich mal fragen in welcher Sicherheit Sie sich denn selber wiegen. Denn eins sollte ja mal klar sein, auch Linux ist mittlerweile nur noch eine Gebrauchssoftware, welche unter hohem Druck weiterentwickelt wird. Einhergehend damit, gibt es auch gerade hier teilweise haarsträubende Sicherheitsprobleme. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sicherheit vorm bösen Internet
Hi Niels, niels jende wrote: Joerg Zimmermann schrieb: Hi Joerg, Diskussionen über PFW sind genauso müssig wie über das richtige OS, den richten MUA etc. Ich finde allerdings, dass Du Dich hier sehr gut gehalten hast, daher wollte ich Dir hier zumindest meine Zustimmung signalisieren. PFW ist besser als nix und diejenigen, welche hier glauben, Benutzer einer PFW würden sich in einer trügerichen Sicherheit wiegen, sollten sich mal fragen in welcher Sicherheit Sie sich denn selber wiegen. Denn eins sollte ja mal klar sein, auch Linux ist mittlerweile nur noch eine Gebrauchssoftware, welche unter hohem Druck weiterentwickelt wird. Einhergehend damit, gibt es auch gerade hier teilweise haarsträubende Sicherheitsprobleme. welche denn so ??? sorry, ich wollte hier kein neues Fass aufmachen. Aber da Du fragst; Was darfs denn sein, root-exploit, kernel, kde, Web ... Einstieg hier: http://packetstormsecurity.nl/ oder in den einschlägigen Mailinglisten, Einstieg hier: [EMAIL PROTECTED] die Liste ist lang, ..sehr lang. Aber wie gesagt, ich fände es nur schade, wenn sich jemand in 'falscher Sicherheit wiegt'. Mehr wollte ich damit nicht sagen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: linklänge - 254 zeichen Limit
Hi, Richard Mittendorfer wrote: Also sprach Mike Przygoda [EMAIL PROTECTED] (Wed, 05 Apr 2006 20:22:38 +0200): Thorsten Haude schrieb: Moin, * Mike Przygoda wrote (2006-04-05 17:50): ich habe viele Post??s im Link ...gibt es eine möglichkeit die 254 Zeichen-Grenze zu umgehen ? Wovon sprichst Du? Welche Posts, welcher Link, welche Grenze? Hallo Thorsten ... ich meine eine zeile mit 'http://www.bla.de?parameter=blablau.s.w' ... soetwas darf nicht länger als 254 zeichen sein ... zumindest bei mir ... alles was darüber ist ignoriert der browser (iexplorer).. ..wo ^ wurde diese grenze gesetzt? Tut mir leid, aber ich kann dieses Programm nicht in Debian finden. ;-) Aus welcher Quelle stammt es? ;-)) $ apt-cache search iexplorer gpsbabel - GPS file conversion plus transfer to/from GPS units Koennte es sein, dass du nicht _hier_ (Eine Maillingliste fuer Debian GNU/Linux) posten wolltest? sein Problem duerfte wohl eher ein etwas angestaubter Webserver sein. Ohne weitere Info's wird er aber wohl keine Hilfe bekommen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: route unter debain sarge zeigt leere Tabelle an
Hi, Markus Schulz wrote: Am Mittwoch, 5. April 2006 14:33 schrieb Klaus Gerhardt: [..]. Das sieht so aus: debian01:~# ip route ls 192.168.102.0/24 dev eth0 proto kernel scope link src 192.168.102.2 192.168.103.0/24 dev eth1 proto kernel scope link src 192.168.103.1 die sehen ok aus. Zwei Routen für die direkt angeschlossenen Netze von eth0 und eth1. 192.168.101.0/24 via 192.168.102.1 dev eth0 192.168.104.0/24 via 192.168.103.2 dev eth1 Die beiden verstehe ich garnicht, du routest in zwei andere (nicht direkt erreichbare) Netze, gibst als Gateway aber deine eigenen IPs mit dem jeweils anderen zugehörigem Device an? Wo siehst Du das? Ich sehe da nur zwei Host Routen. Er gibt ja nicht seine eigenen IPs an, sondern IPs von Gateways. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Virtuelle IP-Adressen
Hi,
Klaus Zerwes wrote:
Nina Eichler wrote:
Hallo zusammen,
ich habe einen Server mit 3 Netzwerkkarten (interne-, externe- und
admin-Netz). Auf dem externen Interface habe ich jedoch zusätzlich
mehrere virtuelle
IP-Adressen eingerichtet. Jetzt meine Frage: Gibt es einen Befehl, mit
dem ich auf einmal alle virtuellen IP-Adressen runter fahren kann?
Mit ifconfig down Interfacename kann ich einzeln jede Adresse
runter fahren, aber bei mehreren Ip-Adressen ist das schon lästig ;-)
Wenn ich das Netzwerk neu starte sind die virtuellen Ip-Adressen noch
da, anscheinend merkt er sich die Einstellungen unter dem
proc-Verzeichnis?
Vielen Dank für Eure Hilfe!
Nina
in etwa so ...
for i in `ifconfig | grep eth0 | awk '{print $1}' | sort -r`; do
ifdown $i;
done
Nina fragte nach allen virtuellen IPs. Also dann eher mit 'grep
eth0:'. Ausserdem benoetigst Du den grep nicht, das kann awk
genausogut und sort verstehe ich hier auch nicht.
Ich wuerde es eher so schreiben:
for i in `ifconfig | awk '/eth2:/ {print $1}'`;do ifconfig $i down; done
Ok, ein direkter Befehl ist das aber natuerlich auch nicht.
Also, Nina, die Antwort lautet nein.
Es geht nur mit ein wenig scripten.
-Jörg
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: route unter debain sarge zeigt leere Tabelle an
Hi, Markus Schulz wrote: Am Mittwoch, 5. April 2006 22:55 schrieb Joerg Zimmermann: Hi, Markus Schulz wrote: Am Mittwoch, 5. April 2006 14:33 schrieb Klaus Gerhardt: [..]. Das sieht so aus: debian01:~# ip route ls 192.168.102.0/24 dev eth0 proto kernel scope link src 192.168.102.2 192.168.103.0/24 dev eth1 proto kernel scope link src 192.168.103.1 die sehen ok aus. Zwei Routen für die direkt angeschlossenen Netze von eth0 und eth1. 192.168.101.0/24 via 192.168.102.1 dev eth0 192.168.104.0/24 via 192.168.103.2 dev eth1 Die beiden verstehe ich garnicht, du routest in zwei andere (nicht direkt erreichbare) Netze, gibst als Gateway aber deine eigenen IPs mit dem jeweils anderen zugehörigem Device an? Wo siehst Du das? Ich sehe da nur zwei Host Routen. Er gibt ja nicht seine eigenen IPs an, sondern IPs von Gateways. 192.168.101.0/24 via 192.168.102.1 dev eth0 Ist ja wohl eine Netzroute in das 192.168.101.0/24er Netz mit dem Gateway 192.168.102.1 welches über Device eth0 erreichbar ist. Ich hab mich aber in der Aussage getäuscht, die Gateway IPs wären seine eigenen. Sind es doch nicht, hab die IPs verwechselt. Er vermittelt quasi zwischen von 101.0 und 104.0. Das meinte ich, wobei ich auch keine Host Routen sehen kann, so ein Quatsch. Sieht also alles recht gut aus, bleibt die Frage warum route die nicht anzeigt. Allerdings halte ich von route eh nicht viel, da es nur Regeln Kein Ahnung, ich erinnere mich jedoch daran, genau dieses Problem auch mal gehabt zu haben. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Lohnsteuererklärung und Elster.. .
dirk.finkeldey schrieb: [..] Es ist doch ein skandal , das es kein Debian Paket gibt das es ermöglicht für Kommerziales Linuz endwickelte Software auch unter Debian ein zu setzen . Skandalös ist Deine Rechtschreibung _und_ Deine Anspruchshaltung. Das eine Übersetzung für Debian notwendig ist , ist doch ein Kind der Unmöglichkeit . Ich habe mir das (spezifisch wegen der Linux-Unterstützung 2004 gekauft, nur um dann festzustellen, dass nicht mal alle Eintragungsmöglichkeiten, die es auf der Anlage B gibt (oder wie immer das Formblatt für Einkünfte aus nichtselbstständiger Arbeit heißt), vorhanden sind. Es fehlt die Möglichkeit, Angaben über Einkünfte aus nichtselbstständiger Arbeit zu machen, die in Ländern erzielt wurden, mit denen ein Doppelbesteuerungsabkommen besteht (sprich: Schweiz und wohl auch alle EU-Länder). Das war dann das Ende, und es lief auf Elster unter VMware (oder Papierversion) hinaus. Gruß, Frank Es sollte auch die möglichkeit einer Universal Umgebung für Windoofs anwendungen geben - ohne das vorher ein leistungsverbratener Emulator notwendin ist . Dann mach doch mal eben Eine. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Eigene CA
Hi Michelle, Michelle Konzack wrote: [..] ISBN: 3-8266-0781-3, PKI e-security implementieren, RSA PRESS Gibt es auch in englisch. Werde wie alle meine Bücher die englische version nehmen. Hmmm, das gibt es nicht bei Amazon :-) also muß ich zu meinem bevorzugen Büchermladne nach Kehl gehen. ich habe es mir bei terrashop.de fuer unter 10 EUR gekauft. OpenLDAP, openssl, Perl, Apache ..., kommt drauf an. Der wohl weniger Kommt eben drauf an wie Du Zertifikate verteilen und zurückziehen musst/willst (CRL). LDAP ist da durchaus eine gängige Methode. Zur Uebersicht, Du erzeugst ein selbstsignierte CA, welche fuer alle Zertifikate als oberste Vertrauensintanz anerkannt ist. Ist mir schon klar. Der Server wird im 15ten Arondisment in Paris stehen (bei mein lezter Arbeitgeber) und dieht nur der Absicherung EIGENER Server. Diese CA liegt natuerlich nicht auf irgendeinem Server, sondern auf ^^^ einem Rechner, USB-Stick, whatever und ist sicher verschlossen ^ ??? Seit wann ist ein Server kein Rechner mehr ??? Ok, ich war unpräzise. Ich meinte einen dedizierten Rechner der sich ausschliesslich unter Deiner Kontrolle befindet. (Schliessfach bei der Bank). Alle unteren Instanzen vertrauen dieser CA und gut ist. Genau. Das ist der Grund, warum alle anderen CA's zwangsläufig abgesägt werden müssen. Man kann nicht mal dein Landeseigenen CA's mehr trauen. Die Amis haben mittlerweile überall ihre Flossen drin. Keine Ahnung was die 'Amis' machen, im Zweifelsfall gilt jedoch immer, vertraue nur Dir selber. Na Du wirst das schon richtig machen;) -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: AW: Eigene CA
hi Miro, Miro Dietiker, MD Systems wrote: Hi Jörg! Anm.: Selbstsignierte Certs gehen nicht, da diese auf einem geonwnten Server ja gefälscht werden können. Dies versteh ich in diesem Zusammenhang allerdings nicht. Selbstsignierte Certifikate können nicht überprüft werden... Bei einem von einer CA signiertem Cert reicht ein klick zum testen. Und wer signiert CA cert's? ... Es gibt keinen technischen Unterschied zwischen einer Root CA und einer eigenen CA (die in dem jeweiligen Kontext ebenso eine Root CA darstellt). Auch Root CA's sind selbstsigniert, bestenfalls signieren sich die Root CA's gegenseitig. Das ist das Wesen einer Root CA, sie steht halt an der Wurzel. Für Deinen Fall würde ich einfach allen Roots nicht trauen, eine eigene Root-CA (ja, mit self-signed-CA) aufsetzen, alle clients trauen dann explizit nur dieser Root-CA, und sämtliche Zertifikate für Rechner werden durch diese Root-CA signiert. Alle clients kennen also nur deine Root und die Server sind absolut trusted... (sofern du den Private-Key deiner Root-CA usw gut aufbewahrst, wie bereits früher vorgeschlagen ;;-) ) So ist doch kein Zertifikat fälschbar, oder was stellst du dir da noch für Hacks vor? Ich glaube Du verwechselst mich. Ich habe keinen Zweifel an der Sicherheit einer eigenen CA. Eher im Gegenteil ;) Und ähm ... schöne Festtage! Ja Danke, und ruhige bitte. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Eigene CA
Michelle Konzack wrote: Hi Chris, Am 2005-12-20 17:57:32, schrieb Christian Lox: Ich empfehle OpenCA, bzw. den in den Startschüssen stehenden Nachfolger. Das guck ich mir mal an. Anm.: Selbstsignierte Certs gehen nicht, da diese auf einem geonwnten Server ja gefälscht werden können. Dies versteh ich in diesem Zusammenhang allerdings nicht. Selbstsignierte Certifikate können nicht überprüft werden... Bei einem von einer CA signiertem Cert reicht ein klick zum testen. Und wer signiert CA cert's? ... Es gibt keinen technischen Unterschied zwischen einer Root CA und einer eigenen CA (die in dem jeweiligen Kontext ebenso eine Root CA darstellt). Auch Root CA's sind selbstsigniert, bestenfalls signieren sich die Root CA's gegenseitig. Das ist das Wesen einer Root CA, sie steht halt an der Wurzel. Vor allem, wenn der Server in einem frz. mil. Netzwerk steht. Manchmal habe ich das Gefuehl, dass Du ganz schoen aufschneidest. Du willst uns doch wohl nicht erzaehlen, das Du Rechner betreuest die sich in einem Netzwerk des franzoesichen Militaers befinden und dort auch noch zu allem Ueberfluss fuer ein hochsensibles Sicherthema wie eine CA zustaendig bist, von dem Du genau genommen, aber auch nicht den Hauch einer Ahnung hast. Lass das doch einfach mal, das wuerde deine Mails viel sympatischer machen. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN
Hi, Ingo Juergensmann schrieb: On Sat, Oct 22, 2005 at 06:26:36PM +0200, Friedemann Schorer wrote: Nur: Wie verbinde ich mich jetzt dahin? Ich habe bei Debian lediglich racoon und ipsec-tools als geeignete Software gefunden. racoon weigert sich aber zu starten: Mach es dir einfach und nimm einfach OpenVPN... IPsec ist *b* (und hat diverse Nachteile) ;) Welche Nachteile sollte IPsec denn gegenueber OpenVPN haben? Was die Sicherheit angeht, hat IPsec jedenfall im Gegensatz zu OpneVPN keine Probleme. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linux Bridging
Hi, Til Obes wrote: Hallo, bevor ich mich jetzt in etwas einarbeite bzw etwas teste, wollte ich hier nochmal nachfragen, ob das auch das Richtige für mich ist. Es geht um folgendes: Ich habe ein Subnetz z.B. 10.0.0.0/24 mit dem Router 10.0.0.1 und den Clients 10.0.0.2 bis 10.0.0.5. Nun will ich den Verkehr zwischen dem Router und den Clients filtern, z.B. es darf nur Port 80 angesprochen werden. Nach einigem Suchem bin ich auf ebtables gestoßen. Falls ich das beim Überfliegen richtig verstanden habe, müsste das genau das sein, was ich suche. Hat jemand sowas schon mal gemacht? yep. Zum Lesen als Einstieg: http://www.linux-magazin.de/Artikel/ausgabe/2004/12/bridgewall/bridgewall.html -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: OT: Swen ist wieder da?!
Tim Boneko wrote: Sven Hoexter schrieb: Mit einer gute Kugel kann man vielleicht noch rein interpretieren das der OP nach amavis und clamav sucht. Offensichtlich ist das aber keineswegs. Wie man sieht, sind deine Postings im Gegensatz zu meinen erst nach stundenlangen Konsultationen des Stil- und Contentberaters auf den erlauchten Weg gebracht worden! Thematischer Bezug zu meiner eindeutigen Frage = 0 Hier läuft amavis mit allem Schnickschnack. Weil der seine Arbeit ernst nimmt, meldet er mir eingehende Viren. Ich staune über die eintrudelnden Swens, weil ich glaubte, dass inzwischen jeder Carrier zumindest minimalen Virenschutz hat, allein schon wegen der Netzlast, die solche Riesenbrocken verursachen. Server4you (wo meine Domain liegt) hat das wohl nicht, und mich interessiert, ob das auch andere Hoster betrifft. Dann stelle Deine Frage gefälligst vernünftig und hör auf hier rumzupöbeln. Die 'hirntoten Provider' beachten lediglich geltendes Recht. Damit dürfte Deine Frage beantwortet sein. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Linux Bridging
Hi, Til Obes wrote: Andreas Pakulat schrieb: Du meinst wohl _ip_tables oder? nein ebtables. Im uebrigen: Was hat das eigentlich mit dem Subject zu tun? Das Projekt benutzt ein Bridgeinterface, um den Traffic durch den Kernelnetfilter jagen zu können. (afaik) Und ich dachte zuerst daran das mit 2 verschiedenen Subnetzen zu machen und diese per bridging zu verbinden. ?? Wolltest Du die Bridge nicht gerade deswegen haben um eben keine zwei Subnetze bilden zu müssen? Du willst eine Bridge haben wenn Du eine der folgenden Anforderungen stellst: - Der Paketfilter soll 'unsichtbar' sein (Ist eine Bridge, weil sie keine IP's besitzen muss) - Du möchtest in eine bestehende Infrastruktur einen Paketfilter stellen und zwar ohne etwas an der Konfiguration der anderen Systeme ändern zu müssen (Kann eine Bridge, weil sie keine IP's besitzen muss) - Du möchtest den Traffic in einem Subnetz filtern, ohne Geräte aus diesem Netz in ein anderes stellen zu müssen (Kann eine Bridge, weil sie keine IP's besitzen muss) Ich denke Punkt zwei und drei treffen bei Dir zu. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Solaris-UFS Partition mounten?
Hi, Michael Renner wrote: Moin, auf einem Rechner befindet sich u.a. Solaris 10. Nun soll die UFS-Partition gemountet werden. Also ein 'modprobe ufs' und dann fdisk aufgerufen. Doch leider sind die Slices nicht sichtbar: [..] Command (m for help): b There is no *BSD partition on /dev/hda. warum machst Du das? Und wenn ja, es hat nicht funktioniert. [..] Device Boot Start End Blocks Id System /dev/hda1 1191215358108+ 7 HPFS/NTFS /dev/hda2 *1913350012755610 bf Solaris /dev/hda345014864 2923830c W95 FAT32 (LBA) /dev/hda435014500 8032500 83 Linux Partition table entries are not in disk order Das Modul für ufs wurde richtig geladen: dab:/usr/src/linux# lsmod Module Size Used byNot tainted ufs45312 0 (unused) Die Solaris-Partitionen weissen keine Besonderheiten auf: Part TagFlag Cylinders SizeBlocks 0 rootwm4007 - 126528.31GB(8646/0/0) 17430336 1 swapwu 3 - 522 511.88MB(520/0/0)1048320 2 backupwm 0 - 12652 12.16GB(12653/0/0) 25508448 3 unassignedwm 00 (0/0/0)0 4 unassignedwm 00 (0/0/0)0 5 unassignedwm 00 (0/0/0)0 6 unassignedwm 00 (0/0/0)0 7 homewm 523 - 40063.35GB(3484/0/0) 7023744 8 bootwu 0 - 00.98MB(1/0/0) 2016 9 alternateswu 1 - 21.97MB(2/0/0) 4032 wie mountest Du? Ich habe grad kein Solaris zur Hand, muesste aber ungefaehr so aussehen: $ mount /dev/hda2 /mnt/ -t ufs -o ro,ufstype=44bsd -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] Proportionale Schrift bei Mailanzeiger?
Hi Joerg, Joerg Rossdeutscher wrote: [..] Ich bin mir selbst nicht schlüssig und stelle dauernd hin und her. Zum einen sind monospaced Fonts einfach abartig hässlich. Zum anderen funktioniert aber, wie von dir beschrieben, ASCII-Grafik mit Proportinalfonts nicht mehr. Ich weiss auch nicht... Aber auf Listen wie dieser wird man wohl monospaced fonts als üblich akzeptieren müssen, so schade das ästhetisch ist. Und wie machst Du das dann mit Deiner Signatur? -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Symlink von /lib/modules/2.4.27-ct-1/build umsetzen
Alexander Petri wrote: ls -l /lib/modules/2.4.27-ct-1/build gibt: lrwxrwxrwx 1 root root 29 2005-08-13 19:23 /lib/modules/2.4.27-ct-1/build - /usr/src/kernel-source-2.4.27 dann habe ich folgendes gemacht: ln -s/lib/modules/2.4.27-ct-1/build /usr/src/kernel-source-2.4.27-ct-1 danach wieder ls -l /lib/modules/2.4.27-ct-1/build lrwxrwxrwx 1 root root 29 2005-08-13 19:23 /lib/modules/2.4.27-ct-1/build - /usr/src/kernel-source-2.4.27 ist das gleiche wie am anfang... weiss jemand wies geht? wie was geht? -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fehler in einer bash-Befehlszeile
Erich Ludwig wrote:
Hallo Debianer!
Ich beschäftige mich momentan mit dem Aufbau eine TV-Video-Discrecorders
und habe für einen Test, der Daten ins BIOS schreiben soll,
nachfolgenden Befehl als Befehlszeile einzugeben:
./nvram-wakeup -C /etc/nvram-wakeup.conf --directisa -s $(('date +%s'\
+10 * 60 )) --nowrite
./nvram-wakeup -C /etc/nvram-wakeup.conf --directisa -s $((`date
+%s` +10 * 60 )) --nowrite
keine Ahnung was das macht, aber so funktioniert's ohne Fehlermeldung.
-Joerg
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzer darf in Verzeichnis schr eiben aber dies nicht löschen - geht das?
Hi, Michael Bramer wrote: On Fri, Aug 12, 2005 at 07:39:44PM +0200, Wilhelm Kutting wrote: ich moechte einem Benutzer erlauben in ein Verzeichnis zu schreiben aber dieses nicht zu löschen. Geht das irgendwie? Klar, der Benutzer erhält z.B. über seine Gruppe das Schreibrecht auf ~/test. Damit darf er in ~/test Dateien ablegen. Der Benutzer erhält aber nicht das Recht in das Verzeichniss ~ zu schreiben. Damit kann er auch das Verzeichniss ~/test nicht löschen. Quasi darf er in ~/test/ Dateien kopieren loschen usw. er darf aber das Verzeichnis ~/test selbst nicht löschen Dann darf er kein Schreibrecht auf ~ haben. Warum denn nicht? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: iptables Script jedesmal beim Start neu initialisieren
Hi, Wilhelm Kutting wrote: Hallo, ich experiementiere gerade mit Kernel 2.4.27 und iptables rum. Was mit noch nicht klar ist, wo wird die aktuelle Konfiguration gespeichert? Oder muss ich iptables jedes Mal beim Systemstart neu initialisieren? yep. musst Du. Mit $ iptables-save myIptables# sichern der aktuellen Regeln $ iptables-restore myIptables # wiederherstellen der vorher gespeicherten Regen. Der Vorteil obiger Befehle ist, das sie die Packetzaehler wiederherstellen. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: UML-Howto für Sarge?
Hi, Joern Bredereck wrote: kennt jemand von euch eine UML-Howto, speziell für Debian Sarge? Die offizielle UML-Doku (die auch bei Debian dabei ist), ist ja schon ein bißchen altbacken; so wird dort z.B. immer von einer 2.4er-Kernel ausgegangen. Außerdem könnte ich mir vorstellen, dass noch einige Debian-Eigenarten zu berücksichtigen sind. http://uml.openconsultancy.com/ http://deb.riseup.net/miscellaneous/uml/ http://user-mode-linux.sourceforge.net/ In Kuerze: rootfs besorgen (Image) oder selber bauen. Es gibt aber gut kleine Vorlagen im Netz. $ apt-get install user-mode-linux -t unstable $ apt-get install umlrun-uml uml-utilities auskommentieren in /etc/defaults/uml-utilities der Zeilen ---snip--- UML_SWITCH_OPTIONS=-tap tap0 $ User as which to run uml_switch UML_SWITCH_USER=uml-net ---snap--- - setzen der Rechte fuer das tuntap device auf: crw-rw 1 root uml-net 10, 200 May 24 22:15 /dev/net/tun - Packe den UML-User in die Gruppe uml-net. - $ tunctl -u dein_Benutzer Für das Interface: $ cat /usr/share/doc/uml-utilities/examples/interfaces.example $ /etc/init.d/networking restart $ /etc/init.d/uml-utilities restart $ linux udb0=dein_root_fs_image con=xterm mem=32M eth0=tuntap,,,192.168.100.1 -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Seltsame Root-Partition!
Hi, Hamburger-Riese wrote: Hallo Gruppe, ich habe hier ein ziemlich übles Problem! Meine Root-Partition von 2,8 GB ist fast voll und ich weiss nicht warum! Ursprünglich war die mal mit 700-800 MB belegt. Debian 3.1 ohne X, ohne KDE, Gome etc. reine Web-Server/Samba-Server ohne Schnickschnack! Hier die Fakten: samba:/# df -h Dateisystem Gr??e Benut Verf Ben% Eingeh?ngt auf /dev/sda3 2,8G 2,6G 84M 97% / tmpfs 443M 0 443M 0% /dev/shm /dev/sda1 897M 15M 835M 2% /boot /dev/sda4 225G 139G 75G 66% /data installier mal durep. Das erzeugt Die in einer schönen HTML-Struktur eine Übersicht über alle Verzeichnisse. prüfen der Verzeichnisse: /var/cache/apt/archieves /var/log ... Wie machst Du Deine Datensicherung? Wie rotierst Du Deine Logfiles? Ist irgendwas übermounted in dem viele Daten liegen? -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kaputte Threads hier auf der Liste (u.a. von Saskia) - wer ist schuld?
Dirk Salva wrote: On Wed, Jul 20, 2005 at 04:02:26PM +0200, Gerhard Wolfstieg wrote: [..]. P.S.: einfach nur thunderdingens wollte (und will) ich auch nicht, bin froh, daß ich mail und news über jede beliebige ssh-Verbindung lesen kann. Und wenn du noch einen pppd auf dem Server startest, klappt es auch mit Thunderbird und Co. in etwa sowas: /usr/bin/X11/xterm -e pppd noauth nodetach pty ssh [EMAIL PROTECTED] -i /root/.ssh/[EMAIL PROTECTED] sudo pppd nodetach notty noauth 192.168.1.3:192.168.1.2 -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: vmware, xp und Viren
Hi, Klaus Becker wrote: wenn ich mit WinXP unter VMware auf grosse Reise auf Internet gehen will, muss ich da ein Antivirenprogramm (unter XP) installieren oder ist das nicht nötig, da das Ganze unter Sarge läuft? Auch unter VMware kann sich Windows Viren etc einfangen. Es gibt nahezu keinen Unterschied zu einer Hardware Installation. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Kaputte Threads
Hi, Jochen Schulz wrote: Andreas Pakulat: On 20.Jul 2005 - 16:18:13, Reiner Buehl wrote: Leider können es sich viele nicht aussuchen, welchen Mailer sie verwenden... ich persönlich muss von der Firma aus Outlook/Exchange verwenden Du hast mein Beileid. Naja... Es mag ein Policy-Verstoß sein, aber ich habe noch nie davon gehört, daß jemand Ärger kriegt, weil er nebenher ein ausgepacktes Zipfile benutzt. (Es gibt immerhin noch Zips für die Nightly Builds). Das *kann* sogar ein Kündigungsgrund sein. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH
Hi, Saskia Whigham wrote: na toll jetzt bin ich auch nicht schlauer weiss nur das ich kein openssl für ssh installieren brauche damit besteht mein Fehler aber mimmer noch. Es muss doch eine geben der ein SSH Server auf Debian Sarge laufen hat. Gibt es keinen der vielleicht auch den Fehler hate? Ich glaube Du suchst auf der falschen Seite. SSH funktioniert bei Dir bei 'Schlüsseln ohne Passphrase'. Dann liegt es nicht an Deinem SSH-Server sondern am Client. 'ssh [EMAIL PROTECTED] -i .ssh/id_rsa' wird funktionieren wenn: Der Benutzer 'user' auf dem Server mein.ssh-server.tld existiert, besitzt eine .ssh/authorized_keys welche einen public key zu dem privaten Schlüssel id_rsa enthält. Für den Server ist es völlig egal, ob der private key via Passphrase geschützt ist oder nicht. Den bekommt der Server eh nie zu sehen. Falls das nicht fruchtet, sende Deine aktuelle /etc/ssh/sshd_config in diese Liste. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fehler SSH
Hi, Saskia Whigham wrote: Hallo Leute, habe ich gestern ziemlich Probleme mit dem erstellen der Schlüssel für SSH gehabt. Jetzt habe ich es hin bekommen. Eigentlich habe ich keinen richtigen Fehler gemacht habe bloß bei der Erstellung der Server Keys (private u. public) un der Client Keys (private u. public) jedesmal ein Passwort vergeben. Als ich das Passwort bei beiden Schlüsselpaaren mal weg gelassen habe funzte das ganze auch mit putty (auf Win 2000). Bei der erstellung des Server Keys habe ich auch ein Passwort vergeben aber dann startet ja noch nicht mal der Server richitg. Er sagt dann er kann den Schlüssel im [..]. die host keys sollten ohne Passphrase erstellt werden. Die werden zur Authentifizierung der beteiligten Rechner verwendet und sind daher unabhängig von den Benutzern. Server können im Allgemeinen keine Passphrase eingeben. Die Schlüsselpaare für die Benutzer sollten jedoch mit einer Passphrase geschützt werden. Der Benutzer Schlüssel (public key) auf dem Server ist nicht mit der Passphrase 'verschlüsselt', sondern nur der private Schlüssel des Benutzers. Für den Server ist es daher egal ob der private Benutzer Schlüssel mit einer Passphrase geschützt ist oder nicht. Die Passphrase schützt also lediglich den privaten Schlüssel des Benutzers. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: SSH �
Hi, Philipp Kern wrote: On Thu, 2005-07-14 at 16:44 +0200, Christoph Haas wrote: DSA ist m.E. sicherer. Das stimmt nicht. Auf RSA lag nur lange Zeit eine Lizenz. Deswegen wurde lange Zeit nur DSA verwendet. Inwiefern ist DSA eigentlich sicherer als RSA? Beide benutzen doch asymmetrische Verschlüsselung, die eigentlich mit heutigen Mitteln nicht knackbar ist? Beide Verfahren sind asymetrisch, verwenden jedoch unterschiedliche Algorithmen. -Joerg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hallo Jens, Jens Ruehmkorf wrote: Hallo Joerg, bitte schalt mal einen Gang runter. Ok? Liegt's an Wuppertal vs. Koeln? (Und ich dachte, das sei nur bei Duesseldorf und Koeln so.) Aber da kann ich Dich beruhigen, ich bin eh' Immi (soll heissen zugezogen, aber schon freiwillig). Ich kann also auch mit Duesseldorfern, oder Wuppertalern oder woher auch immer die Leute kommen. schluck, ich wollte zu keiner Zeit unfreundlich sein und ich mag Koeln;) [..] Der Aufruf compat_datafellows() setzt die Flags fuer die Bugs die der betreffende SSH-Client hat (nach Meinung des SSH-Servers). Siehe auch compat.c Danke für Deine ausführliche Erläuterung. Mir war nicht klar das im SSH-Server um BUGs fuer Clients herum programmiert wird. [..] Es ist meine Meinung, dass man staerkere Aenderungen im Versionsstring dokumentieren sollte. Auch oder vor allem, damit Bug-Reports Upstream besser verstanden werden (Client X und Server Y klappen nicht). Das kann ich ja auch nachvollziehen nur warum steht da Debian-8.sarge.4 und nicht 'Patch-x.y.z' Deswegen muss doch nicht jeder Client/Server eine riesen-Matrix mit sich rumfuehren, wo alle moeglichen Kombinationen beruecksichtigt sind. Wäre ja dann konsequent. Aber wenn eine Distribution durch Patchen des sshd einen Bock schiesst, kann man darauf reagieren, dann wird die fehlerhafte Kombination in zukuenftigen Implementierungen beruecksichtigt. Denn das Problem ist klar und gut dokumentiert anhand der Log-Mitschnitte in den Bug-Tracking-Systeme. Und _das_ finde ich wichtig. ok, kann ich nachvollziehen. Das ändert aber nichts an meiner Meinung. nächtliche Grüsse -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Florian Heinle wrote: Ahoi, Am Mittwoch 06 Juli 2005 22:31 schrieb Joerg Zimmermann: 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. klingt trotzdem negativ. Ich finde es ist schon von Vorteil,wenn mein SSH Port so obscure ist, dass er nicht beim massenhaften Scan von IP-Blöcken auf Port 22 gefunden wird. ein guter Scan erkennt SSH auch auf einem anderen Port. Ausserdem erschwerst Du damit berechtigte Verbindungswünsche. Ich wollte das aber nicht verteufeln, es mag immer Situationen geben, in denen das durchaus sinnvoll ist. In der Regel wird durch diese Art von Maßnahmen allerdings nur der Administrationsaufwand erhöht. Ich habe mehrfach an Rechnern gesessen, an denen der Admin mit seltsamen Maßnahmen die host-Sicherheit erhöhen wollte und im Endefekt nur einen erhöhten Administrationsaufwand erreicht hat. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Dateien nach bestimmtem Alter löschen
Christoph Grzeschik wrote: Okay das mit dem Skript und dem cron job klappt jetzt. Dummerweise habe ich jetzt bemerkt, dass meine mails ja garnicht als einzelne Dateien in den jeweiligen Ordnern gespeichert sind, sondern dass jeder Ordner eine große Datei ist in der die Mails gespeichert sind. Kann man das umstellen? yep, das kann man. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Daniel Leidert wrote: Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann: [Versions-Anzeige und security by obscurity] Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. Du irrst :) Obscurity heißt nicht nur obskur/Obskurität, so wie wir es im Deutschen verwenden. Es heißt auch Unklarheit. Genau das Unklar bedeutet, das etwas klar sein muss. Um ein ssh zu machen muss ich nicht Klarheit über das eingesetzte Betriebssystem auf der Gegenseite haben. erreichst du, indem du die Information über die Version verbirgst - also den potentiellen Angreifer über die Version im Unklaren lässt. Das ist zweifelsfrei: security by obscurity. Mit security by obscurity ist im allgemeinen gemeint durch unübliche Konfiguration eines Hosts oder IT-Systems einen potenziellen Angreifer zu verwirren. Genau genommen, ist genau das einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Warum erzeugt security by obscurity nur immer diesen negativen Anklang? Weil mit security by obscurity meistens nicht der Angreifer verwirrt wird, sondern die mit der Administration betrauten Personen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Dein Zeichensatz ist immer noch kaputt. mit verbunden meinst Du, der Benutzer ist authentifiziert? Grundsaetzlich werden Fehler am ehesten beim Auf- oder Abbau einer Verbindung entstehen. Und ja: ein Grossteil der notwendigen Informationen laesst sich nach erfolgtem Verbindungsaufbau generieren. Aber es ist muessig, darueber zu diskutieren, wie man's anders/besser machen koennte, da der OpenSSH dies nun mal zu Anfang der Verbindung abfragt. Aus einem rfc-draft von T. Ylonen zu SSH: -- http://www.free.lp.se/fish/rfc.txt -- When the client connects the server, the server accepts the connection and responds by sending back its version identification string. The client parses the server's identification, and sends its own identification. The purpose of the identification strings is to validate that the connection was to the correct port, declare the protocol version number used, and to declare the software version used on each side (for debugging purposes). The identification strings are human-readable. If either side fails to understand or support the other side's version, it closes the connection. Mit der ersten Implementierung von Ylonen hat sich diese Vorgehensweise eben als common practice durchgesetzt. Wenn Du schon so anfängst, dann lies Dir das auch richtig durch. Da steht nix davon das der SSH Server sein Betriebssystem als String inclusive Version des Betriebssystems mit sendet. 2. Habe ich dich richtig verstanden, dass ein Client wie Putty (oder wer auch immer) eine Unterscheidung bzgl. der Verbindungsart trifft, wenn er 'Debian-8.sarge.4' liest? Im Prinzip: ja. In der Praxis in der Konstellation mit putty als Client wohl eher: nein. Ein Java-Client wie MindTerm wird aber immerhin in compat.c abgefragt, auch wenn er z.Zt. keine relevanten Bugs zu haben scheint. Zeig mir die Stelle wo im SSH Server eine Clientversion abgefragt wird. Was den 'Debian-8.sarge.4'-String angeht: bei einem Release-Zyklus von 3 Jahren (oder auch 18 Monaten) kann es sehr wohl sein, dass sich der mit einigen Patches modifizierte Debian-OpenSSH anders benimmt, als der OpenSSH-Upstream der gleichen Version. Da ist es geboten, dies auch beim Verbindungsaufbau kundzutun. Sofern Du die gleiche Protokollversion verwendest, wird sich ein SSH Server beim Verbindungsaufbau nicht anders verhalten nur weil er gepatcht ist. Und wenn Du mir jetzt noch einmal wiedersprichst, dann zeige mir bitte _WO_ sich das Protokoll ändert. Deine Argumentation ist doch vollkommen daneben. Würde das so funktionieren, müsste jeder Client jeden Server kennen respektive umgekehrt und dann auch noch in den jeweiligen Versionen und Patchständen. Achja, das Betriebssystem müsste ja auch noch berücksichtigt werden. Selten so gelacht. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 18:08 schrieb Andreas Pakulat: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? security thru obscurity So ein Unfug. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Andreas Pakulat wrote: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Kopfschüttel. Mir ist an dieser Stelle kein Schalter in der config bekannt, mit dem sich das unterdrücken lässt. Wie gesagt, selber kompilieren dürfte wohl die einzige Lösung sein. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 21:20 schrieb Joerg Zimmermann: Markus Schulz wrote: Am Mittwoch, 6. Juli 2005 18:08 schrieb Andreas Pakulat: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? security thru obscurity So ein Unfug. ähm? Ich zitiere mal aus deinem anderem Posting: Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. Und wieso gehört das nicht zu: security thru obscurity? Es sagt ja keiner das das der einzige Schutz ist, aber eben eine zusätzliche Maßnahme. 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir mal 737 machst, oder deine /etc/passwd in /usr/lib/geheimepasswoerter umbennenst. Es ist nichts obscures daran, einem potenziellen Angreifer keine unnötigen Informationen zu liefern. Genau genommen, ist genau das einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Empfehlenswerte Lektüre dazu, 'Securing-Debian-Handbuch' (http://www.debian.de/doc/manuals/securing-debian-howto/index.de.html). -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Jan Kohnert wrote: Joerg Zimmermann schrieb: Andreas Pakulat wrote: Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. Kennst du dazu noch die beste Firewall? Mit dem Bolzenschneider durchs Netzkabel. Ich hoffe doch sehr, Du meinst das Stromkabel und nicht nur das Netzwerkkabel. Das Schlimme ist, dass Du damit absolut Recht hast. Ungeschickter Weise würden wir aber dann nicht mehr hier vorm Rechner sitzen. Zur Sache: Warum nennt eine Serversoftware neben ihrer Version noch unnötigerweise das Betriebssystem inclusive Version. Es gibt tonnenweise Abhandlungen zum Thema Wie erkenne ich ein Betriebssystem. Mit obiger Meldung _weiss_ ein Angreifer schon womit er es zu tun hat bevor er überhaupt sowas wie nmap auspacken musste. Damit habe ich Ihm das Leben schon erleichtert. Es soll Menschen geben die versuchen Ihre IT sicher zu machen, härten von Hosts, Firewalls und so'n Quatsch. Nach stundenlanger Konfiguration ist endlich alles sicher und Deine Schei... SSH posaunt mal eben Dein Betriebssystem samt Version in die Welt hinaus. GEIL! Und sich dann hinstellen und aller Welt erzählen wie sicher Linux ist. Ihr seid echt die Könige. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Andreas Pakulat wrote: On 06.Jul 2005 - 21:23:25, Joerg Zimmermann wrote: Andreas Pakulat wrote: On 06.Jul 2005 - 17:42:02, Mathias Tauber wrote: bekommt man Daten, die mir nicht wirklich gefallen. Wieso? Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? Was sollte es bringen dass da nicht Debian-8.sarge.4 steht? doofe Frage. Vielleicht dass ein potenzieller Angreifer nicht alle relevanten Informationen frei Haus geliefert bekommt. So ein Unfug ;-) Sowas nennt man Security by Obscurity und hilft i.A. nichts, ausser vllt. dich in Sicherheit zu wiegen. Du glaubst doch nicht das sich jemand hinsetzt und raussucht welche Sicherheitsluecken in dem Debian-Paket vllt. noch nicht gefixt sind? Man nehme einfach die ssh-Version und teste alle bekannten Sicherheitsluecken dieser Version - kein Problem und dauert vermutlich nicht mal halb so lange. Und wenn SSH seine Version auch nicht melden wuerde, wuerde ich rueckwaert arbeiten und mit den neuesten Sicherheitsluecken anfangen, auf die Art findet man auch sehr schnell das Loch. siehe meine andere Mail. Das _ist_ Unfug. Es geht hier im Übrigen nicht um die Info 'SSH Version'. Die ist unvermeidlich, naja nicht wirklich, aber damit könnte man leben. Es geht schlicht um folgendes: Wenn ich als Angreifer weiss, welches Betriebssystem in welcher Version bei Dir läuft, dann weiss ich auch wo ich den Hebel ansetzen muss. Das muss dann nicht SSH sein. Das könnte auch Dein Kernel sein, Dein PAM, Dein what ever. Und das Ganze nur weil Dein SSH-Server 'loud und proud' tönt ich bin's, hier läuft Debian. _Mach_ _mich_ _auf_ oder was? Das ist doch unnötig und muss nicht sein. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Michelle Konzack wrote: Am 2005-07-06 21:27:07, schrieb Joerg Zimmermann: Hi, nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Und welches bitte ? NetBSD, OpenBSD, Solaris, HP-UX oder Irix ? Die Zeigen alle die Version an. Die Version des SSH-Servers ist _nicht_ das Problem. Das Problem ist die Infomation Debian-8.sarge.4. Und nein, das zeigt BSD, gerade noch mal geprüft bei OpenBSD, nicht an. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Jan Lühr wrote: ja hallo erstmal,... Am Mittwoch, 6. Juli 2005 21:27 schrieb Joerg Zimmermann: Hi, Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Kopfschüttel. Was genau stört dich daran / macht dein System unsicherer? Das jeder sehen kann, welches Betriebssystem ich verwende. Und das vollkommen überflüssigerweise. DAS stört mich daran, es macht mir nämlich Arbeit. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Sven Hartge wrote: Joerg Zimmermann [EMAIL PROTECTED] wrote: Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht löschen kann/soll, wegen der Client-Kompatibilität. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unnötige Fehler nicht passieren. Fehler? Ein Angriff wird eh meist mit allen Exploits durchgeführt, denen Fehler? Nein, kein Fehler, nur eben unnötig und überflüssig. Jaa, Scriptkiddies nehmen natürlich alle Exploits deren sie habhaft werden können. Danach weiss allerdings auch der Letzte was abläuft. Es gibt aber auch ernsthaftere Angreifer. Die suchen sich Ihre Exploits sehr gewissenhaft aus. Wenn ich mich gegen diese Art von Angreifern wehren will/muss habe ich alle Hände voll zu tun. Und wenn ich mich dann auch noch um so überflüssige Informationslücken kümmern muss, dann finde ich das ärgerlich. man habhaft werden kann, sogar solche, die nur bei SSH1 griffen, egal, was die Kennung mitteilt. Und die Leute, die schlau genug sind, nach der Kennung ihre Strategie zu wählen, die wirst du auch durch das nicht-vorhandensein einer solchen nicht von ihrem Treiben abhalten können. Das ist richtig, aber ich erhöhe Ihre Kosten. Und je mehr es einen Angreifer kostet ein Ziel einzunehmen, um so weniger wird er motiviert sein. Und nenne mir einen Grund, warum mein SSH-Server mein Betriebssystem samt Version in die Welt posaunen muss. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Michelle Konzack wrote: Am 2005-07-06 22:58:12, schrieb Joerg Zimmermann: Die Version des SSH-Servers ist _nicht_ das Problem. Das Problem ist die Infomation Debian-8.sarge.4. Und nein, das zeigt BSD, gerade noch mal geprüft bei OpenBSD, nicht an. Ich habe die 3.5 hier und es wird angezeigt. Aber unabhängig Nö, zeigt er nicht. Zeig doch mal. Meiner (3.6) zeigt: SSH-2.0-OpenSSH_3.9 Da steht nix von OpenBSD. Und ich wette, auch der 3.5'er zeigt Dir das nicht. davon kannste auch so rausbekommen welches OS da ist. Achja? Was willste denn da alles so ausprobieren. Denn nmap und Konsorten wird Dir bei einem gut aufgesetztem System nichts Brauchbares liefern. Dafür wirst Du dann schon etwas tiefer in die Kiste greifen müssen. Und das kostet. Gehen tut alles. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Michelle Konzack wrote: Am 2005-07-06 23:01:42, schrieb Joerg Zimmermann: Jan Lühr wrote: Was genau stört dich daran / macht dein System unsicherer? Das jeder sehen kann, welches Betriebssystem ich verwende. Und das vollkommen überflüssigerweise. DAS stört mich daran, es macht mir nämlich Arbeit. Schon mal was von nmap gehört ? Das braucht keine 3 Sekunden um das OS herauszufinden Ja, bei einer Debian ohne 'Nachbehandlung', bei Windows und SuSE sowie 'Red Hat' oder DOS. Schwieriger wird das für nmap dann bei etwas exotischeren Betriebssystemen. Vorallendingen, wenn die Informationen die so ein Betriebssystem liefert wiedersprüchlich sind. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Hi, was für einen Zeichensatz verwendest Du eigendlich? Content-Type: TEXT/PLAIN; charset=X-UNKNOWN ?? On Wed, 6 Jul 2005, Joerg Zimmermann wrote: Mathias Tauber wrote: Servus mal wieder, mir ist folgendes aufgefallen: Ruft man das hier auf (Sarge System), xxx:~# telnet xxx 22 Trying xxx.xxx.xxx.xxx... Connected to xxx. Escape character is '^]'. SSH-2.0-OpenSSH_3.8.1p1 Debian-8.sarge.4 bekommt man Daten, die mir nicht wirklich gefallen. Ich habe ein bischen gegoogelt und sehe ja ein, dass man die Kennung nicht l�schen kann/soll, wegen der Client-Kompatibilit�t. So weit so gut. Aber muss da denn 'Debian-8.sarge.4' stehen??? nein. _Das_ muss/sollte da nicht stehen. Ein Grund mehr sich sein Zeugs selber zu kompilieren oder ein OS zu verwenden wo so unn�tige Fehler nicht passieren. Kopfsch�ttel. Ts ts. :) Ich will mein SSH doch auch von verschiedenen Clients aus bedienen koennen (mit ihren unterschiedlichen Bugs). Anstatt hier SSH neu zu kompilieren wuerde ich auf wichtigen Systemen eher auf einem anderem Port arbeiten und so etwas wie Port Knocking benutzen. Wesentlich effektiver, Pakete muss ich auch nicht andauern nachbauen -- es sei denn security.d.o kommt gerade nicht hinterher ;) Security by obscurity bringt da naemlich nicht viel mehr ausser mehr Arbeit fuer Dich mit wahrscheinlich weniger Nutzen fuer die User. Port Knocking ist 'Security by obscurity'. Wobei ich das jetzt nicht grundsätzlich für eine schlechte Idee halte. Nur ist das eben eine weitere Stufe Sicherheit. Nur weil mein Auto Airbags hat, verzichte ich ja auch nicht auf meine Bremsen. Mir ist an dieser Stelle kein Schalter in der config bekannt, mit dem sich das unterdr�cken l�sst. Wie gesagt, selber kompilieren d�rfte wohl die einzige L�sung sein. Selber bauen dann ja, wenn's sicherheitsrelevant ist und kein Paket in der Naehe. Sonst eher nein. Ich will das Zeugs ja gar nicht selber kompilieren. Wenn ich das mit jedem Server machen würde, das könnte ja keiner mehr bezahlen, schon alleine dioe ganzen Patches .. unrealistisch eben. Es fällt mir an dieser Stelle jedoch nichts anderes ein, wie obige Meldung zu unterdrücken wäre. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Frage zur SSH Kennung
Andreas Pakulat wrote: On 06.Jul 2005 - 23:10:13, Joerg Zimmermann wrote: Es gibt aber auch ernsthaftere Angreifer. Die suchen sich Ihre Exploits sehr gewissenhaft aus. Wenn ich mich gegen diese Art von Angreifern wehren will/muss habe ich alle Hände voll zu tun. Und wenn ich mich dann auch noch um so überflüssige Informationslücken kümmern muss, dann finde ich das ärgerlich. Sollte man nicht, um sich gegen ernsthafte Angreifer zu wehren, ein sichereres OS einsetzen als Linux? z.B. OpenBSD? ;-) Das sollte man und macht es auch. Das bedeutet doch aber nicht, das es bei Linux egal ist. Ich will schon auch eine Debian einsetzen können. Das Ganze ist jetzt kein Grund es nicht zu tun, aber die Summe von Nachlässigkeiten macht im Bezug auf Sicherheit die Probleme. Das ist schade, und liesse sich vermeiden. Mehr wollte ich damit nicht sagen. -Jörg -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Verspielt Debian das bisher aufgebaute Vertrauen in die Sicherheit?
Hallo Joerg, nein, Hallo Ratti, (verdammt viele Kommas, meiner Meinug nach) Joerg Rossdeutscher wrote: Moin, [..]. seit Jahren (Anfang Suse ML) lese ich Dich. Alle Achtung. Einige Programmieren, Andere Organisieren. Du 'tust einfach Volkes Stimme kund'. _Cool_, und mindestens so wichtig wie das Erstere. Du artikulierst die Basis, ist Dir das klar? Von einem dicken, bösen Unternehmen hätte ich es ja erwarten, dass es nach einem Störfall heisst: Da ist nichts passiert, eigentlich ist überhaupt nichts ausgelaufen, und harmlos ist es auch... Das, was heute auf heise.de steht, hätte vor einer Woche auf debian.org stehen müssen. Stand es aber nicht, und das ist ein Vertrauensmissbrauch. Man muss sehr vorsichtig sein, Aktive in Sachen Freie Software zu kritisieren. Ich habe sie nicht bezahlt, ich kann ja ein anderes Produkt verwenden, jeder Handschlag ist ein Geschenk. Punkt. Stimmt. Aber ein Versprechen ist auch ein Versprechen: Wenn ich mich hinstelle und sage, ich kümmere mich um etwas, dann muss ich das auch machen. Ich habe jederzeit das Recht, von dieser Tätigkeit zurückzutreten - nur, bitte: Zurücktreten ist eine Aktivität. Man sagt: Ich mache das nicht mehr. Man bekommt sein Blumen, sein Schulterklopfen, gut ist. Das hat mit Freier Software nichts zu tun, das gehört sich einfach so. Unter Linux-Maintainern ebenso wie unter Kassenwarten von Fischereiverbänden und Tennisplatzwarten. Jemand hat ein Versprechen abgegeben und sich dann verpisst. Die Leute sind sauer. Wer will es ihnen verdenken? ...und der grösste Mist daran ist, dass das alles intern vereinsmeiert wird. Ich habe an diesem Wochenende Stunden damit verbracht, wo das Problem liegt. Habe mehrere Mirrors auf Dateidatum gecheckt, habe von etlichen Mailinglisten die Webarchive durchstöbert, und nirgendwo stand Es gibt ein Problem.. Muss das wirklich so sein? Die Wahrheit wäre hier wichtig gewesen. Weniges was ich bisher las, würde ich soo bedingungslos unterschreiben. Mach weiter so. viele Gruesse -Joerg -- Arachno GmbH Werderstraße 77 42329 Wuppertal Telefonnummer: +49(202)309 707 10 Faxnummer: +49(202)309 707 15 Mail: Joerg.Zimmermann [at] arachno.de www.arachno.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: VPN ipsec Verbindungsproblem
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hi, Rene Zingel wrote: [..]. |Nun meine Frage: Du schriebst, daß Du mit Windows und RSA-Auth an |ipsec drangehst? Welchen Client verwendest Du da? | | | 1. Soweit ich das Buch eben nochmal überflogen habe, ist der Roadoarrior | ab W2000 Sp2 mit der MMC und dem IP Security Wizard möglich. Dazu mus | noch das Tool ipsecpol.exe bei der Microsoft seite runtergezugen werden. | | 2. Und wer es mit einem anderen freien Produckt probieren möchte, kann | ein Tool von Markus Müller http://vpn.ebootis.de Namens ipsec.exe | benutzen. Lösung eins ist extrem unkomfortabel. Einem 'normalem' User nicht zuzumuten. Lösung zwei ist da schon eine Verbesserung. Jedoch werden auch hier die Zertifikate auf dem Rechner installiert. Nicht unbedingt das was man möchte. Ich möchte das jeder Benutzer seine eigenen Zertifikate verwendet. Diese sollten natürlich vor dem Zugriff durch andere geschützt sein. Wer es komfortabel habe möchte ist mit 'thegreenbow' sehr gut bedient. Ist zwar 'closed source' (60EUR pro Client), lohnt sich aber. Jedenfalls ist das der beste Client den ich finden konnte im Hinblick auf Kosten/Leistung. - -Joerg -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.4 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFCYkhPmqHiQ0kmP14RAo4mAKCbDFNvKkqTdkWUHVMU+5Pp3pl73QCgxhuu eEvnDYpYWBonHDi2e/yFdvQ= =c0WZ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
