Re: SSH? SSH2? SSL? Buch?
On Thu, 15 Aug 2002, David wrote: Moin, http://www-lehre.informatik.uni-osnabrueck.de/~aerpenbe/sec/book1.htm http://www.snailbook.com/index.html http://www-106.ibm.com/developerworks/library/l-keyc?t=gr,p=RSA-DSA www.google.de -> ssh ssl http://www.rz.uni-freiburg.de/pc/network/netsecure.html mfg Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: pc konfiguration ganz schnell wieder herstellen
On 15 Aug 2002, Torsten wrote: Hallo, ich wurde an die Sache ganz einfach ran gehen. - Referenz installation. - Ab damit ins Tar archiv - Alle Konfigfiles die sich pro Rechner unterscheiden Zentral ablegen - Script schreiben das automatisch Partioniert und das tar archiv per ssh von einen Server zieht - Notfall CD erstellen mit dem script und den ssh-key. Fertig. Ist natürlich keine Lösung wenn sich zuviel unterscheided. Natürlich kann man auch vorhande auto installer verwenden. Aber bei einer Firewall die man extra gehärtet hat kann das evtl. Probs machen. Mfg Markus PS Dieses Posting hat wie immer Brainstorming Charackter. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Jens Benecke wrote: Moin Jens, > Ich halte das für besser als "by default" 10.000 Dienste zu aktivieren, > die keiner braucht, aber eine _Lösung_ ist das nicht. Aber lieber ist defaultmässig wenig drauf und man muss dann bei bedarf nach installieren, als umgekehrt. > > z.B. der "ultrasichere" openbsd-ftpd, der so gut wie nichts kann. > Zugegeben, proftpd ist sicherheitstechnisch nicht sonderlich top, aber > was nützt mir das, wenn kein anderer ftp-server die benötigten Features > hat? Solange man die Vorteile und Nachteile gegeneinander abgewogen hat ist das auch OK. > > BTW Was ist so schlimm an OpenBSD? > > Die Philosophie, bzw. was daraus geworden ist. Insbes. seit der > openssh-Schlappe. Bei der Philosophie stimme ich dir zu. > Einen Server"hardening" Dienst hat ein Programm, welches weder suid root > läuft noch als Server dient, nicht zu interessieren. Nicht daß licq auf Hmmm... Ich vertrete die Meinung das auf einem Server nur Programme drauf sein müssen die man auch wirklich braucht. > dem Rechner unbedingt erforderlich gewesen wäre (es ist aber: ich will > licq-console per ssh benutzen können, von aussen), aber warum ist denn icq auf nem Server hälte ich nicht für sinnvoll, aber du wirst schon für dich die richtige Entscheidung getroffen haben. > nicht auch gleich gcc rausgeflogen? Compiler haben auf Servern auch nix > zu suchen. GCC hat auf einem Server rein gar nichts zu suchen, da gebe ich dir absolut recht. > > NFS sollte IMHO auch auf keinem Host laufen der von Internet her > > erreichbar ist. > > Und woher weiss harden, daß mein Rechner vom Internet her erreichbar > ist? Und woher weiss harden, was *ich* von meinem Rechner erwarte? IMHO solltest du gefragt werden. >> NFS über SSL existiert, you know. I Know, aber nur wenn sich der Client mit einem Cert authentifizieren muss bevor eine Verbindung zum NFS Server erlaubt, ansonsten macht es den NFS Server nicht wirklich sicherer. Ich kenne allerdings nicht die genaue Implemtierung. > > > > und der FTP Server entfernt wird, damit definitiv NICHT. Und > > > "apt-cache show harden" erklärt auch nicht, warum diese Pakete raus > > > sollen. > > Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du > > wirst wissen warum.;-) > > Ich glaube nicht, daß ich in der Hinsicht blutiger Anfänger bin. Es tut mir leid das ich aus deinem Posting geschlossen habe das du nicht so tief in der Materie steckts. Ich wollte dir in keinster Weise zu nahe treten. > > > Aber in der Tat könnte man dem Maintainer vorschlagen einen > > entsprechenden Link in die Beschreibung mit aufzunehmen.:-) > > harden sieht für mich entweder nach einem _sehr_ frühen Stadium aus oder > nach einem mehr oder weniger zufällig zusammengewürfelten Haufen von > Regeln, die der Maintainer für nett hält und damit anderen Leuten > vorschreiben will. > Kann ich nichts zu sagen, da ich mich mit harden für Debian noch nicht näher beschäftig habe. > Gibt es einen _TECHNISCHEN_ Grund, warum licq nicht da sein soll? Ich Hmmm... es ist schliesslich ein ausführbarer Cod,e den du gedenkst zu benutzen und sollte er Sicherheitslücken enthalten könnte das jemand ausnutzen. Ich gehe eher den minimalistischen Ansatz aber wir oben schon erwähnt du wirst deine Gründe haben. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Ext3-Erfahrungen
On Wed, 14 Aug 2002, Florian Quetting wrote: Hallo, > Ich denke, das ist ein klares Bekenntnis. > Das ist es. Wenn auch nicht durch wirkliche Argumente belegt.:-) bis dann Markus PS Wieso das mit dem cc? -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Wolfgang Kaufmann wrote: > Stimmt. Ich bastele jetzt schnell mal an harden2, dass meidet > Sicherheitslücken, indem es möglichst viele unsichere und > kaputt-funktionale Dienste auf einem Rechner laufen, dass > sich ein Angreifer totlacht. Es ist um Längen effizienter und vorallem > ist man den Angreifer dann wirklich los. *grins* Endlich ein erfolgreiches Mittel > > > Was ist so schlimm an OpenBSD? > > Die Vorurteile? Die sind immer Schlimm. > > Oder war die Frage ernst gemeint? ;-) Sie war ernst gemeint. Wenn er was gegen OpenBSD hat dann soll er es begründen. Bis dann Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: kernel-headers
On Wed, 14 Aug 2002, Rüdiger Noack wrote: Hi, FIXME Proggys/libs greifen evtl. auf die Kernel-header zu und wenn du nicht den ganzen Kernel installieren möchtest ist das das richtige Package. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Wed, 14 Aug 2002, Jens Benecke wrote: Hallo, > Macht harden das gleiche wie OpenBSE? Vermeidung von Sicherheitslücken > durch Entfernung jeglicher Funktionalität? s/E/D/ Hmmm... du scheints da eine sehr vorgefertigte Meinung zu haben. Woran liegt das ? BTW Was ist so schlimm an OpenBSD? Man muss immer abwegen zwischen Sicherheit und comfort. Was dir wichtiger ist musst du entscheiden. > > Daß licq entfernt wird, damit kann ich leben, aber daß der NFS Server Auf einen Server hat das überhaupt nichts zu suchen! NFS sollte IMHO auch auf keinem Host laufen der von Internet her erreichbar ist. > und der FTP Server entfernt wird, damit definitiv NICHT. Und "apt-cache > show harden" erklärt auch nicht, warum diese Pakete raus sollen. Lese dir doch mal Grundsätzliches zum Thema Sicherheit durch und du wirst wissen warum.;-) Aber in der Tat könnte man dem Maintainer vorschlagen einen entsprechenden Link in die Beschreibung mit aufzunehmen.:-) bis dann Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: boot mit lilo
On Wed, 14 Aug 2002, Ruediger Noack wrote: Hallo, > > >Ich hatte zu diesem Thema vor 2 Monaten eine Diskussion mit der ix wollte > >dinge ware mir bei einem kurzen Brainstorming eingefallen. > > > ??? Kannst Du das mal "übersetzen." ;-) In der Tat ein wenig konfuse.:-) *grins* Liegt wahrscheinlich daran das ich heute erst um 3 Uhr ins Bett gekommen bin (Debian installation bei einem Bekannten). Da habe ich wohl ausversehen die Zeile zwischen "wollte" und "dinge" gelöscht.:-) Fragt mich aber nicht mehr was da standt ? Naja und wer mich besser kennt weiss das ich sowieso ein wenig Konfuse bin. Übersetzung: Ich hatte vor ca 2 Monaten mit einem Autor der IX eine Diskussion genau über dieses Thema. Und in einem kleinem Brainstorming meiner Seits kam ich dann auf die besagten Lösungen. > > >Deine Lösung ist IMHO auch möglich aber dafür muss man ja soviel per > >handmachen.:-) *grins* > > > So viel? Du weisst doch, einer der Tugenden eines guten Programmierers und/oder Administrator ist die Faulheit:-). > >Für beide Distris eine gemeinsame /boot Partion > > > Dieser Vorschlag gefällt mir wesentlich besser. Wobei dagegen spricht, das dann die lilo.conf nicht dort liegt wo sie eigentlich hingehört. in diesem Sinne Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: limitierte kommandos fuer ssh
On Wed, 14 Aug 2002, Axel Burkhardt wrote: Hallo, im Debian Security Howto wird die rbash erwähnt und gleich über die riskien infomiert. Was genau hast du den vor. Vielleicht fällt einem ja noch ne ganz ander Lösung ein. mfg Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: boot mit lilo
Hallo Ruediger, Hallo Robert, > So könnte/sollte es mit lilo klappen: > > 1. Boot-Partition der "anderen" Distri an ein beliebiges Verzeichnis > mounten; > 2. lilo.conf bearbeiten, dabei den *momentanen* mount-Pfad zum anderen > Kernel angeben; > 3. lilo schreiben. Ich hatte zu diesem Thema vor 2 Monaten eine Diskussion mit der ix wollte dinge ware mir bei einem kurzen Brainstorming eingefallen. Ich habe nachwievor nicht überprüft ob sie sinnvoll sind. Deine Lösung ist IMHO auch möglich aber dafür muss man ja soviel per handmachen.:-) *grins* L1: Für beide Distris eine gemeinsame /boot Partion - Die lilo.conf liegt dann in /boot (Entspricht nicht dem FHS) und du legst einen link in jeder distri an (/etc/lilo.conf -> /boot/lilo.conf) - Dann kannst du für beide Distris verschiedene Kernel oder auch den gleichen konfigurien und Booten. L2: Uterschiedliche /boot Partionen - du richtig die lilo.conf auf beiden Distris zu ein das sie nicht in den MBR sondern in den lokalen-BR (Bsp. /dev/hda5) reinschreiben. - Du genrierst eine extra lilomaster.conf die auf die beiden lokalen BR verweist und schreibst Lilo in den MBR. Sprich du rufts lilo 2 mal hintereinander auf. Mann kann L1 und L2 auch kombinieren. Wie immer gibt es verschiedene Wege unter Linux:-). An die anderen Lösungen kann ich mich nicht mehr genau erinnern. Bitte bedenke nochmals, das es sich um Brainstorming gehandelt hat und es in keinsterweise auf die Sinnhaftigkeit überprüft worden ist. BTW Rüder kommst du zufällig aus Hamburg und arbeitest bei einer firma mit "p" als Anfangsbuchstaben. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Server gehackt????
On Tue, 13 Aug 2002, Carsten Dirk wrote: Hallo Carsten ein paar tips hast du ja schon bekommen. Du solltest generell Backups von deinen Servern machen. Somit kannst du zum einen Nachvollziehen wann er gehackt worden ist und was wichtiger ist du kannst das System in einem Sauberen zustand restoren und musst dann nur noch die änderungen manuell einpflegen. Ausserdem ist ein sysloghost[1] sehr sinnvoll. Schau evtl. auch mal bei www.securityfocus.com nach dort gibt es einige gute Artikel zu diesem Thema. Mehr fällt mir auf die schnelle nicht ein, zumal ich nur 4 Stunden geschlafen habe. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Nachtrag: ssh-login / Last Login Message
On Thu, 1 Aug 2002, Dirk [iso-8859-15] Prösdorf wrote: Hi, > Man sollte dabei aber im Auge behalten, dass 'UsePrivilegeSeparation > yes' und 'PAMAuthenticationViaKbdInt yes' auf 2.2xer Linux-Kernels nicht > funktioniert. I know. Steht ja auch noch mal extra in der sshd_config. :-) Allerdings was bedeutet diese Keyboard Interactive eigentlich ? Das ist für mich genau so ein Rätsel wie dieses "PasswordAuthentication".:-) *grins* bis dann Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Nachtrag: ssh-login / Last Login Message
Re Hi, weitere Nachforschungen haben folgendes ergeben. Bei SuSE werden die die Ausgaben "Last Login" und "MOTD" vom sshd erledigt. Bei Debian hingegen wird es von pam modulen erledigt und deswegen ist, so vermute ich, in der sshd_config "Print Motd no" gesetzt allerdings nicht "PrintLastLog no". Daher die doppelten Ausgaben. Was sinnvoller ist (sshd oder pam modul), dazu kann ich leider nichts sagen. Ich werde aber vorerst die pam module reaktivieren und "PrintLastLog no" setzen. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: ssh-login / Last Login Message (ERLEDIGT!)
Hallo Leute, die Lösung ist einfach. In /etc/pam.d/ssh die Zeile sessionoptional pam_lastlog.so # [1] auszukommentieren. Ich habe nachdem ich die Mail geschrieben habe, noch ein wenig mit einem Kollegen Small-talk gehalten und als ich dann wieder vor der shell sass viel es mir wie Schuppen von den augen. /etc/pam.d/login hatte ich mir ja schon angeschaut. Warum ich nicht auch /etc/pam.d/ssh angeschaut habe, das weiss ich wirklich nicht:-) In diesem Sinne Markus -- Mach mal sieht man den Wald vor Bäumen nicht. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
ssh-login / Last Login Message
Hallo Leute, ich bin gerade dabei meine ersten Schritte unter Debian(Woody) zu machen. Beim login per ssh bekomme ich folgende Aussgabe (BTW das ich mich mit root einlogge ist gewollt da es sich um ein reines Testsystem handelt ) snip Using username "root". Authenticating with public key "dsa-key" from agent Last login: Thu Aug 1 11:07:28 2002 from some.host on pts/1 [MOTD Text] No mail. Last login: Thu Aug 1 11:07:28 2002 from some.host mozart:~# snap Was mich stört sind die 2 "Last Login" Hinweise. Da ich mich bis jetzt noch nie direkt damit beschäftig habe welche Schritte bei einem ssh login abgearbeitet werden, bin ich für jeden Tip dankbar. bis dann Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Was bedeutet diese Fehlermeldung?
On Sun, 28 Jul 2002, Gerhard Engler wrote: Hallo Gerhard, > > in meiner /var/log/syslog habe ich viele Fehlermeldungen dieser Art: > > Jul 27 08:49:35 gustav nmbd[525]: [2002/07/27 08:49:35, 0] nmbd hat etwas mit Samba zu tun:-) Ich habe gottsei dank nicht mehr allzu viel Ahnung in diesem Bereicht. > nmbd/nmbd_incomingrequests.c:process_name_refresh_request(183) > Jul 27 08:49:35 gustav nmbd[525]: process_name_refresh_request: > unicast name registration request received for name DAGOBERT<00> from IP > 192.168.1.1 on subnet UNICAST_SUBNET. Der Rechner DAGOBERT bittet den Linux Rechner seinen Namen im WINS zu registieren. > Jul 27 08:49:35 gustav nmbd[525]: [2002/07/27 08:49:35, 0] > nmbd/nmbd_incomingrequests.c:process_name_refresh_request(184) > Jul 27 08:49:35 gustav nmbd[525]: Error - should be sent to WINS server Sieht danach aus als wenn sich dein Samba Server nicht als Wins server fühlt und deswegen aussagt das diese Anfrage wohl besser bei einem Winsserver aufgehoben ist. > > Was sollte mir das sagen? > > Der Rechner 192.168.1.1/DAGOBERT ist ein w2k client, auf dem ich unter > WINS "NetBIOS-Einstellungen über DHCP-Server beziehen" eingestellt habe. Und dein DHCP Server (Glaskugel befrag) ist der Linux Rechner der sich selbst als Winsserver anbietet. > In der /etc/samba/smb.conf steht: > > ... > wins support = no > ... Und nun rate mal was das wohl bedeutet. cu Markus -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)