Training Blog
Ein Blog mit Informationen rund um meine Schulungs-Themen.
Artikel auf Heise Online und c't / Mastodon / RSS-Feed / Impressum/Datenschutz
Schulungs- und Vortragstermine 2023
Datum / Date | Schulung / Training | Ort / Location | bestätigt? / confirmed | Lang |
---|---|---|---|---|
20-24.2.2023 | Linux Server Sicherheit | Linuxhotel Essen | X | de |
27.2.-1.2.2023 | DNS Leap-Ahead | Men & Mice (online, EU) | en | |
7.2- 9.3.2023 | DNSSEC und DANE | Heise Events (Online) | X | de |
20-21.3.2023 | PF Paketfilter (OpenBSD/FreeBSD) | Linuxhotel (Online) | X | de |
29.3.2023 | Kea DHCP Workshop | Heise Events (Online) | X | de |
1 Link: Exclude lines in less (or journalctl) Linux Systemd
Beim Kommandozeilen-Werkzeug less
gibt es immer etwas neues zu
lernen: Diesmal hat Remy van Elst beschrieben, wie innerhalb von
less
(und damit auch in Tools welche less
zur Anzeige verwenden,
wie z.B. journalctl
) Inhalte per Regulärem Ausdruck ausgeblendet
werden können:
https://raymii.org/s/snippets/Exclude_lines_in_less_or_journalctl.html
2 Link: Your E-Mail Validation Logic is Wrong RFC EMail
Validieren von E-Mail Adressen, sieht einfach aus, ist es aber nicht. SMTP E-Mail existiert schon sehr lange, und daher sind viele Regeln für E-Mail Adressen heute in Vergessenheit geraten. Jan Schaumann hat einige der umfangreichen Regeln für E-Mail Adressen zusammengetragen: https://www.netmeister.org/blog/email.html
3 Link: Linux Low Latency Tuning Guide Linux
Erik Rigtorp gibt in seinem Blog Informationen zur Performance- und Latenz-Tuning für Linux-Server-Systeme. Ein guter Startpunkt mit vielen Referenzen zum Weiterlesen: https://rigtorp.se/low-latency-guide/
4 Link: IPv6 and the DNS DNS IPv6
In diesem Blog-Post anlysiert Geoff Huston wie DNS Namensauflösung im heutigen IPv6 und Ipv4 "dual-stack" Internet funktioniert, denn
IPv6 is not intended to sit alongside IPv4 in a dual-stack situation as the end objective of this transition process. A fully deployed dual-stack world is not the goal here. We need to push this transition process one step further, and the objective is to get to the point where IPv4 is not only no longer necessary but no longer used at all
Geoff benutzt das APNIC Mess-Netzwerk um Antworten auf die folgenden Fragen zu finden:
- bevorzugen DNS Resolver IPv4 oder IPv6 bei der Namensauflösung
- wie viele DNS Clients können DNS Namen von authoritativen DNS Server auflösen, die nur über Ipv6 erreichbar sind?
- sind grosse DNS Antworten über UDPv6 ein Problem
Die Antworten findet Ihr unter https://www.potaroo.net/ispcol/2020-07/dns6.html
5 Link: Why I Prefer systemd Timers Over Cron
Thomas Stringer hat gute Gründe, warum er Systemd-Timer statt Cron zum Starten von Prozessen benutzt. Ich stimme zu: https://trstringer.com/systemd-timer-vs-cronjob/
6 Link: In defence of swap: common misconceptions AdminGrundlagen
Chris Down hat eine Reihe interessanter Fakten über Swap-Memory unter Linux zusammengetragen: https://chrisdown.name/2018/01/02/in-defence-of-swap.html
7 Link: 128 Bits of Security and 128 Bits of Security: Know the Difference ServerSicherheit NetzwerkSicherheit
When I started working on Monocypher, I quickly noticed something strange about Daniel J. Bernstein's choices of ciphers and curves. On the one hand, he favoured (and designed) ciphers that have 256 bits of security, and explained in painstaking details that 128-bit encryption keys may not be quite enough for all applications. On the other hand, he designed Curve25519, whose security goal is… 128 bits.
That apparent contradiction stumped me for months, during which I simply chose to blindly trust DJB's reputation. Unsurprisingly, it turned out he thought this through, and there's no contradiction. "128 bits of security" just means different things in different contexts.
8 Link: SSH Agent Explained ServerSicherheit
In diesem Blog-Post erklärt Carl Tashian wie der SSH-Agent funktioniert, warum Agent-Forwarding problematisch ist und wie ein Proxy-Jump oder Proxy-Command eine sichere Alternative bietet: https://smallstep.com/blog/ssh-agent-explained/
9 Link: Who moved my DNS cheese? BIND 9 DNS Log Collection and DNS Auditing DNS ServerSicherheit
In dem Blog Post schreibt Hannah Suarez über die BIND 9 Logging Konfiguration, und wie das Linux-Adit Subsystem verwendet werden kann, um Änderungen an den BIND 9 Konfigurationsdateien zu überwachen: https://hannahsuarez.github.io/2020/who-moved-my-cheese-dns-linux/
10 IPv6 bei der Telekom (Mobile) ipv6
Martin Sauter schreibt in seinem Blog das die Deutsche Telekom nun im Mobilfunknetz IPv6 (only) mit XLAT464 anbietet. Ich habe es unter Android ausprobiert und es funktioniert sehr gut. Der Blogpost beschreibt wie man die Android Konfiguration seines Telefons anpassen kann um XLAT464 zu benutzen: https://blog.wirelessmoves.com/2020/02/ipv6-only-in-mobile-networks.html
11 Video: Status von HTTP/3 und QUIC nginx
Auf der FOSDEM 2020 hat Daniel Stenberg einen guten Überblick zum derzeitigen Stand von HTTP/3 und QUIC gegeben: https://daniel.haxx.se/blog/2020/02/02/http-3-for-everyone/
12 Sicherheits-Audit und -Einstellungen für Systemd-Units ServerSicherheit
Im Blog-Port systemd service sandboxing and security hardening 101 beschreibt Daniel Aleksandersen wie Systemd Programme und Dienste in einem Unix-System vom Grundsystem abgrenzen kann, um die Gesamtsicherheit eines Linux-Systems zu erhöhen. Diese Funktionen sind es die Systemd, bei allen Problemen, so nützlich machen. Andere Init-Systeme bieten nicht diese Integration in die neuen Sicherheitsfunktionen von modernen Linux-Systemen
13 Systemd Timer senden keine E-Mail bei Fehlern
Ich benutze gerne Systemd Timer anstatt Cron-Jobs, die Timer lassen sich besser verwalten und prüfen. Jedoch gibt es einen wichtigen Unterschied zwischen Systemd-Timer und Cron-Jobs: Systemd sendet (in der Standarkonfiguration) keine E-Mails wenn der mit dem Timer verbundenen Service fehltschlägt. Chris Siebenmann hat Details in seinem Blog unter https://utcc.utoronto.ca/~cks/space/blog/linux/SystemdTimersAndErrors. Die Kommentare unter dem Blog-Artikel haben weitere wichtige Informationen zu dem Thema, z.B. wie Systemd konfiguriert werden kann, um E-Mails zu versenden (https://wiki.archlinux.org/index.php/Systemd/Timers#MAILTO)
14 EFF Year End Challenge
Ich bin dabei, EFF Mitglied für 2020: https://supporters.eff.org/donate/YEC19--S
Join the Electronic Frontier Foundation to protect digital privacy, free speech, and the open Internet! Give before 2020 and you’ll help EFF unlock eight challenge grants—from $200 to $20,000—that increase in size as the number of donors grows. Every donor counts! Together, we can end the year in strength and face 2020 with effective litigation, activism, and technology.
15 Video: Neues Werkzeug für moderne Netzwerksicherheit NetzwerkSicerheit
Simon Hanisch und cookie haben bei den Datenspuren 2019 die neue Linux
Firewall nftables
und die VPN Technologie wireguard
vorgestellt:
https://media.ccc.de/v/ds19-10399-neues_werkzeug_fur_moderne_netzwerksicherheit
16 Resultat des Sicherheits-Audits des Unbound DNS-Resolvers DNS
Der "Open Source Technology Improvement Fund" (OSTIF) hat ein Sicherheits-Audit des populären Unbound DNS-Resolvers durchgeführt. Einige Sicherheitsprobleme wurden gefunden und in der Version 1.9.5 sind die Patches eingeflossen. Eine Übersicht des Audits gibt es unter https://ostif.org/our-audit-of-unbound-dns-by-x41-d-sec-full-results/
17 Weiterentwicklung des XFS-Dateisystems unter Linux AdminGrundlagen
In einem Blog-Post beschreibt XFS-Maintainer Darrick Wong die wichtigsten Entwicklungen des XFS-Dateisystems im Linux Kernel in den letzten zwei Jahren (Lazy Timestamp Updates, Filesystem Label Management, Geschwindigkeitsverbesserungen bei grossen Verzeichnissen) und die Aussichten auf die zukünftigen Änderungen (64Bit Zeitstempel) https://blogs.oracle.com/linux/xfs-2019-development-retrospective
18 Unix/Linux Swap-Space und virtueller Speicher AdminGrundlagen
Im Blog Post What has to happen with Unix virtual memory when you have no swap space beschreibt wie Unix und Linux-Systeme virtuellen Speicher verwalten und warum es eine gute Idee ist, einem System immer Swap/Paging Speicher zu geben.
19 Linux Zufallszahlen ServerSicherheit NetzwerkSicherheit
Eine Lösung für das schon lange existierende Problem von guten (kryptografischen) Zufallszahlen im Linux-Kernel kurz nach dem Start des Systems wurde von Linux Torvals mit in Kernel 5.4 aufgenommen: random: try to actively add entropy rather than passively wait for it. Dieser neue Patch erzeugt Zufall durch CPU Jitter, ähnlich wie der Haveged Daemon.
20 Linux Kernel Lockdown Security Module ServerSicherheit
Das neue "Lockdown" Security Modul (LSM) wird im Linux Kernel 5.4 verfügbar sein. Mit dem Lockdown LSM kann bei Secure Boot UEFI-Systemen verhindert werden, das der geladene Kernel aus dem Userspace verändert wird. Linux-Weekly-News hat dieses Modul vor ein paar Wochen beschrieben: https://lwn.net/Articles/791863/
21 Video: Automated firewall testing NetzwerkSicherheit pfFirewall
Kristof Provost, Maintainer der pf
Firewall im FreeBSD Kernel,
erklärt wie FreeBSD Jails benutzt werden können, um Firewall-Regeln
und die Firewall-Configuration automatisiert zu testen. Die gleichen
Ideen lassen sich auch unter Linux mit Netzwerk-Namespaces in
Containern umsetzen um iptables
oder nftables
Installationen zu
testen: https://archive.fosdem.org/2019/schedule/event/automated_firewall_testing/
22 Back from Summer vacation: Firefox DNS-over-HTTPS information
Mozilla is about to roll out DoH in Firefox. I gave a talk about DoH and the problems with it at Chaos Communication Camp in August, the recording can be found here: https://media.ccc.de/v/Camp2019-10213-doh_or_don_t I've published information on DNS-over-HTTPS #DoH in Firefox on my DoH page. The page will be updated once I've got new information. If stuff is missing, let me know. https://doh.defaultroutes.de/#sec-4
23 Link: A deep dive into Linux namespaces ServerSicherheit AdminGrundlagen
Linux Container sind keine Magie. Die Grund-Zutaten von Docker, Podman, LXC und Co. sind simpel. Ifeanyi Ubah erklärt in diesem Blog-Posting anhand von einfachen Programmen im Quellcode (C) wie Linux-Container mit Namespaces realisiert werden: http://ifeanyi.co/posts/linux-namespaces-part-1/
24 Das klassische GPG-Keyserver System (SKS-Keyserver) ist unbenutzbar geworden: AdminGrundlagen ServerSicherheit NetzwerkSicherheit
wichtige Umbauten wurden zu lange verzögert und nicht umgesetzt. Die GPG-Zertifikate von Daniel Kahn Gillmor (dkg) und Robert J. Hansen wurden angegriffen und die Zertifikate auf den SKS-Keyservern sind unbenutzbar geworden. Es gibt jedoch eine neue Art von Keyserver, und der Blog-Post von dkg beschreibt das Problem, und wie man als GPG-Benutzer mit der Situation umgehen kann: https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html
Wenn Du GPG benutzt, überlege ob Du auf die neuen Keyserver von https://keys.openpgp.org/ umsteigen kannst und lade Deine Schlüssel dort hoch (oder noch besser, benutze DANE oder WKS).
25 Video: Road Warrior Disaster Recovery by Aaron Poffenberger ClientSicherheit
In diesem Vortrag stellt Aaron Poffenberger seine Lösungen vor, um einen Laptop auf Reisen abzusichern, und wenn notwendig, wieder mit den eigenen Daten neu Aufsetzen zu können. https://www.youtube.com/watch?v=tV4WOqh7aCQ
26 Video: Best Practices in der IT-Administration, Version 2019 AdminGrundlagen ServerSicherheit
Michael Prokop erklärt, was bei der Administration wichtig ist. Jeden Aspekt dieses Vortrags kann ich uneingeschränkt bestätigen: https://media.ccc.de/v/glt19-72-best-practices-in-der-it-administration-version-2019
27 Link: Site to Site WireGuard: Part 4 - HTTPS NetzwerkSicherheit
HTTPS mit dem Caddy Webserver. Ich würde statt des selbst-signierten Zertifikats ein Let's Encrypt ACME Zertifikat benutzen (das kann Caddy richtig gut automatisch), aber die Idee mit dem eigenen URL Shortener ist interessant: https://christine.website/blog/site-to-site-wireguard-part-4-2019-04-16
28 Link: Linux Performance: Why You Should Almost Always Add Swap Space AdminGrundlagen
Es ist immer eine gute Idee, einem Unix/Linux System Swap- (oder genauer Paging-)Speicher zu geben. Hyden James erzählt warum: https://haydenjames.io/linux-performance-almost-always-add-swap-space/
29 Link: Site to Site WireGuard: Part 3 - Custom TLS Certificate Authority
In diesem Teil der Wireguard Serie geht es um das Erstellen einer eigenen CA: https://christine.website/blog/site-to-site-wireguard-part-3-2019-04-11
30 Link: Vorsicht bei SSH Agent-Forwarding ServerSicherheit
Ein Angreifer auf einem Jump-Host kann SSH-Verbindungen mit
Agent-Vorwarding übernehmen und die SSH-Agent-Forwarding Verbindung
benutzen, um sich auf andere System mit den SSH-Schlüsseln des
Benutzers einloggen: https://defn.io/2019/04/12/ssh-forwarding/
Alternativen sind ProxyCommand
oder ProxyJump
.
31 Link: Site to Site WireGuard: Part 2 - DNS DNS NetzwerkSicherheit
Im zweiten Teil der vierteiligen Blog-Artikel-Reihe über Wireguard
VPN schreibt Christine Dodrill über ihr DNS-Setup für das Wireguard
VPN. Ich kann als DNS-Resolver mit DNS-over-TLS und Ad-Blocking
Funktion veild
(https://github.com/jamesduncombe/veild) empfehlen:
https://christine.website/blog/site-to-site-wireguard-part-2-2019-04-07
32 Link: Millions of Binaries Later: a Look Into Linux Hardening in the Wild ServerSicherheit
Capsule8 hat die Härtung von Linux-Programmen (RelRo, Stack-Canaries, ASLR etc) über verschiedene Linux-Distributionen analysiert: https://capsule8.com/blog/millions-of-binaries-later-a-look-into-linux-hardening-in-the-wild/
33 DNS-over-QUIC (DoQ) Proxy DNS
QUIC ist das neue Transport-Protokoll, welches angetreten ist um TCP abzulösen. Es gibt in der IETF erste Diskussionen, auch DNS über QUIC zu transportieren. DNS-Dienstleister NSONE hat einen (experimentellen, Proof-of-Concept) Proxy für DNS-over-QUIC erstellt, mit dem dieses neue DNS-Transportprotokoll getestet werden kann: https://github.com/ns1/doq-proxy
34 Link: Site-to-Site VPN mit Wireguard, Teil 1 Netzwerksicherheit
Christine Dodrill beschreibt wie mit dem VPN-Protokoll Wireguard eine abgesicherte Verbindung zwischen zwei Netzwerken eingerichtet werden kann: https://christine.website/blog/site-to-site-wireguard-part-1-2019-04-02
35 More than you really wanted to know about patch
Patch ist ein wichtiges Werkzeug, nicht nur für Software-Entwickler. Wie es dazu kam, und wie es funktioniert erklärt http://lists.landley.net/pipermail/toybox-landley.net/2019-January/010049.html
36 Podcast: Damals(TM) - Linuxkernel
Unterhaltsamer Rückblick auf die frühen Tage der Entwicklung des Linux-Kernels https://damals-tm-podcast.de/index.php/2015/10/15/dtm_016_linuxkernel/
37 "The Dark Side of the ForSSHe" - Studie zu SSH Backdoors Serversicherheit
Die Sicherheitsfirma ESET hat eine Studie zu Backdoors (versteckte Hintertüren in SSH-Software, eingebaut durch Computer-Einbrecher) veröffentlicht: https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf
38 Eine Menge Sicherheitsprobleme in DHCP Clients DHCP Netzwerksicherheit
Felix Wilhelm hat sich die Sicherheit von DHCP Client Programmen unter Linux angeschaut (dnsmasq, ISC dhclient, systemd-networkd) und einige kritische Sicherheitsfehler gefunden (inkl. Remote-Execution über das Netzwerk) https://conference.hitb.org/hitbsecconf2018dxb/materials/D2T1%20-%20DHCP%20is%20Hard%20-%20Felix%20Wilhelm.pdf
39 BASH Shell Version 5.0 erschienen AdminGrundlagen
Die Entwickler der BASH (Bourne Again Shell) haben Version 5 dieser populären Shell veröffentlicht: https://lists.gnu.org/archive/html/bug-bash/2019-01/msg00063.html
40 TLS x509 Zertifikate für "localhost" Netzwerksicherheit
Web-Entwickler stehen oft vor dem Problem, das moderne
Web-Anwendungen per HTTPS (TLS) abgesichert sind, aber
TLS-Zertifikate für eine lokales Entwicklungs-Setup unter
"localhost" nicht zu bekommen und auch nicht so einfach zu erstellen
sind. Googles Crypto-Experte Filippo Valsorda hat mit mkcert
ein
kleines Tool entwickelt, welches für eine solche lokale
Entwicklungsumgebung auf "localhost" ein TLS-Zertifikat erstellt:
https://blog.filippo.io/mkcert-valid-https-certificates-for-localhost/
41 DNS-over-TLS mit OPNSense DNS Netzwerksicherheit
Staf Wagemakers erklärt in seinem Blog wie DNS-over-TLS im Unbound der populäeren Firewall-Appliance OPNSense aktiviert werden kann. https://stafwag.github.io/blog/blog/2018/12/09/configure-dns-tls-on-opnsense/ Ich empfehle in einer DNS-over-TLS Konfiguration möglichst viele DNS-over-TLS Forwarder einzutragen, um die Anfragen auf eine grosse Anzahl von DNS-Resolvern zu verteilen. Unter https://doh.defaultroutes.de sammle ich informationen über DNS-over-TLS und DNS-over-HTTPS Implementationen. In der c't 2/2019 gibt es einen Artikel von mir zum Thema DNS-over-TLS und DNS-over-HTTPS unter Linux/BSD, macOS und Windows https://www.heise.de/select/ct/2019/02/1546757183804281
42 Checksec Netzwerksicherheit
Das Script checksec
prüft unter Linux bei Programmdateien die zur
Übersetzungszeit eingeschalteten Sicherheitsfunktionen wie PIE, RELRO,
PaX, Canaries, ASLR, Fortify Source: https://github.com/slimm609/checksec.sh
43 Video "DNS Transport Security in Debian" DNS Netzwerksicherheit
Eric Dorland, Debian Maintainer des dnscrypt-proxy, gibt eine Übersicht der neuen verschlüsselten DNS-Transport-Optionen: https://youtu.be/D_qXbbve9Pk
44 Video "My crush on GNU Guix" AdminGrundlagen
Declarative Linux-Distributions wie Guix oder NixOS sind interessante Alternativen zu etablierten Linux-Distributionen. Vagrant Cascadian stellt Guix auf der DebConf 18 vor und vergleicht Guix mit Debian: https://www.youtube.com/watch?v=N2XS92qrLUc
45 DNS-over-HTTPS erklärt DNS
Geoff Huston erklärt im APNIC Blog, was DNS-over-HTTPS ist und wie es funktioniert: https://blog.apnic.net/2018/10/12/doh-dns-over-https-explained/
46 Video: Portable Services are Ready to Use AdminGrundlagen ServerSicherheit
Lennart Poettering stellt portable Dienste in Systemd vor (eine Kombination von System-Diensten und Container: Resources + Integration + Sandboxing): https://media.ccc.de/v/ASG2018-200-portable_services_are_ready_to_use
47 Video: Systemd in 2018 AdminGrundlagen
Lennart Poettering stellt die Neuigkeiten in neuen Systemd-Versionen vor: https://media.ccc.de/v/ASG2018-230-systemd_in_2018
48 Link: Systems Monitoring: top vs Htop vs Glances AdminGrundlagen
Mark Litwintschik vergleicht drei populäre Linux Werkzeuge zur
Anzeige der Systemauslastung (top
, htop
, glances
)
http://tech.marksblogg.com/top-htop-glances.html
49 Podcast: Chaosradio 250 zum Thema "DNS" DNS
Der einzigartige Lutz Donnerhacke erklärt im Chaosradio 250 wie das DNS entstanden ist, wie DNSSEC funktioniert und was beim KSK Rollover am 11. Oktober 2018 passiert. Hörenswert: https://chaosradio.ccc.de/cr250.html
50 Link: Should I block ICMP? NetzwerkSicherheit
Die Antwort ist nein: http://shouldiblockicmp.com/
51 Link: A Short History of Chaosnet DNS
Wer schon immer mal wissen, woher die Chaos
(CH) Netzklasse kommt,
findet im Blog von Two-Bit History eine Antwort:
https://twobithistory.org/2018/09/30/chaosnet.html
52 Link: OpenBSD's unveil() ServerSicherheit
Linux Weekly News hat einen Artikel über den neuen OpenBSD unveil
syscall:
OpenBSD is gaining a base level of protection against unintended program behavior; while it is arguably possible to protect a Linux system to a much greater extent, the complexity of the mechanisms involved keeps that from happening in a lot of real-world deployments.
There is a certain kind of virtue to simplicity in security mechanisms.
Stimme ich 100% zu: https://lwn.net/Articles/767137/
53 Link: PacketWhisper DNS NetzwerkSicherheit
Daten über DNS aus einem Netzwerk versteckt ausleiten, ohne eine Domain oder einen DNS-Server kontrollieren zu müssen: https://github.com/TryCatchHCF/PacketWhisper
54 Link: Insufficiently known POSIX shell features AdminGrundlagen
Wichtige Tricks für die portable Shell-Programmierung: https://apenwarr.ca/log/20110228
55 Link: Anatomy of a Linux DNS Lookup – Part V – Two Debug Nightmares DNS
Manchmal steckt der DNS-Teufel im Detail: https://zwischenzugs.com/2018/09/13/anatomy-of-a-linux-dns-lookup-part-v-two-debug-nightmares/
56 Link: Actually, DMARC works fine with mailing lists DNS EMAIL NetzwerkSicherheit
DMARC setzt eine Richtlinie für SPF und DKIM. Während E-Mail über Mailinglisten bei SPF scheitern, so kann DKIM und damit auch DMARC mit Mailinglisten gut funktionieren: https://begriffs.com/posts/2018-09-18-dmarc-mailing-list.html
57 Video: IPSec und IKE Tutorial (LibreSWAN) Netzwerksicherheit
Ein Tutorial-Video von Paul Wouters und Sowmini Varadhan zeigt, das IPSec unter Linux einfacher als sein Ruf ist: https://www.youtube.com/watch?v=7oldcYljp4U
58 Link: Firefox Nightly Secure DNS Experimental Results DNSSicherheit
Mozilla hat die Resultate des DNS-over-HTTPS Experiments im Firefox Nightly veröffentlicht: https://blog.nightly.mozilla.org/2018/08/28/firefox-nightly-secure-dns-experimental-results/
59 Vortragsfolien und Video: "Huch, mein DNS ist verschwunden …" DNSSicherheit
Die Folien meines Vortrags auf der FrOSCon 13 in der HTML-Version: https://doh.defaultroutes.de und das Video von der FrOSCon 2018: https://media.ccc.de/v/froscon2018-2171-huch_mein_dns_ist_verschwunden
60 Notiz: Der RSS-Feed dieses Blogs war kaputt
Das Problem sollte nun behoben sein, die RSS-GUIDs sollten nun eindeutig sein. Sorry für die doppelten Einträge in euren RSS-Feed-Readern.
61 Link: grep your way to freedom LinuxGrundlagen
Was passiert, wenn die Ausgabe von grep
gleichzeitig wieder in die
Datei geschrieben wird, von der grep
liest? Die Antwort ist
spannend: https://anniecherkaev.com/grep-your-way-to-freedom
62 Link: Remove sensitive information from email headers with postfix NetzwerkSicherheit
Mail-Clients und -Server schreiben Informationen in die Header einer E-Mail, welche zum Teil sensible Informationen über die intere Infrastruktur nach aussen liefern (z.B. interne IP-Adresse, Produktinformationen und Version des verwendeten Mail-Clients). Diese Header lassen sich im Postfix-Mailserver ausfiltern, bevor die Mail das eigene Netz verlässt: https://major.io/2013/04/14/remove-sensitive-information-from-email-headers-with-postfix/
63 Link: Understanding memory information on Linux systems
Eine sehr detailierte Übersicht über Möglichkeiten, unter Linux einen Einblick in das Speicher-Management von Kernel und Anwendungen zu bekommen: https://linux-audit.com/understanding-memory-information-on-linux-systems/
64 Link: Beyond LLMNR/NBNS Spoofing – Exploiting Active Directory-Integrated DNS DNSSicherheit
Nicht allen Admins ist bewusst, das es neben DNS auf Windows Systemen noch andere Namensauflösungsprotokolle gibt. Wer diese Protokolle ignoriert, schafft ggf. Sicherheitsprobleme. Dieser Blog-Artikel spricht über die Gefahren von LLMNR und NBNS: https://blog.netspi.com/exploiting-adidns/
65 Link: Ghost in the Shell LinuxGrundlagen
Eine Serie von Blog-Posts über das effiziente Arbeiten auf der Kommandozeile
66 Link: Where Vim Came From LinuxGrundlagen
Two-Bit History erzählt die Geschichte des vim
Editors, über die
Stationen QED
, ed
, em
, ex
, vi
, STEVIE
zu vim
:
https://twobithistory.org/2018/08/05/where-vim-came-from.html
67 Link: Anatomy of a Linux DNS Lookup – Part IV DNS
Teil 4 der Serie beschäftigt sich mit DNS und Docker/Kubernetes und DNS: https://zwischenzugs.com/2018/08/06/anatomy-of-a-linux-dns-lookup-part-iv/
68 Video: Benno Rice: The Tragedy of systemd AdminGrundlagen
Eine Betrachtung von systemd
aus der Perspektive eines BSD
Benutzers. Ein sehr guter Vortrag: https://youtu.be/6AeWu1fZ7bY
69 Wie böse ist Mozillas DNS-over-HTTP(S)? DNS
Fefe hat ein Medienkompetenztraining zum Thema "DNS-over-HTTPS in Firefox Browser" mittels eines Links auf einen leider schlecht recherchierten Blog Artikel (Mozilla's new DNS resolution is dangerous) angestoßen. Hier meine Fragestellungen für den Benutzer/Admin/Nerd mit offenen Verstand:
- plant Mozilla diese Funktion wie sie jetzt im Test ist für alle
Benutzer einzuschalten? (siehe Update unten im Blog von
ungleich.ch
)? - mag es Netze/Länder/ISPs geben, bei denen eine DNS-Auflösung über Cloudflare das kleinere Übel ist?
- wenn doch Mozilla jetzt mit dieser Funktion alle Nutzer der NSA via Cloudflare an das Messer liefert, warum diskutieren Mozilla Mitarbeiter über Ideen und Wege, DoH zu dezentraliseren (IETF 102 DRIU Sitzung -> https://www.youtube.com/watch?v=cfEX8zuoRAA)?
70 Link: Containers vs. Operating Systems AdminGrundlagen
oder mehr genauer 'Containers vs Linux-Distributions': in einem Blog Post betrachtet Dave Cheney die Auswirkungen des Container-Image-Software Ökosystems auf die Welt der Linux-Distributionen: https://dave.cheney.net/2018/01/16/containers-versus-operating-systems Meine Sicht: Auch Container-Images werden in Resositories gehalten. Red Hat bietet schon ein Docker-Repository an. Linux Distributionen werden Software wahlweise als Pakete oder Container-Images anbieten (als Docker, Flatpak, Snap etc).
71 Tool: Cert - ein kleines Kommandozeilentool um TLS x509 Zertifikate zu prüfen NetzwerkSicherheit
cert
(Source Code auf https://github.com/genkiroid/cert) prüft die
Gültigkeit von x509 Zertifikaten von TLS Webservern (HTTPS) von der
Kommandozeile:
% ~/go/bin/cert blog.defaultroutes.de DomainName: blog.defaultroutes.de IP: 5.45.107.88 Issuer: Let's Encrypt Authority X3 NotBefore: 2018-07-15 10:18:16 +0200 CEST NotAfter: 2018-10-13 10:18:16 +0200 CEST CommonName: blog.defaultroutes.de SANs: [blog.defaultroutes.de] Error:
Neben dem Standard-Ausgabe-Format unterstützt cert
auch Markdown
und JSON. JSON ist interessant, um x509 Zertifikate automatisch zu
prüfen:
% ~/go/bin/cert -f json blog.defaultroutes.de | jq [ { "domainName": "blog.defaultroutes.de", "ip": "5.45.107.88", "issuer": "Let's Encrypt Authority X3", "commonName": "blog.defaultroutes.de", "sans": [ "blog.defaultroutes.de" ], "notBefore": "2018-07-15 10:18:16 +0200 CEST", "notAfter": "2018-10-13 10:18:16 +0200 CEST", "error": "" } ]
72 Link: Decoding TLS using sslkeylogfile Netzwerksicherheit
Manchmal ist es notwendig, TLS Verbindungen zur Fehlersuche mitzuschneiden. Normalerweise können per TLS verschlüsselte Daten nicht gelesen werden, es sei denn, man bekommt die benutzten Schlüssel vom TLS Client Programm geliefert. Shane M. Hansen zeigt in https://whitane.com/post/decoding-tls-with-sskleylogfile/, wie der Administrator die Schlüssel aus der Anwendung lesen kann (Die Sicherheit von TLS wird hier nicht beeinträchtigt, nur der Benutzer oder der Administrator des lokalen Systems kann die Schlüssel aus den Anwendungen herauslesen)
73 Link: NeverSSL NetzwerkSicherheit
Viele WLAN CaptivePortal fangen die erste HTTP(S) Verbindung aus dem Browser ab und leiten diese auf einen internen Webserver des Portals um. Dies funktioniert bei HTTPS/TLS abgesicherten Seiten oft nicht, in der Zunkuft mit TLS 1.3 wird es immer weniger funktionieren. Aber Captive Portals wird es auch in Zukunft (leider) noch länger geben. Die Seite http://neverssl.com/ bietet eine Lösung, diese Seite wird garantiert nie per TLS abgesichert werden. Um dem Captive Portal keine sensiblen Daten durch die URL preiszugeben, sollte http://neverssl.com als erste Seite im Captive-Portal aufgerufen werden, um danach die Einlog-Seite des Portals zu bekommen.
74 Link: Understanding Standard Input and Output LinuxGrundlagen
Preslav Mihaylov erklärt die Standard Ein- und Ausgabe in Unix/Linux Systemen http://pmihaylov.com/standard-io/
75 Tool: lsofgraph AdminGrundlagen
lsofgraph
erstellt eine grafische Übersicht des Prozess-Baums eines
Linux/Unix Systems aus der Textausgabe des lsof
(List Open Files)
Befehls:
https://github.com/zevv/lsofgraph
76 Link: Anatomy of a Linux DNS Lookup - Part III DNS
Der dritte Teil schaut auf Networkmanager und dnsmasq
als DNS-Resolver:
https://zwischenzugs.com/2018/07/06/anatomy-of-a-linux-dns-lookup-part-iii/
77 Link: Anatomy of a Linux DNS Lookup – Part II DNS
und hier der 2te Teil: https://zwischenzugs.com/2018/06/18/anatomy-of-a-linux-dns-lookup-part-ii/
78 Link: Anatomy of a Linux DNS Lookup – Part I DNS
Was alles passiert, wenn unter Linux eine Anwendung einen Domain-Namen in eine IP-Adresse auflösen möchte: https://zwischenzugs.com/2018/06/08/anatomy-of-a-linux-dns-lookup-part-i/
79 Link: What does {some strange unix command name} stand for? AdminGrundlagen
Woher kommen einige der komischen Namen von Unix-Kommandos? http://www.unixguide.net/unix/faq/1.3.shtml
80 Link: Mozilla Hacks - A cartoon intro to DNS over HTTPS DNSSicherheit
Eine sehr gute Beschreibung der Privatsphäre-Probleme von DNS, und wie DNS-over-HTTPS diese Lösen kann: https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/
81 Link: The real power of Linux executables AdminGrundlagen
Dieser Blog-Post beschreibt, wie Linux ausführbare Programme behandelt, und wie man transparent unter Linux MS-DOS, Windows, Python und andere Programme starten kann: https://ownyourbits.com/2018/05/23/the-real-power-of-linux-executables/
82 NeoPG - eine moderne OpenPGP Implementation
und eine Alternative zu gpg2
. Nicht das gpg2
schlecht ist, aber
eine Wahlmöglichkeit ist immer gut: https://neopg.io/
83 Link: Windows 10 OpenSSH Client Installed by Default in April 2018 Update AdminGrundlagen
Wer Windows 10 auf dem Admin-Desktop benutzt, der kann sich nun freuen: https://www.bleepingcomputer.com/news/microsoft/windows-10-openssh-client-installed-by-default-in-april-2018-update/
84 Link: Chmod and the mysterious first octet AdminGrundlagen
Informationen über die ersten Bits beim chmod
Befehl:
https://major.io/2007/02/13/chmod-and-the-mysterious-first-octet/
85 Link: A Tutorial on Portable Makefiles AdminGrundlagen
Chris Wellons bespricht wie portable Makefiles erstellt werden, welche nicht nur unter Linux sonder auf allen POSIX-kompatiblen Systemen (BSD etc) funktionieren http://nullprogram.com/blog/2017/08/20/
86 Free Software Needs Free Tools LinuxGrundlagen
by Benjamin Mako Hill. Blog Artikel: https://mako.cc/writing/hill-free_tools.html und Video: https://www.youtube.com/watch?v=U_nK6nP_RCY
87 Video: Wireguard - Fast, Modern, Secure VPN Tunnel NetzwerkSicherheit
Video vom Easterhegg 2018 über eine moderne VPN Software, mit Beispielen zum Einsatz von Netzwerk-Namespaces unter Linux: https://media.ccc.de/v/BFFC3X
88 Vortschrittsanzeige bei "dd" und anderen Werkzeugen
Unter Red Hat 7.4+ (und anderen modernen Linux-Versionen)funktioniert
dd if=/dev/zero of=/srv/file count=1000 bs=1M status=progress
per "pipeview (pv)" lässt sich ähnliches erreichen
apt install pv # pipeview dd if=/dev/zer count=1000 bs=1M | pv > /srv/file
Und neu gelernt (aus dem vorherigen Video-Link):
apt install progress dd if=/dev/zero of=/tmp/zero & progress -wm
89 Video: Easterhegg 2018 - Moderne Kommandozeilen Werkzeuge
Man kann auf der Kommandozeile nie auslernen: https://media.ccc.de/v/9GNFG3
90 Link: Understanding the Limitations of HTTPS Netzwerksicherheit
Die Feinheiten der Sicherheit des HTTPS/TLS Protokolls: https://textslashplain.com/2018/02/14/understanding-the-limitations-of-https/
91 Link: Android 9/"P" unterstützt DNS-over-TLS DNSSicherheit
Die kommende Android-Version kann die DNS-Kommunikation zum DNS-Resovler verschlüsseln und den DNS-Resolver per Zertifikat authentisieren: https://security.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html
92 Link: Vorsicht beim "XZ" Archivformat AdminGrundlagen
Das weitverbreitete Kompressionsformat "XZ" hat einige technische Probleme welche die Eignung als Archiv-Dateiformat in Frage stellen https://www.nongnu.org/lzip/xz_inadequate.html
93 die Instanz eines öffentlichen DNS-Resolvers herausfinden DNS
Die grossen öffentlichen DNS-Resolver (Cloudflare/APNIC 1.1.1.1, Quad9 9.9.9.9 und Google Public DNS 8.8.8.8) sind als Anycast-Dienst realisiert. Bei der Fehlersuche ist es u.U. interessant, vom welchem Server in welchem Rechenzentrum die DNS-Anfragen bearbeitet werden. Mittels DNS-Anfragen können diese Informationen abgefragt werden:
- Cloudflare:
dig -c CH -t txt id.server +short @1.1.1.1
- Quad9:
dig -c CH -t txt id.server +short @9.9.9.9
- Google Public DNS:
https://mailman.nanog.org/pipermail/nanog/2017-August/092036.html
94 Link: Unix folklore: using multiple sync commands
Der Unix sync
Befehl, Gestern und Heute
https://utcc.utoronto.ca/~cks/space/blog/unix/TheLegendOfSync
95 Link: Notes for new Make users LinuxGrundlagen
Tipps für das Erstellen von makefiles
http://gromnitsky.users.sourceforge.net/articles/notes-for-new-make-users/
96 Link: KPTI KAISER Meltdown Initial Performance Regressions ServerSicherheit
Brendan Gregg gibt Tipps, wie die Performance-Verlust durch Meltdown/Spectre Patches vor dem Einspielen der Patches abgeschätzt werden kann http://www.brendangregg.com/blog/2018-02-09/kpti-kaiser-meltdown-performance.html
97 RFC 8314 "Cleartext Considered Obsolete: Use of Transport Layer Security (TLS) for Email Submission and Access" NetzwerkSicherheit
E-Mail soll nur noch TLS verschlüsselt übertragen werden: https://tools.ietf.org/html/rfc8314
98 Link: Why we need to do more to reduce certificate lifetimes NetzwerkSicherheit
Scott Helme erklärt warum kurze Lebenszeiten von x509 TLS Zertifikaten sinnvoll sind: https://scotthelme.co.uk/why-we-need-to-do-more-to-reduce-certificate-lifetimes/
99 Video (FOSDEM): Eine Übersicht zum Thema DNS Privacy "DNS privacy, where are we?" DNS
Stéphane Bortzmeyer gibt eine Übersicht zum derzeitigen Status der DNS Privacy Erweiterungen zum DNS Protokoll: https://video.fosdem.org/2018/AW1.121/dns_privacy.webm
100 Link: Introduction to POSIX shell
Leider werden viele Shell-Skripte unter Linux nur mit der BASH
(Bourne Again Shell) getestet, sind dann aber nicht portable auf
andere Systeme ohne BASH. Dieser Blog-Post beschreibt die
Problematik und gibt Informationen wie man portable Shell Skripte
erstellt:
https://sircmpwn.github.io/2018/02/05/Introduction-to-POSIX-shell.html
(ich benutze, auch unter Linux, die POSIX Shell kompaible MirBSD
Shell mksh
https://www.mirbsd.org/mksh.htm)
101 Video (FOSDEM): Living on the Edge DNS
Willem Toorop (NLnet Labs) talks about GetDNSApi and the new DNS APIs for operating system stub resolvers: https://video.fosdem.org/2018/AW1.121/dns_living_on_the_edge.webm
102 Video (FOSDEM): BIND 9 Past, Present, and Future DNS
Presentation by Ondřej Surý from ISC about the new features in BIND 9.12 and the new release structure for BIND 9 in the future: https://video.fosdem.org/2018/AW1.121/dns_bind9_past_present_future.webm
103 Inverse Farben auf der Linux Konsole AdminGrundlagen
Auf einem Projektor sind die Standardfarben der Linux-Konsole nur schwer lesbar (Weiss auf Schwarz). Diese Farben können mit dem Befehl
setterm -inv on
getauscht werden (Schwarz auf Weiss). Mit dem Befehl setterm
können sowohl Vordergrund- sowie die Hintergrund-Farbe der
Linux-Konsole angepasst werden (Dank an Stefan Miethke für diesen
Tipp).
104 Video Link: QUIC: Replacing TCP for the Web NetzwerkSicherheit
QUIC, ein auf UDP aufsetzenes Protokoll von Google wird derzeit in der IETF standardisiert. Dieser Vortrag erklärt das Protokoll und zeigt die Vorteile von QUIC+HTTP/2 gegenüber traditionellem TCP+HTTP: https://www.youtube.com/watch?v=BazWPeUGS8M
105 Video Link: The State of Kernel Self-Protection ServerSicherheit
Kees Cook gibt eine Übersicht der neuen Sicherheitsfunktionen in modernen Linux-Kerneln https://www.youtube.com/watch?v=bFe9R65VnAw
106 Buchempfehlung: "Learn BASH the Hard Way" von Ian Miell AdminGrundlagen
Ein kleines eBook publiziert bei LeanPub, nicht zu teuer, nicht zu dick, ideal für Admins für den Einstieg in die Shell-Benutzung mit BASH https://leanpub.com/learnbashthehardway
107 Link: In defence of swap: common misconceptions AdminGrundlagen
Ein schöner und informativer Artikel über Swap (oder korrekter "paging") unter Linux (und Unix) und warum jeder Linux-Rechner Swap-Speicher haben sollte (egal wieviel physischer Hauptspeicher vorhanden ist): https://chrisdown.name/2018/01/02/in-defence-of-swap.html
108 GUIs für Systemd AdminGrundlagen
Ein frohes neues Jahr 2018. Wer Systemd nicht (immer) auf der Kommandozeile administrieren möchte, findet im Netz einige GUI Werzeuge:
- Cockpit - Cockpit is a server manager that makes it easy to administer your GNU/Linux servers via a web browser.: http://cockpit-project.org/
- Systemd-Manager - A systemd service manager written in Rust with the GTK-rs wrapper and direct integration with dbus: https://github.com/mmstick/systemd-manager
- Qjournalctl - A Qt-based Graphical User Interface for systemd's journalctl command: https://github.com/pentix/qjournalctl
109 Zwei neue IPv6 RFCs IPv6
Im Dezember sind zwei neue interessante RFCs zu IPv6 veröffentlicht worden:
109.1 RFC 8273 Unique IPv6 Prefix per Host
This document outlines an approach utilizing existing IPv6 protocols to allow hosts to be assigned a unique IPv6 prefix (instead of a unique IPv6 address from a shared IPv6 prefix). Benefits of using a unique IPv6 prefix over a unique service-provider IPv6 address include improved host isolation and enhanced subscriber management on shared network segments.
109.2 RFC 8305 Happy Eyeballs Version 2: Better Connectivity Using Concurrency
Many communication protocols operating over the modern Internet use hostnames. These often resolve to multiple IP addresses, each of which may have different performance and connectivity characteristics. Since specific addresses or address families (IPv4 or IPv6) may be blocked, broken, or sub-optimal on a network, clients that attempt multiple connections in parallel have a chance of establishing a connection more quickly. This document specifies requirements for algorithms that reduce this user-visible delay and provides an example algorithm, referred to as "Happy Eyeballs". This document obsoletes the original algorithm description in RFC 6555.
110 Link: SSH Security and You - /bin/false is not security ServerSicherheit
In diesem älterem Blog-Post zeigt Jordan Sissel einige potentielle
Sicherheitslücken rund um den Gebruauch von /bin/false
als Shell
um interaktive Logins zu verhindern:
http://www.semicomplete.com/articles/ssh-security/
111 Link: Let's hand write DNS messages DNS
James Routley beschreibt das Paketformat von DNS-Nachrichten und zeigt, wie DNS-Nachrichten in Python gebaut, verschickt und die Antworten vom Server wieder gelesen werden können https://routley.io/tech/2017/12/28/hand-writing-dns-messages.html
112 Link: Why TLS 1.3 isn't in browsers yet NetzwerkSicherheit
Nick Sullivan von Cloudflare blickt auf die Probleme, ein neues Sicherheitsprotokoll im Internet einzuführen https://blog.cloudflare.com/why-tls-1-3-isnt-in-browsers-yet/
114 Link: netstat ohne netstat
AdminGrundlagen
wie Information über aktuelle TCP und UDP Verbindungen aus dem
/proc
Dateisystem gelesen werden kann
https://staaldraad.github.io/2017/12/20/netstat-without-netstat/
115 Link: Use pax
AdminGrundlagen
pax
ist eine Alternative zum tar
-Befehl, pax
ist einfacher zu
bedienen: http://dpk.io/pax
117 Link: "ACL: Using Access Control Lists on Linux" AdminGrundlagen
A tutorial showing how to enable Linux Access Control Lists as well as how to use ACL's to go beyond basic permissions http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/
118 Systemd-resolved kann Dienste per mDNS DNS-SD bereitstellen DNS AdminGrundlagen
Systemd-resovled ab der Version 236 kann Netzwerkdienste per
Multicast-DNS Service-Discovery bereitstellen. Hierzu wird pro
Dienst eine .dnssd
-Datei in das Verzeichnis /etc/systemd/dnssd/
gelegt.
119 Systemd-resolved validiert DNSSEC signaturen mit ED25519 Schlüsseln DNSSEC
Version 236 des Systemd-Resolved Dienstes implementiert RFC 8080 "Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC" https://tools.ietf.org/html/rfc8080
120 Systemd-Networkd v263 kann DNS-Informationen über IPv6 Router-Advertisement verteilen IPv6 DNS AdminGrundlagen
Systemd-Networkd implementiert RFC 8106 "IPv6 Router Advertisement Options for DNS Configuration" um DNS-Resolver und die lokale Domain an Client-Systeme zu verteilen https://tools.ietf.org/html/rfc8106
121 Dynamische Stub-Resolver Konfiguration in Systemd v236 AdminGrundlagen DNS
Systemd-Resolved erstellt eine dynamische
Strub-Resolver-Konfiguration unter
/run/systemd/resolve/stub-resolv.conf
. Die Datei
/etc/resolv.conf
kann per Symlink auf diese Datei verweisen. Die
Suchlisten-Definition in dieser Datei wird von Systemd
verwaltet. https://github.com/systemd/systemd/blob/master/NEWS
122 Gobuster ServerSicherheit DNSSicherheit
Brute-Force Suche von Domain-Namen und Pfaden in Web-URIs https://github.com/OJ/gobuster
123 Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript DNSSicherheit DHCP
Google "Project Zero" hat praktische Angriffe auf die JavaScript-Implementierung für WPAD, "Web Proxy Autodiscovery Protocol", nachgewiesen. Ein WPAD-Domain-Name für die eigene Domain im DNS-Resolver, und einen eigenen WPAD-DHCP-Eintrag kann die Ausnutzung dieser Sicherheitslücken erschweren. https://googleprojectzero.blogspot.de/2017/12/apacolypse-now-exploiting-windows-10-in_18.html
124 Twitter Fund LinuxAdminGrundlagen
Print the first 5 log lines from each day in syslog
awk 'a[$1 $2]++ < 5' /var/log/syslog
Quelle: https://twitter.com/climagic/status/915656462772445185
125 Video: "systemd @ Facebook — a year later": RedHatUpdate
wie Facebook intern Systemd auf CentOS 7 benutzt https://media.ccc.de/v/ASG2017-126-systemd_facebook_a_year_later#video&t=454
126 Video: Insecure Containers? ServerSicherheit RedHatUpdate
übersicht Sicherheit in Linux-Containern: https://media.ccc.de/v/ASG2017-160-insecure_containers
127 Video: Wie die Intel ME und UEFI ersetzt werden kann ServerSicherheit
Replace Your Exploit-Ridden Firmware with Linux - Ronald Minnich, Google https://youtu.be/iffTJ1vPCSo
128 DTACH - ein kleines Unix Werkzeug um Prozesse von der Terminalsitzung unabhängig zu machen AdminGrundlagen
dtach
implementiert die Detach Funktion aus screen
, aber nur
diese https://github.com/crigler/dtach
129 Internet-Draft: A Method for Web Security Policies ServerSicherheit NetzwerkSicherheit
per Datei security.txt
auf einem Webserver kann der Besitzer der
Webseite die Sicherheits-Policy publizieren, u.a. über welche
Kommunikations-Kanäle die Entdecker eine Sicherheitslücke mit dem
Besitzer des Webserver/der Webseite Kontakt aufnehmen können:
https://tools.ietf.org/html/draft-foudil-securitytxt
130 Internet-Draft: OpenPGP Web Key Service ServerSicherheit NetzwerkSicherheit
Den öffentlichen GPG-Schlüssel auf einem Webserver publizieren. Das GPG-Programm kann den Schlüssel dort finden und importieren https://tools.ietf.org/html/draft-koch-openpgp-webkey-service
131 Breaking DKIM - on Purpose and by Chance dns netzwerksicherheit
Wenn Sicherheitsprotokolle wie DKIM und DMARC nicht sauber implementiert werden, kann dies die Sicherheit des gesamten Systems untergraben: http://noxxi.de/research/breaking-dkim-on-purpose-and-by-chance.html
132 Sicherheitsaudit von drei Unix NTP Diensten NetzwerkSicherheit
Die Core Infrastructure Intitiative hat ein Sicherheitsaudit von
drei Unix/Linux NTP (Network Time Protocol) Programmen finanziert
und die Ergebnisse veröffentlicht. Das von RedHat/CentOS benutzte
chrony
hat sehr gut abgeschnitten:
https://www.coreinfrastructure.org/news/blogs/2017/09/securing-network-time
133 Linux/Unix "umask" erklärt AdminGrundlagen
Ein kleiner Artikel von Networkworld erklärt den Zusammenspiel von
umask
und den Unix-Dateiberechtigungen:
https://www.networkworld.com/article/3224897/linux/whats-behind-the-linux-umask.html
134 Henning Brauer: TCP Synflood und die OpenBSD pf-Firewall firewall
Video von der BSDCan 2017 Konferenz: https://youtu.be/KuHepyI0_KY
135 Brendan Gregg über Migration von Solaris zu Linux Linux Solaris
Brendan hat bei SUN am Solaris gearbeitet, und arbeitet nun bei Netflix. Dort benutzt er sowohl BTRFS als auch ZFS unter Linux:
Linux has also been developing its own ZFS-like filesystem, btrfs. Since it's been developed in the open (unlike early ZFS), people tried earlier ("IS EXPERIMENTAL") versions that had serious issues, which gave it something of a bad reputation. It's much better nowadays, and has been integrated in the Linux kernel tree (fs/btrfs), where it is maintained and improved along with the kernel code. Since ZFS is an add-on developed out-of-tree, it will always be harder to get the same level of attention.
We're now testing container hosts in production on btrfs, instead of ZFS. Facebook have been using btrfs for a while in production, and key btrfs developers now work at Facebook and continue its development. There is a btrfs status page, but for the latest in development see btrfs posts to the linux kernel mailing list and btrfs sections on kernelnewbies. It's a bit early for me to say which is better nowadays on Linux, ZFS or btrfs, but my company is certainly learning the answer by running the same production workload on both. I suspect we'll share findings in a later blog post.
Der volle Blog-Post: http://brendangregg.com/blog/2017-09-05/solaris-to-linux-2017.html
136 APNIC unterstützt ISC bei der Implementierung von RFC 8198 für BIND 9
RFC 8198 ist "Aggressive Use of DNSSEC-Validated Cache" https://tools.ietf.org/html/rfc8198. Bei dieser Protokollerweiterung kann ein DNS-Resolver auf Anfragen, welche in den Bereich eines per DNSSEC validierten NSEC- oder NSEC3-Record fallen, direkt eine negative Antwort zurückgeben. Dies stoppt eine grosse Anzahl von fehlerhaften Anfragen an die Root-DNS-Server und TLD-Server. APNIC Blog-Post: https://blog.apnic.net/2017/08/30/dns-root-server-resilience-smarter-way/
137 Empfehlung: Alexander Neumann - Video von der FrosCon 2017: Löschen von Daten auf SSDs ServerSicherheit
138 Folien zum Vortrag Infosec Stammtisch Münster: "DNS über TLS und andere Entwicklungen aus der IETF" DNS NetzwerkSicherheit
139 Blogpost "Linux Load Averages: Solving the Mystery" AdminGrundlagen Performance
Brendan Gregg, DTrace Spezialist und Computer-Performance Experte hat sich die Linux Load-Average Werte genauer angeschaut: was wird gemessen, warum werden die Werte in Linux anders ermittelt als in anderen Unix-Systemen. Und er machte sich auf die Suche nach dem Entwickler, welcher in der Frühzeit der Linux-Entwicklung den Patch für die Ermittlung der Last-Werte abgeändert hatte. Spannend. http://www.brendangregg.com/blog/2017-08-08/linux-load-averages.html
140 Red Hat kündigt Support für das BTRFS-Dateisystem ab RedHatUpdate
Red Hat hat das BTRFS-Dateisystem in Red Hat EL 7.4 als 'deprecated' (abgekündigt) markiert: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/7.4_Release_Notes/chap-Red_Hat_Enterprise_Linux-7.4_Release_Notes-Deprecated_Functionality.html Damit hat Red Hat für die kommende Enterprise Distribution kein Copy-on-Write Dateisystem im Portfolio.
141 Ein kleines Tutorial zum Thema 'Tor-Onion-Dienste' ServerSicherheit NetzwerkSicherheit
Am Dienstag habe ich auf dem Linux-Stammtisch in Münster einen kleinen Workshop zum Thema Tor-Onion-Dienste gehalten. Daraus ist eine kleine Anleitung entstanden: http://blog.defaultroutes.de/tor-hidden-service.html
142 Neue BIND 9 Versionen: 9.11.2, 9.10.6, 9.9.11 dns
mit einer Aussicht auf BIND 9.12 https://www.isc.org/blogs/bind-9-11-2/
143 Aufgaben vom Red Hat LinuxAdmin Grundlagen Kurs Juli 2017 AdminGrundlagen
Hier sind die Aufgaben von Donnerstag und Freitag: https://blog.defaultroutes.de/admingrundlagen-juli2017-aufgaben.html
144 Debian 10: tailf
, pg
, line
und andere Tools aus util-linux
entfernt AdminGrundlagen
Schade, tailf
habe ich gerne benutzt. Klar, kann man durch ein
Shell-Alias ersetzen, aber das muss man für jede Installation erst
machen …
http://metadata.ftp-master.debian.org/changelogs/main/u/util-linux/util-linux_2.29.2-2_changelog
145 Grundlegende IPv6 RFCs wurden überarbeitet IPv6 dns
145.1 RFC 8200 "Internet Protocol, Version 6 (IPv6) Specification"
https://www.rfc-editor.org/rfc/rfc8200.txt
Changes Since RFC 2460
This memo has the following changes from RFC 2460.
o Removed IP Next Generation from the Abstract.
o Added text in Section 1 that the data transmission order is the same as IPv4 as defined in RFC 791.
o Clarified the text in Section 3 about decrementing the Hop Limit.
o Clarified that extension headers (except for the Hop-by-Hop Options header) are not processed, inserted, or deleted by any node along a packet's delivery path.
o Changed requirement for the Hop-by-Hop Options header to a "may", and added a note to indicate what is expected regarding the Hop-by-Hop Options header.
o Added a paragraph to Section 4 to clarify how extension headers are numbered and which are upper-layer headers.
o Added a reference to the end of Section 4 to the "IPv6 Extension Header Types" IANA registry.
o Incorporated the updates from RFCs 5095 and 5871 to remove the description of RH0, that the allocations guidelines for routing headers are specified in RFC 5871, and removed RH0 from the list of required extension headers.
o Revised Section 4.5 on IPv6 fragmentation based on updates from RFCs 5722, 6946, 7112, and 8021. This includes:
- Revised the text to handle the case of fragments that are whole datagrams (i.e., both the Fragment Offset field and the M flag are zero). If received, they should be processed as a reassembled packet. Any other fragments that match should be processed independently. The revised Fragment creation process was modified to not create whole datagram fragments (Fragment Offset field and the M flag are zero).
- Changed the text to require that IPv6 nodes must not create overlapping fragments. Also, when reassembling an IPv6 datagram, if one or more its constituent fragments is determined to be an overlapping fragment, the entire datagram (and any constituent fragments) must be silently discarded. Includes a clarification that no ICMP error message should be sent if overlapping fragments are received.
- Revised the text to require that all headers through the first Upper-Layer header are in the first fragment. This changed the text describing how packets are fragmented and reassembled and added a new error case.
- Added text to the Fragment header process on handling exact duplicate fragments.
- Updated the Fragmentation header text to correct the inclusion of an Authentication Header (AH) and noted No Next Header case.
- Changed terminology in the Fragment header section from "Unfragmentable Headers" to "Per-Fragment headers".
- Removed the paragraph in Section 5 that required including a Fragment header to outgoing packets if an ICMP Packet Too Big message reports a Next-Hop MTU less than 1280.
- Changed the text to clarify MTU restriction and 8-byte restrictions, and noted the restriction on headers in the first fragment.
o In Section 4.5, added clarification noting that some fields in the IPv6 header may also vary across the fragments being reassembled, and that other specifications may provide additional instructions for how they should be reassembled. See, for example, Section 5.3 of [RFC3168].
o Incorporated the update from RFC 6564 to add a new Section 4.8 that describes recommendations for defining new extension headers and options.
o Added text to Section 5 to define "IPv6 minimum link MTU".
o Simplified the text in Section 6 about Flow Labels and removed what was Appendix A ("Semantics and Usage of the Flow Label Field"); instead, pointed to the current specifications of the IPv6 Flow Label field in [RFC6437] and the Traffic Class field in [RFC2474] and [RFC3168].
o Incorporated the update made by RFC 6935 ("IPv6 and UDP Checksums for Tunneled Packets") in Section 8. Added an exception to the default behavior for the handling of UDP packets with zero checksums for tunnels.
o Added instruction to Section 9, "IANA Considerations", to change references to RFC 2460 to this document.
o Revised and expanded Section 10, "Security Considerations".
o Added a paragraph to the Acknowledgments section acknowledging the authors of the updating documents.
o Updated references to current versions and assigned references to normative and informative.
o Made changes to resolve the errata on RFC 2460. These are:
Erratum ID 2541 [Err2541]: This erratum notes that RFC 2460 didn't update RFC 2205 when the length of the flow label was changed from 24 to 20 bits from RFC 1883. This issue was resolved in RFC 6437 where the flow label is defined. This specification now references RFC 6437. No change is required.
Erratum ID 4279 [Err4279]: This erratum noted that the specification doesn't handle the case of a forwarding node receiving a packet with a zero Hop Limit. This is fixed in Section 3 of this specification.
Erratum ID 4657 [Err4657]: This erratum proposed text that extension headers must never be inserted by any node other than the source of the packet. This was resolved in Section 4, "IPv6 Extension Headers".
Erratum ID 4662 [Err4662]: This erratum proposed text that extension headers, with one exception, are not examined, processed, modified, inserted, or deleted by any node along a packet's delivery path. This was resolved in Section 4, "IPv6 Extension Headers".
Erratum ID 2843: This erratum is marked "Rejected". No change was made.
145.2 RFC 8201 - Path MTU Discovery for IP version 6
https://www.rfc-editor.org/rfc/rfc8201.txt
Changes Since RFC 1981
This document is based on RFC 1981 and has the following changes from RFC 1981:
o Clarified in Section 1, "Introduction", that the purpose of PMTUD is to reduce the need for IPv6 fragmentation.
o Added text to Section 1, "Introduction", about the effects on PMTUD when ICMPv6 messages are blocked.
o Added a "Note" to the introduction to document that this specification doesn't cite RFC 2119 and only uses lower case "should/must" language. Changed all upper case "should/must" to lower case.
o Added a short summary to Section 1, "Introduction", about PLPMTUD and a reference to RFC 4821 that defines it.
o Aligned text in Section 2, "Terminology", to match current packetization layer terminology.
o Added clarification in Section 4, "Protocol Requirements", that nodes should validate the payload of ICMP PTB messages per RFC 4443, and that nodes should detect decreases in PMTU as fast as possible.
o Removed a "Note" from Section 4, "Protocol Requirements", about a Packet Too Big message reporting a next-hop MTU that is less than the IPv6 minimum link MTU because this was removed from [RFC8200].
o Added clarification in Section 5.2, "Storing PMTU Information", to discard an ICMPv6 Packet Too Big message if it contains an MTU less than the IPv6 minimum link MTU.
o Added clarification in Section 5.2, "Storing PMTU Information", that for nodes with multiple interfaces, Path MTU information should be stored for each link.
o Removed text in Section 5.2, "Storing PMTU Information", about Routing Header type 0 (RH0) because it was deprecated by RFC 5095.
o Removed text about obsolete security classification from Section 5.2, "Storing PMTU Information".
o Changed the title of Section 5.4 to "Packetization Layer Actions" and changed the text in the first paragraph to generalize this section to cover all packetization layers, not just TCP.
o Clarified text in Section 5.4, "Packetization Layer Actions", to use normal packetization layer retransmission methods.
o Removed text in Section 5.4, "Packetization Layer Actions", that described 4.2 BSD because it is obsolete, and removed reference to TP4.
o Updated text in Section 5.5, "Issues for Other Transport Protocols", about NFS, including adding a current reference to NFS and removing obsolete text.
o Added a paragraph to Section 6, "Security Considerations", about black-hole connections if PTB messages are not received and comparison to PLPMTUD.
o Updated "Acknowledgements".
o Editorial Changes.
146 LWN: Rethinking the Stack Clash fix ServerSicherheit
Neue Informationen über das Stack-Clash Sicherheitsproblem in Linux und Versuche, das Problem zu lösen https://lwn.net/Articles/727703/
147 Das Team von GnuPG sucht Sponsoren ServerSicherheit NetzwerkSicherheit
Das Team hinter dem Gnu Privacy Guard Programm (sichert die Paketquellen von Linux Distributionen wie Debian und Ubuntu, ermöglicht die Verschlüsselung von E-Mail und Dateien), sucht nach Sponsoren, welche die Weiterentwicklung des Programmes sicherstellen. Schon mit 5 Euro im Monat kann jeder sich an der Finanzierung dieser wichtigen Software beteiligen: https://gnupg.org/donate/index.html
148 Neuer Linux-Befehl zum Auflisten der Namespaces Debian Fedora ServerSicherheit
In Debian 9 Stretch und Fedora 26 gibt es den Befehl lsns
um Namespaces aufzulisten:
$ lsns NS TYPE NPROCS PID USER COMMAND 4026531835 cgroup 95 3826 cas /usr/sbin/rfkill event 4026531836 pid 87 3826 cas /usr/sbin/rfkill event 4026531837 user 87 3826 cas /usr/sbin/rfkill event 4026531838 uts 95 3826 cas /usr/sbin/rfkill event 4026531839 ipc 95 3826 cas /usr/sbin/rfkill event 4026531840 mnt 95 3826 cas /usr/sbin/rfkill event 4026531961 net 87 3826 cas /usr/sbin/rfkill event 4026532361 pid 1 11130 cas /opt/google/chrome/nacl_helper 4026532363 pid 2 11129 cas /opt/google/chrome/chrome --type=zygote 4026532365 net 7 11129 cas /opt/google/chrome/chrome --type=zygote 4026532435 net 1 11130 cas /opt/google/chrome/nacl_helper 4026532520 user 1 11130 cas /opt/google/chrome/nacl_helper 4026532521 user 7 11129 cas /opt/google/chrome/chrome --type=zygote 4026532523 pid 1 11233 cas /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=A2E9 4026532524 pid 1 11236 cas /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=78FD 4026532525 pid 1 11237 cas /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=E502 4026532526 pid 1 11334 cas /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=C1A1 4026532527 pid 1 11347 cas /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=BA70
149 Link: New in Debian stable Stretch: nftables NetzwerkSicherheit Debian
Debian Stretch stable includes the nftables framework, ready to use. Created by the Netfilter project itself, nftables is the firewalling tool that replaces the old iptables, giving the users a powerful tool.
http://ral-arturo.org/2017/05/05/debian-stretch-stable-nftables.html
150 Bücher zum Thema IT-Sicherheit im HumbleBookBundle Cybersecurity ServerSicherheit LinuxNetzwerkSicherheit
Noch bis zum Ende Juli gibt es das sehr günstige Humble Book Bundle zum Thema Cybersecurity mit einigen Büchern, welche ich auch in den Kursen empfehle: u.a. "Security Engineering: A Guide to Building Dependable Distributed Systems, 2nd Edition" und "Cryptography Engineering: Design Principles and Practical Applications" https://www.humblebundle.com/books/cybersecurity-wiley
151 Nachbereitung Linux-Server-Sicherheit vom Juli 2017 ServerSicherheit Suse Debian RedHat
Die in der Schlungswoche noch fehlenden Bücher sind schon auf dem Weg zu den Teilnehmern. Die Kursnotizen sind von der Webseite http://notes.defaultroutes.de in der Linuxhotel-Wiki umgezogen ( http://wiki.linuxhotel.de ). Die Bereitstellung der Kursnotizen für SUSE-Linux verschiebt sich leider noch bis Anfang August.