Training Blog "blog.defaultroutes.de"

Ein Blog mit Informationen rund um meine Schulungs-Themen.

Links

Schulungs- und Vortragstermine 2018

1 <2018-07-07 Sat> Tool: lsofgraph   AdminGrundlagen

lsofgraph erstellt eine grafische Übersicht des Prozess-Baums eines Linux/Unix Systems aus der Textausgabe des lsof (List Open Files) Befehls: https://github.com/zevv/lsofgraph

2 <2018-07-07 Sat> Link: Anatomy of a Linux DNS Lookup - Part III   DNS

Der dritte Teil schaut auf Networkmanager und dnsmasq als DNS-Resolver: https://zwischenzugs.com/2018/07/06/anatomy-of-a-linux-dns-lookup-part-iii/

3 <2018-06-19 Tue> Link: Anatomy of a Linux DNS Lookup – Part II   DNS

4 <2018-06-18 Mon> Link: Anatomy of a Linux DNS Lookup – Part I   DNS

Was alles passiert, wenn unter Linux eine Anwendung einen Domain-Namen in eine IP-Adresse auflösen möchte: https://zwischenzugs.com/2018/06/08/anatomy-of-a-linux-dns-lookup-part-i/

5 <2018-06-18 Mon> Link: What does {some strange unix command name} stand for?   AdminGrundlagen

Woher kommen einige der komischen Namen von Unix-Kommandos? http://www.unixguide.net/unix/faq/1.3.shtml

6 <2018-06-01 Fri> Link: Mozilla Hacks - A cartoon intro to DNS over HTTPS   DNSSicherheit

Eine sehr gute Beschreibung der Privatsphäre-Probleme von DNS, und wie DNS-over-HTTPS diese Lösen kann: https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/

7 <2018-06-01 Fri> Link: The real power of Linux executables   AdminGrundlagen

Dieser Blog-Post beschreibt, wie Linux ausführbare Programme behandelt, und wie man transparent unter Linux MS-DOS, Windows, Python und andere Programme starten kann: https://ownyourbits.com/2018/05/23/the-real-power-of-linux-executables/

8 <2018-05-27 Sun> NeoPG - eine moderne OpenPGP Implementation

und eine Alternative zu gpg2. Nicht das gpg2 schlecht ist, aber eine Wahlmöglichkeit ist immer gut: https://neopg.io/

9 <2018-05-27 Sun> Link: Windows 10 OpenSSH Client Installed by Default in April 2018 Update   AdminGrundlagen

10 <2018-05-25 Fri> Link: Chmod and the mysterious first octet   AdminGrundlagen

Informationen über die ersten Bits beim chmod Befehl: https://major.io/2007/02/13/chmod-and-the-mysterious-first-octet/

11 <2018-05-25 Fri> Link: A Tutorial on Portable Makefiles   AdminGrundlagen

Chris Wellons bespricht wie portable Makefiles erstellt werden, welche nicht nur unter Linux sonder auf allen POSIX-kompatiblen Systemen (BSD etc) funktionieren http://nullprogram.com/blog/2017/08/20/

12 <2018-05-25 Fri> Free Software Needs Free Tools   LinuxGrundlagen

13 <2018-05-08 Tue> Video: Wireguard - Fast, Modern, Secure VPN Tunnel   NetzwerkSicherheit

Video vom Easterhegg 2018 über eine moderne VPN Software, mit Beispielen zum Einsatz von Netzwerk-Namespaces unter Linux: https://media.ccc.de/v/BFFC3X

14 <2018-05-07 Mon> Vortschrittsanzeige bei "dd" und anderen Werkzeugen

Unter Red Hat 7.4+ (und anderen modernen Linux-Versionen)funktioniert

dd if=/dev/zero of=/srv/file count=1000 bs=1M status=progress

per "pipeview (pv)" lässt sich ähnliches erreichen

apt install pv   # pipeview
dd if=/dev/zer count=1000 bs=1M | pv > /srv/file

Und neu gelernt (aus dem vorherigen Video-Link):

apt install progress
dd if=/dev/zero of=/tmp/zero & progress -wm

15 <2018-05-07 Mon> Video: Easterhegg 2018 - Moderne Kommandozeilen Werkzeuge

Man kann auf der Kommandozeile nie auslernen: https://media.ccc.de/v/9GNFG3

16 <2018-05-07 Mon> Link: Understanding the Limitations of HTTPS   Netzwerksicherheit

Die Feinheiten der Sicherheit des HTTPS/TLS Protokolls: https://textslashplain.com/2018/02/14/understanding-the-limitations-of-https/

17 <2018-04-30 Mon> Link: Android 9/"P" unterstützt DNS-over-TLS   DNSSicherheit

Die kommende Android-Version kann die DNS-Kommunikation zum DNS-Resovler verschlüsseln und den DNS-Resolver per Zertifikat authentisieren: https://security.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html

18 <2018-04-30 Mon> Link: Vorsicht beim "XZ" Archivformat   AdminGrundlagen

Das weitverbreitete Kompressionsformat "XZ" hat einige technische Probleme welche die Eignung als Archiv-Dateiformat in Frage stellen https://www.nongnu.org/lzip/xz_inadequate.html

19 <2018-04-30 Mon> die Instanz eines öffentlichen DNS-Resolvers herausfinden   DNS

Die grossen öffentlichen DNS-Resolver (Cloudflare/APNIC 1.1.1.1, Quad9 9.9.9.9 und Google Public DNS 8.8.8.8) sind als Anycast-Dienst realisiert. Bei der Fehlersuche ist es u.U. interessant, vom welchem Server in welchem Rechenzentrum die DNS-Anfragen bearbeitet werden. Mittels DNS-Anfragen können diese Informationen abgefragt werden:

  • Cloudflare:
dig -c CH -t txt id.server +short @1.1.1.1
  • Quad9:
dig -c CH -t txt id.server +short @9.9.9.9  
  • Google Public DNS:

https://mailman.nanog.org/pipermail/nanog/2017-August/092036.html

20 <2018-03-22 Thu> Link: Unix folklore: using multiple sync commands

Der Unix sync Befehl, Gestern und Heute https://utcc.utoronto.ca/~cks/space/blog/unix/TheLegendOfSync

21 <2018-03-22 Thu> Link: Notes for new Make users   LinuxGrundlagen

22 <2018-03-22 Thu> Link: KPTI KAISER Meltdown Initial Performance Regressions   ServerSicherheit

Brendan Gregg gibt Tipps, wie die Performance-Verlust durch Meltdown/Spectre Patches vor dem Einspielen der Patches abgeschätzt werden kann http://www.brendangregg.com/blog/2018-02-09/kpti-kaiser-meltdown-performance.html

23 <2018-02-28 Wed> RFC 8314 "Cleartext Considered Obsolete: Use of Transport Layer Security (TLS) for Email Submission and Access"   NetzwerkSicherheit

E-Mail soll nur noch TLS verschlüsselt übertragen werden: https://tools.ietf.org/html/rfc8314

24 <2018-02-28 Wed> Link: Why we need to do more to reduce certificate lifetimes   NetzwerkSicherheit

Scott Helme erklärt warum kurze Lebenszeiten von x509 TLS Zertifikaten sinnvoll sind: https://scotthelme.co.uk/why-we-need-to-do-more-to-reduce-certificate-lifetimes/

25 <2018-02-07 Wed> Video (FOSDEM): Eine Übersicht zum Thema DNS Privacy "DNS privacy, where are we?"   DNS

Stéphane Bortzmeyer gibt eine Übersicht zum derzeitigen Status der DNS Privacy Erweiterungen zum DNS Protokoll: https://video.fosdem.org/2018/AW1.121/dns_privacy.webm

26 <2018-02-06 Tue> Link: Introduction to POSIX shell

Leider werden viele Shell-Skripte unter Linux nur mit der BASH (Bourne Again Shell) getestet, sind dann aber nicht portable auf andere Systeme ohne BASH. Dieser Blog-Post beschreibt die Problematik und gibt Informationen wie man portable Shell Skripte erstellt: https://sircmpwn.github.io/2018/02/05/Introduction-to-POSIX-shell.html (ich benutze, auch unter Linux, die POSIX Shell kompaible MirBSD Shell mksh https://www.mirbsd.org/mksh.htm)

27 <2018-02-05 Mon> Video (FOSDEM): Living on the Edge   DNS

Willem Toorop (NLnet Labs) talks about GetDNSApi and the new DNS APIs for operating system stub resolvers: https://video.fosdem.org/2018/AW1.121/dns_living_on_the_edge.webm

28 <2018-02-05 Mon> Video (FOSDEM): BIND 9 Past, Present, and Future   DNS

Presentation by Ondřej Surý from ISC about the new features in BIND 9.12 and the new release structure for BIND 9 in the future: https://video.fosdem.org/2018/AW1.121/dns_bind9_past_present_future.webm

29 <2018-02-05 Mon> Inverse Farben auf der Linux Konsole   AdminGrundlagen

Auf einem Projektor sind die Standardfarben der Linux-Konsole nur schwer lesbar (Weiss auf Schwarz). Diese Farben können mit dem Befehl

setterm -inv on

getauscht werden (Schwarz auf Weiss). Mit dem Befehl setterm können sowohl Vordergrund- sowie die Hintergrund-Farbe der Linux-Konsole angepasst werden (Dank an Stefan Miethke für diesen Tipp).

30 <2018-02-02 Fri> Video Link: QUIC: Replacing TCP for the Web   NetzwerkSicherheit

QUIC, ein auf UDP aufsetzenes Protokoll von Google wird derzeit in der IETF standardisiert. Dieser Vortrag erklärt das Protokoll und zeigt die Vorteile von QUIC+HTTP/2 gegenüber traditionellem TCP+HTTP: https://www.youtube.com/watch?v=BazWPeUGS8M

31 <2018-02-01 Thu> Video Link: The State of Kernel Self-Protection   ServerSicherheit

Kees Cook gibt eine Übersicht der neuen Sicherheitsfunktionen in modernen Linux-Kerneln https://www.youtube.com/watch?v=bFe9R65VnAw

32 <2018-01-15 Mon> Buchempfehlung: "Learn BASH the Hard Way" von Ian Miell   AdminGrundlagen

Ein kleines eBook publiziert bei LeanPub, nicht zu teuer, nicht zu dick, ideal für Admins für den Einstieg in die Shell-Benutzung mit BASH https://leanpub.com/learnbashthehardway

33 <2018-01-03 Wed> Link: In defence of swap: common misconceptions   AdminGrundlagen

Ein schöner und informativer Artikel über Swap (oder korrekter "paging") unter Linux (und Unix) und warum jeder Linux-Rechner Swap-Speicher haben sollte (egal wieviel physischer Hauptspeicher vorhanden ist): https://chrisdown.name/2018/01/02/in-defence-of-swap.html

34 <2018-01-02 Tue> GUIs für Systemd   AdminGrundlagen

Ein frohes neues Jahr 2018. Wer Systemd nicht (immer) auf der Kommandozeile administrieren möchte, findet im Netz einige GUI Werzeuge:

35 <2017-12-29 Fri> Zwei neue IPv6 RFCs   IPv6

Im Dezember sind zwei neue interessante RFCs zu IPv6 veröffentlicht worden:

35.1 RFC 8273 Unique IPv6 Prefix per Host

This document outlines an approach utilizing existing IPv6 protocols to allow hosts to be assigned a unique IPv6 prefix (instead of a unique IPv6 address from a shared IPv6 prefix). Benefits of using a unique IPv6 prefix over a unique service-provider IPv6 address include improved host isolation and enhanced subscriber management on shared network segments.

https://www.rfc-editor.org/rfc/rfc8273.txt

35.2 RFC 8305 Happy Eyeballs Version 2: Better Connectivity Using Concurrency

Many communication protocols operating over the modern Internet use hostnames. These often resolve to multiple IP addresses, each of which may have different performance and connectivity characteristics. Since specific addresses or address families (IPv4 or IPv6) may be blocked, broken, or sub-optimal on a network, clients that attempt multiple connections in parallel have a chance of establishing a connection more quickly. This document specifies requirements for algorithms that reduce this user-visible delay and provides an example algorithm, referred to as "Happy Eyeballs". This document obsoletes the original algorithm description in RFC 6555.

https://www.rfc-editor.org/rfc/rfc8305.txt

36 <2017-12-29 Fri> Link: SSH Security and You - /bin/false is not security   ServerSicherheit

In diesem älterem Blog-Post zeigt Jordan Sissel einige potentielle Sicherheitslücken rund um den Gebruauch von /bin/false als Shell um interaktive Logins zu verhindern: http://www.semicomplete.com/articles/ssh-security/

37 <2017-12-29 Fri> Link: Let's hand write DNS messages   DNS

James Routley beschreibt das Paketformat von DNS-Nachrichten und zeigt, wie DNS-Nachrichten in Python gebaut, verschickt und die Antworten vom Server wieder gelesen werden können https://routley.io/tech/2017/12/28/hand-writing-dns-messages.html

38 <2017-12-28 Thu> Link: Why TLS 1.3 isn't in browsers yet   NetzwerkSicherheit

Nick Sullivan von Cloudflare blickt auf die Probleme, ein neues Sicherheitsprotokoll im Internet einzuführen https://blog.cloudflare.com/why-tls-1-3-isnt-in-browsers-yet/

39 <2017-12-21 Thu> Link: TOR-Dienst unter Fedora mit SELinux   ServerSicherheit

40 <2017-12-21 Thu> Link: netstat ohne netstat   AdminGrundlagen

wie Information über aktuelle TCP und UDP Verbindungen aus dem /proc Dateisystem gelesen werden kann https://staaldraad.github.io/2017/12/20/netstat-without-netstat/

41 <2017-12-19 Tue> Link: Use pax   AdminGrundlagen

pax ist eine Alternative zum tar-Befehl, pax ist einfacher zu bedienen: http://dpk.io/pax

42 <2017-12-19 Tue> Link: Simplify Your Life With an SSH Config File   ServerSicherheit AdminGrundlagen

43 <2017-12-19 Tue> Link: "ACL: Using Access Control Lists on Linux"   AdminGrundlagen

A tutorial showing how to enable Linux Access Control Lists as well as how to use ACL's to go beyond basic permissions http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/

44 <2017-12-19 Tue> Systemd-resolved kann Dienste per mDNS DNS-SD bereitstellen   DNS AdminGrundlagen

Systemd-resovled ab der Version 236 kann Netzwerkdienste per Multicast-DNS Service-Discovery bereitstellen. Hierzu wird pro Dienst eine .dnssd-Datei in das Verzeichnis /etc/systemd/dnssd/ gelegt.

45 <2017-12-19 Tue> Systemd-resolved validiert DNSSEC signaturen mit ED25519 Schlüsseln   DNSSEC

Version 236 des Systemd-Resolved Dienstes implementiert RFC 8080 "Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC" https://tools.ietf.org/html/rfc8080

46 <2017-12-19 Tue> Systemd-Networkd v263 kann DNS-Informationen über IPv6 Router-Advertisement verteilen   IPv6 DNS AdminGrundlagen

Systemd-Networkd implementiert RFC 8106 "IPv6 Router Advertisement Options for DNS Configuration" um DNS-Resolver und die lokale Domain an Client-Systeme zu verteilen https://tools.ietf.org/html/rfc8106

47 <2017-12-19 Tue> Dynamische Stub-Resolver Konfiguration in Systemd v236   AdminGrundlagen DNS

Systemd-Resolved erstellt eine dynamische Strub-Resolver-Konfiguration unter /run/systemd/resolve/stub-resolv.conf. Die Datei /etc/resolv.conf kann per Symlink auf diese Datei verweisen. Die Suchlisten-Definition in dieser Datei wird von Systemd verwaltet. https://github.com/systemd/systemd/blob/master/NEWS

48 <2017-12-19 Tue> Gobuster   ServerSicherheit DNSSicherheit

Brute-Force Suche von Domain-Namen und Pfaden in Web-URIs https://github.com/OJ/gobuster

49 <2017-12-19 Tue> Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript   DNSSicherheit DHCP

Google "Project Zero" hat praktische Angriffe auf die JavaScript-Implementierung für WPAD, "Web Proxy Autodiscovery Protocol", nachgewiesen. Ein WPAD-Domain-Name für die eigene Domain im DNS-Resolver, und einen eigenen WPAD-DHCP-Eintrag kann die Ausnutzung dieser Sicherheitslücken erschweren. https://googleprojectzero.blogspot.de/2017/12/apacolypse-now-exploiting-windows-10-in_18.html

50 <2017-12-18 Mon> Twitter Fund   LinuxAdminGrundlagen

Print the first 5 log lines from each day in syslog

awk 'a[$1 $2]++ < 5' /var/log/syslog

Quelle: https://twitter.com/climagic/status/915656462772445185

51 <2017-12-01 Fri> Video: "systemd @ Facebook — a year later":   RedHatUpdate

wie Facebook intern Systemd auf CentOS 7 benutzt https://media.ccc.de/v/ASG2017-126-systemd_facebook_a_year_later#video&t=454

52 <2017-11-02 Thu> Video: Insecure Containers?   ServerSicherheit RedHatUpdate

übersicht Sicherheit in Linux-Containern: https://media.ccc.de/v/ASG2017-160-insecure_containers

53 <2017-10-30 Mon> Video: Wie die Intel ME und UEFI ersetzt werden kann   ServerSicherheit

Replace Your Exploit-Ridden Firmware with Linux - Ronald Minnich, Google https://youtu.be/iffTJ1vPCSo

54 <2017-10-19 Thu> DTACH - ein kleines Unix Werkzeug um Prozesse von der Terminalsitzung unabhängig zu machen   AdminGrundlagen

dtach implementiert die Detach Funktion aus screen, aber nur diese https://github.com/crigler/dtach

55 <2017-10-18 Wed> Internet-Draft: A Method for Web Security Policies   ServerSicherheit NetzwerkSicherheit

per Datei security.txt auf einem Webserver kann der Besitzer der Webseite die Sicherheits-Policy publizieren, u.a. über welche Kommunikations-Kanäle die Entdecker eine Sicherheitslücke mit dem Besitzer des Webserver/der Webseite Kontakt aufnehmen können: https://tools.ietf.org/html/draft-foudil-securitytxt

56 <2017-10-17 Tue> Internet-Draft: OpenPGP Web Key Service   ServerSicherheit NetzwerkSicherheit

Den öffentlichen GPG-Schlüssel auf einem Webserver publizieren. Das GPG-Programm kann den Schlüssel dort finden und importieren https://tools.ietf.org/html/draft-koch-openpgp-webkey-service

57 <2017-10-13 Fri> Breaking DKIM - on Purpose and by Chance   dns netzwerksicherheit

Wenn Sicherheitsprotokolle wie DKIM und DMARC nicht sauber implementiert werden, kann dies die Sicherheit des gesamten Systems untergraben: http://noxxi.de/research/breaking-dkim-on-purpose-and-by-chance.html

58 <2017-09-28 Thu> Sicherheitsaudit von drei Unix NTP Diensten   NetzwerkSicherheit

Die Core Infrastructure Intitiative hat ein Sicherheitsaudit von drei Unix/Linux NTP (Network Time Protocol) Programmen finanziert und die Ergebnisse veröffentlicht. Das von RedHat/CentOS benutzte chrony hat sehr gut abgeschnitten: https://www.coreinfrastructure.org/news/blogs/2017/09/securing-network-time

59 <2017-09-25 Mon> Linux/Unix "umask" erklärt   AdminGrundlagen

Ein kleiner Artikel von Networkworld erklärt den Zusammenspiel von umask und den Unix-Dateiberechtigungen: https://www.networkworld.com/article/3224897/linux/whats-behind-the-linux-umask.html

60 <2017-09-24 Sun> Henning Brauer: TCP Synflood und die OpenBSD pf-Firewall   firewall

Video von der BSDCan 2017 Konferenz: https://youtu.be/KuHepyI0_KY

61 <2017-09-06 Wed> Brendan Gregg über Migration von Solaris zu Linux   Linux Solaris

Brendan hat bei SUN am Solaris gearbeitet, und arbeitet nun bei Netflix. Dort benutzt er sowohl BTRFS als auch ZFS unter Linux:

Linux has also been developing its own ZFS-like filesystem, btrfs. Since it's been developed in the open (unlike early ZFS), people tried earlier ("IS EXPERIMENTAL") versions that had serious issues, which gave it something of a bad reputation. It's much better nowadays, and has been integrated in the Linux kernel tree (fs/btrfs), where it is maintained and improved along with the kernel code. Since ZFS is an add-on developed out-of-tree, it will always be harder to get the same level of attention.

We're now testing container hosts in production on btrfs, instead of ZFS. Facebook have been using btrfs for a while in production, and key btrfs developers now work at Facebook and continue its development. There is a btrfs status page, but for the latest in development see btrfs posts to the linux kernel mailing list and btrfs sections on kernelnewbies. It's a bit early for me to say which is better nowadays on Linux, ZFS or btrfs, but my company is certainly learning the answer by running the same production workload on both. I suspect we'll share findings in a later blog post.

Der volle Blog-Post: http://brendangregg.com/blog/2017-09-05/solaris-to-linux-2017.html

62 <2017-08-31 Thu> APNIC unterstützt ISC bei der Implementierung von RFC 8198 für BIND 9

RFC 8198 ist "Aggressive Use of DNSSEC-Validated Cache" https://tools.ietf.org/html/rfc8198. Bei dieser Protokollerweiterung kann ein DNS-Resolver auf Anfragen, welche in den Bereich eines per DNSSEC validierten NSEC- oder NSEC3-Record fallen, direkt eine negative Antwort zurückgeben. Dies stoppt eine grosse Anzahl von fehlerhaften Anfragen an die Root-DNS-Server und TLD-Server. APNIC Blog-Post: https://blog.apnic.net/2017/08/30/dns-root-server-resilience-smarter-way/

63 <2017-08-29 Tue> Empfehlung: Alexander Neumann - Video von der FrosCon 2017: Löschen von Daten auf SSDs   ServerSicherheit

64 <2017-08-26 Sat> Folien zum Vortrag Infosec Stammtisch Münster: "DNS über TLS und andere Entwicklungen aus der IETF"   DNS NetzwerkSicherheit

65 <2017-08-09 Wed> Blogpost "Linux Load Averages: Solving the Mystery"   AdminGrundlagen Performance

Brendan Gregg, DTrace Spezialist und Computer-Performance Experte hat sich die Linux Load-Average Werte genauer angeschaut: was wird gemessen, warum werden die Werte in Linux anders ermittelt als in anderen Unix-Systemen. Und er machte sich auf die Suche nach dem Entwickler, welcher in der Frühzeit der Linux-Entwicklung den Patch für die Ermittlung der Last-Werte abgeändert hatte. Spannend. http://www.brendangregg.com/blog/2017-08-08/linux-load-averages.html

66 <2017-08-04 Fri> Red Hat kündigt Support für das BTRFS-Dateisystem ab   RedHatUpdate

Red Hat hat das BTRFS-Dateisystem in Red Hat EL 7.4 als 'deprecated' (abgekündigt) markiert: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/7.4_Release_Notes/chap-Red_Hat_Enterprise_Linux-7.4_Release_Notes-Deprecated_Functionality.html Damit hat Red Hat für die kommende Enterprise Distribution kein Copy-on-Write Dateisystem im Portfolio.

67 <2017-08-02 Wed> Ein kleines Tutorial zum Thema 'Tor-Onion-Dienste'   ServerSicherheit NetzwerkSicherheit

Am Dienstag habe ich auf dem Linux-Stammtisch in Münster einen kleinen Workshop zum Thema Tor-Onion-Dienste gehalten. Daraus ist eine kleine Anleitung entstanden: http://blog.defaultroutes.de/tor-hidden-service.html

68 <2017-07-28 Fri> Neue BIND 9 Versionen: 9.11.2, 9.10.6, 9.9.11   dns

mit einer Aussicht auf BIND 9.12 https://www.isc.org/blogs/bind-9-11-2/

69 <2017-07-24 Mon> Aufgaben vom Red Hat LinuxAdmin Grundlagen Kurs Juli 2017   AdminGrundlagen

Hier sind die Aufgaben von Donnerstag und Freitag: https://blog.defaultroutes.de/admingrundlagen-juli2017-aufgaben.html

70 <2017-07-24 Mon> Debian 10: tailf, pg, line und andere Tools aus util-linux entfernt   AdminGrundlagen

Schade, tailf habe ich gerne benutzt. Klar, kann man durch ein Shell-Alias ersetzen, aber das muss man für jede Installation erst machen … http://metadata.ftp-master.debian.org/changelogs/main/u/util-linux/util-linux_2.29.2-2_changelog

71 <2017-07-23 Sun> Grundlegende IPv6 RFCs wurden überarbeitet   IPv6 dns

71.1 RFC 8200 "Internet Protocol, Version 6 (IPv6) Specification"

https://www.rfc-editor.org/rfc/rfc8200.txt

Changes Since RFC 2460

This memo has the following changes from RFC 2460.

o Removed IP Next Generation from the Abstract.

o Added text in Section 1 that the data transmission order is the same as IPv4 as defined in RFC 791.

o Clarified the text in Section 3 about decrementing the Hop Limit.

o Clarified that extension headers (except for the Hop-by-Hop Options header) are not processed, inserted, or deleted by any node along a packet's delivery path.

o Changed requirement for the Hop-by-Hop Options header to a "may", and added a note to indicate what is expected regarding the Hop-by-Hop Options header.

o Added a paragraph to Section 4 to clarify how extension headers are numbered and which are upper-layer headers.

o Added a reference to the end of Section 4 to the "IPv6 Extension Header Types" IANA registry.

o Incorporated the updates from RFCs 5095 and 5871 to remove the description of RH0, that the allocations guidelines for routing headers are specified in RFC 5871, and removed RH0 from the list of required extension headers.

o Revised Section 4.5 on IPv6 fragmentation based on updates from RFCs 5722, 6946, 7112, and 8021. This includes:

  • Revised the text to handle the case of fragments that are whole datagrams (i.e., both the Fragment Offset field and the M flag are zero). If received, they should be processed as a reassembled packet. Any other fragments that match should be processed independently. The revised Fragment creation process was modified to not create whole datagram fragments (Fragment Offset field and the M flag are zero).
  • Changed the text to require that IPv6 nodes must not create overlapping fragments. Also, when reassembling an IPv6 datagram, if one or more its constituent fragments is determined to be an overlapping fragment, the entire datagram (and any constituent fragments) must be silently discarded. Includes a clarification that no ICMP error message should be sent if overlapping fragments are received.
  • Revised the text to require that all headers through the first Upper-Layer header are in the first fragment. This changed the text describing how packets are fragmented and reassembled and added a new error case.
  • Added text to the Fragment header process on handling exact duplicate fragments.
  • Updated the Fragmentation header text to correct the inclusion of an Authentication Header (AH) and noted No Next Header case.
  • Changed terminology in the Fragment header section from "Unfragmentable Headers" to "Per-Fragment headers".
  • Removed the paragraph in Section 5 that required including a Fragment header to outgoing packets if an ICMP Packet Too Big message reports a Next-Hop MTU less than 1280.
  • Changed the text to clarify MTU restriction and 8-byte restrictions, and noted the restriction on headers in the first fragment.

o In Section 4.5, added clarification noting that some fields in the IPv6 header may also vary across the fragments being reassembled, and that other specifications may provide additional instructions for how they should be reassembled. See, for example, Section 5.3 of [RFC3168].

o Incorporated the update from RFC 6564 to add a new Section 4.8 that describes recommendations for defining new extension headers and options.

o Added text to Section 5 to define "IPv6 minimum link MTU".

o Simplified the text in Section 6 about Flow Labels and removed what was Appendix A ("Semantics and Usage of the Flow Label Field"); instead, pointed to the current specifications of the IPv6 Flow Label field in [RFC6437] and the Traffic Class field in [RFC2474] and [RFC3168].

o Incorporated the update made by RFC 6935 ("IPv6 and UDP Checksums for Tunneled Packets") in Section 8. Added an exception to the default behavior for the handling of UDP packets with zero checksums for tunnels.

o Added instruction to Section 9, "IANA Considerations", to change references to RFC 2460 to this document.

o Revised and expanded Section 10, "Security Considerations".

o Added a paragraph to the Acknowledgments section acknowledging the authors of the updating documents.

o Updated references to current versions and assigned references to normative and informative.

o Made changes to resolve the errata on RFC 2460. These are:

Erratum ID 2541 [Err2541]: This erratum notes that RFC 2460 didn't update RFC 2205 when the length of the flow label was changed from 24 to 20 bits from RFC 1883. This issue was resolved in RFC 6437 where the flow label is defined. This specification now references RFC 6437. No change is required.

Erratum ID 4279 [Err4279]: This erratum noted that the specification doesn't handle the case of a forwarding node receiving a packet with a zero Hop Limit. This is fixed in Section 3 of this specification.

Erratum ID 4657 [Err4657]: This erratum proposed text that extension headers must never be inserted by any node other than the source of the packet. This was resolved in Section 4, "IPv6 Extension Headers".

Erratum ID 4662 [Err4662]: This erratum proposed text that extension headers, with one exception, are not examined, processed, modified, inserted, or deleted by any node along a packet's delivery path. This was resolved in Section 4, "IPv6 Extension Headers".

Erratum ID 2843: This erratum is marked "Rejected". No change was made.

71.2 RFC 8201 - Path MTU Discovery for IP version 6

https://www.rfc-editor.org/rfc/rfc8201.txt

Changes Since RFC 1981

This document is based on RFC 1981 and has the following changes from RFC 1981:

o Clarified in Section 1, "Introduction", that the purpose of PMTUD is to reduce the need for IPv6 fragmentation.

o Added text to Section 1, "Introduction", about the effects on PMTUD when ICMPv6 messages are blocked.

o Added a "Note" to the introduction to document that this specification doesn't cite RFC 2119 and only uses lower case "should/must" language. Changed all upper case "should/must" to lower case.

o Added a short summary to Section 1, "Introduction", about PLPMTUD and a reference to RFC 4821 that defines it.

o Aligned text in Section 2, "Terminology", to match current packetization layer terminology.

o Added clarification in Section 4, "Protocol Requirements", that nodes should validate the payload of ICMP PTB messages per RFC 4443, and that nodes should detect decreases in PMTU as fast as possible.

o Removed a "Note" from Section 4, "Protocol Requirements", about a Packet Too Big message reporting a next-hop MTU that is less than the IPv6 minimum link MTU because this was removed from [RFC8200].

o Added clarification in Section 5.2, "Storing PMTU Information", to discard an ICMPv6 Packet Too Big message if it contains an MTU less than the IPv6 minimum link MTU.

o Added clarification in Section 5.2, "Storing PMTU Information", that for nodes with multiple interfaces, Path MTU information should be stored for each link.

o Removed text in Section 5.2, "Storing PMTU Information", about Routing Header type 0 (RH0) because it was deprecated by RFC 5095.

o Removed text about obsolete security classification from Section 5.2, "Storing PMTU Information".

o Changed the title of Section 5.4 to "Packetization Layer Actions" and changed the text in the first paragraph to generalize this section to cover all packetization layers, not just TCP.

o Clarified text in Section 5.4, "Packetization Layer Actions", to use normal packetization layer retransmission methods.

o Removed text in Section 5.4, "Packetization Layer Actions", that described 4.2 BSD because it is obsolete, and removed reference to TP4.

o Updated text in Section 5.5, "Issues for Other Transport Protocols", about NFS, including adding a current reference to NFS and removing obsolete text.

o Added a paragraph to Section 6, "Security Considerations", about black-hole connections if PTB messages are not received and comparison to PLPMTUD.

o Updated "Acknowledgements".

o Editorial Changes.

72 <2017-07-21 Fri> LWN: Rethinking the Stack Clash fix   ServerSicherheit

Neue Informationen über das Stack-Clash Sicherheitsproblem in Linux und Versuche, das Problem zu lösen https://lwn.net/Articles/727703/

73 <2017-07-20 Thu> Das Team von GnuPG sucht Sponsoren   ServerSicherheit NetzwerkSicherheit

Das Team hinter dem Gnu Privacy Guard Programm (sichert die Paketquellen von Linux Distributionen wie Debian und Ubuntu, ermöglicht die Verschlüsselung von E-Mail und Dateien), sucht nach Sponsoren, welche die Weiterentwicklung des Programmes sicherstellen. Schon mit 5 Euro im Monat kann jeder sich an der Finanzierung dieser wichtigen Software beteiligen: https://gnupg.org/donate/index.html

74 <2017-07-19 Wed> Neuer Linux-Befehl zum Auflisten der Namespaces   Debian Fedora ServerSicherheit

In Debian 9 Stretch und Fedora 26 gibt es den Befehl lsns um Namespaces aufzulisten:

  $ lsns
        NS TYPE   NPROCS   PID USER COMMAND
4026531835 cgroup     95  3826 cas  /usr/sbin/rfkill event
4026531836 pid        87  3826 cas  /usr/sbin/rfkill event
4026531837 user       87  3826 cas  /usr/sbin/rfkill event
4026531838 uts        95  3826 cas  /usr/sbin/rfkill event
4026531839 ipc        95  3826 cas  /usr/sbin/rfkill event
4026531840 mnt        95  3826 cas  /usr/sbin/rfkill event
4026531961 net        87  3826 cas  /usr/sbin/rfkill event
4026532361 pid         1 11130 cas  /opt/google/chrome/nacl_helper
4026532363 pid         2 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532365 net         7 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532435 net         1 11130 cas  /opt/google/chrome/nacl_helper
4026532520 user        1 11130 cas  /opt/google/chrome/nacl_helper
4026532521 user        7 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532523 pid         1 11233 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=A2E9
4026532524 pid         1 11236 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=78FD
4026532525 pid         1 11237 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=E502
4026532526 pid         1 11334 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=C1A1
4026532527 pid         1 11347 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=BA70

75 <2017-07-19 Wed> Link: New in Debian stable Stretch: nftables   NetzwerkSicherheit Debian

Debian Stretch stable includes the nftables framework, ready to use. Created by the Netfilter project itself, nftables is the firewalling tool that replaces the old iptables, giving the users a powerful tool.

http://ral-arturo.org/2017/05/05/debian-stretch-stable-nftables.html

76 <2017-07-19 Wed> Bücher zum Thema IT-Sicherheit im HumbleBookBundle Cybersecurity   ServerSicherheit LinuxNetzwerkSicherheit

Noch bis zum Ende Juli gibt es das sehr günstige Humble Book Bundle zum Thema Cybersecurity mit einigen Büchern, welche ich auch in den Kursen empfehle: u.a. "Security Engineering: A Guide to Building Dependable Distributed Systems, 2nd Edition" und "Cryptography Engineering: Design Principles and Practical Applications" https://www.humblebundle.com/books/cybersecurity-wiley

77 <2017-07-19 Wed> Nachbereitung Linux-Server-Sicherheit vom Juli 2017   ServerSicherheit Suse Debian RedHat

Die in der Schlungswoche noch fehlenden Bücher sind schon auf dem Weg zu den Teilnehmern. Die Kursnotizen sind von der Webseite http://notes.defaultroutes.de in der Linuxhotel-Wiki umgezogen ( http://wiki.linuxhotel.de ). Die Bereitstellung der Kursnotizen für SUSE-Linux verschiebt sich leider noch bis Anfang August.

78 <2017-07-18 Tue> Willkommen zum neuen Training Blog

Bisher noch eine einfache Emacs Org-Mode HTML Seite wird dieser Blog später einmal ein "echtes" Blog (mit Atom/RSS-Feed etc). Aber vorerst muss Org-Mode reichen :)