UP | HOME

Training Blog

Ein Blog mit Informationen rund um meine Schulungs-Themen.

Artikel auf Heise Online und c't / Mastodon / RSS-Feed / Impressum/Datenschutz

Schulungs- und Vortragstermine 2023

Datum / Date Schulung / Training Ort / Location bestätigt? / confirmed Lang
20-24.2.2023 Linux Server Sicherheit Linuxhotel Essen X de
27.2.-1.2.2023 DNS Leap-Ahead Men & Mice (online, EU)   en
7.2- 9.3.2023 DNSSEC und DANE Heise Events (Online) X de
20-21.3.2023 PF Paketfilter (OpenBSD/FreeBSD) Linuxhotel (Online) X de
29.3.2023 Kea DHCP Workshop Heise Events (Online) X de
         

1 <2021-05-25 Tue> Link: Exclude lines in less (or journalctl)   Linux Systemd

Beim Kommandozeilen-Werkzeug less gibt es immer etwas neues zu lernen: Diesmal hat Remy van Elst beschrieben, wie innerhalb von less (und damit auch in Tools welche less zur Anzeige verwenden, wie z.B. journalctl) Inhalte per Regulärem Ausdruck ausgeblendet werden können: https://raymii.org/s/snippets/Exclude_lines_in_less_or_journalctl.html

2 <2021-05-25 Tue> Link: Your E-Mail Validation Logic is Wrong   RFC 

Validieren von E-Mail Adressen, sieht einfach aus, ist es aber nicht. SMTP E-Mail existiert schon sehr lange, und daher sind viele Regeln für E-Mail Adressen heute in Vergessenheit geraten. Jan Schaumann hat einige der umfangreichen Regeln für E-Mail Adressen zusammengetragen: https://www.netmeister.org/blog/email.html

3 <2020-09-06 Sun> Link: Linux Low Latency Tuning Guide   Linux

Erik Rigtorp gibt in seinem Blog Informationen zur Performance- und Latenz-Tuning für Linux-Server-Systeme. Ein guter Startpunkt mit vielen Referenzen zum Weiterlesen: https://rigtorp.se/low-latency-guide/

4 <2020-07-17 Fri> Link: IPv6 and the DNS   DNS IPv6

In diesem Blog-Post anlysiert Geoff Huston wie DNS Namensauflösung im heutigen IPv6 und Ipv4 "dual-stack" Internet funktioniert, denn

IPv6 is not intended to sit alongside IPv4 in a dual-stack situation as the end objective of this transition process. A fully deployed dual-stack world is not the goal here. We need to push this transition process one step further, and the objective is to get to the point where IPv4 is not only no longer necessary but no longer used at all

Geoff benutzt das APNIC Mess-Netzwerk um Antworten auf die folgenden Fragen zu finden:

  • bevorzugen DNS Resolver IPv4 oder IPv6 bei der Namensauflösung
  • wie viele DNS Clients können DNS Namen von authoritativen DNS Server auflösen, die nur über Ipv6 erreichbar sind?
  • sind grosse DNS Antworten über UDPv6 ein Problem

Die Antworten findet Ihr unter https://www.potaroo.net/ispcol/2020-07/dns6.html

5 <2020-06-05 Fri> Link: Why I Prefer systemd Timers Over Cron

Thomas Stringer hat gute Gründe, warum er Systemd-Timer statt Cron zum Starten von Prozessen benutzt. Ich stimme zu: https://trstringer.com/systemd-timer-vs-cronjob/

6 <2020-05-28 Thu> Link: In defence of swap: common misconceptions   AdminGrundlagen

Chris Down hat eine Reihe interessanter Fakten über Swap-Memory unter Linux zusammengetragen: https://chrisdown.name/2018/01/02/in-defence-of-swap.html

7 <2020-05-22 Fri> Link: 128 Bits of Security and 128 Bits of Security: Know the Difference   ServerSicherheit NetzwerkSicherheit

When I started working on Monocypher, I quickly noticed something strange about Daniel J. Bernstein's choices of ciphers and curves. On the one hand, he favoured (and designed) ciphers that have 256 bits of security, and explained in painstaking details that 128-bit encryption keys may not be quite enough for all applications. On the other hand, he designed Curve25519, whose security goal is… 128 bits.

That apparent contradiction stumped me for months, during which I simply chose to blindly trust DJB's reputation. Unsurprisingly, it turned out he thought this through, and there's no contradiction. "128 bits of security" just means different things in different contexts.

http://loup-vaillant.fr/tutorials/128-bits-of-security

8 <2020-05-21 Thu> Link: SSH Agent Explained   ServerSicherheit

In diesem Blog-Post erklärt Carl Tashian wie der SSH-Agent funktioniert, warum Agent-Forwarding problematisch ist und wie ein Proxy-Jump oder Proxy-Command eine sichere Alternative bietet: https://smallstep.com/blog/ssh-agent-explained/

9 <2020-02-27 Thu> Link: Who moved my DNS cheese? BIND 9 DNS Log Collection and DNS Auditing   DNS ServerSicherheit

In dem Blog Post schreibt Hannah Suarez über die BIND 9 Logging Konfiguration, und wie das Linux-Adit Subsystem verwendet werden kann, um Änderungen an den BIND 9 Konfigurationsdateien zu überwachen: https://hannahsuarez.github.io/2020/who-moved-my-cheese-dns-linux/

10 <2020-02-10 Mon> IPv6 bei der Telekom (Mobile)   ipv6

Martin Sauter schreibt in seinem Blog das die Deutsche Telekom nun im Mobilfunknetz IPv6 (only) mit XLAT464 anbietet. Ich habe es unter Android ausprobiert und es funktioniert sehr gut. Der Blogpost beschreibt wie man die Android Konfiguration seines Telefons anpassen kann um XLAT464 zu benutzen: https://blog.wirelessmoves.com/2020/02/ipv6-only-in-mobile-networks.html

11 <2020-02-03 Mon> Video: Status von HTTP/3 und QUIC   nginx

Auf der FOSDEM 2020 hat Daniel Stenberg einen guten Überblick zum derzeitigen Stand von HTTP/3 und QUIC gegeben: https://daniel.haxx.se/blog/2020/02/02/http-3-for-everyone/

12 <2020-01-18 Sat> Sicherheits-Audit und -Einstellungen für Systemd-Units   ServerSicherheit

Im Blog-Port systemd service sandboxing and security hardening 101 beschreibt Daniel Aleksandersen wie Systemd Programme und Dienste in einem Unix-System vom Grundsystem abgrenzen kann, um die Gesamtsicherheit eines Linux-Systems zu erhöhen. Diese Funktionen sind es die Systemd, bei allen Problemen, so nützlich machen. Andere Init-Systeme bieten nicht diese Integration in die neuen Sicherheitsfunktionen von modernen Linux-Systemen

13 <2019-12-29 Sun> Systemd Timer senden keine E-Mail bei Fehlern

Ich benutze gerne Systemd Timer anstatt Cron-Jobs, die Timer lassen sich besser verwalten und prüfen. Jedoch gibt es einen wichtigen Unterschied zwischen Systemd-Timer und Cron-Jobs: Systemd sendet (in der Standarkonfiguration) keine E-Mails wenn der mit dem Timer verbundenen Service fehltschlägt. Chris Siebenmann hat Details in seinem Blog unter https://utcc.utoronto.ca/~cks/space/blog/linux/SystemdTimersAndErrors. Die Kommentare unter dem Blog-Artikel haben weitere wichtige Informationen zu dem Thema, z.B. wie Systemd konfiguriert werden kann, um E-Mails zu versenden (https://wiki.archlinux.org/index.php/Systemd/Timers#MAILTO)

14 <2019-12-28 Sat> EFF Year End Challenge

Ich bin dabei, EFF Mitglied für 2020: https://supporters.eff.org/donate/YEC19--S

Join the Electronic Frontier Foundation to protect digital privacy, free speech, and the open Internet! Give before 2020 and you’ll help EFF unlock eight challenge grants—from $200 to $20,000—that increase in size as the number of donors grows. Every donor counts! Together, we can end the year in strength and face 2020 with effective litigation, activism, and technology.

2020-membership-badge-2.png

15 <2019-12-27 Fri> Video: Neues Werkzeug für moderne Netzwerksicherheit   NetzwerkSicerheit

Simon Hanisch und cookie haben bei den Datenspuren 2019 die neue Linux Firewall nftables und die VPN Technologie wireguard vorgestellt: https://media.ccc.de/v/ds19-10399-neues_werkzeug_fur_moderne_netzwerksicherheit

16 <2019-12-22 Sun> Resultat des Sicherheits-Audits des Unbound DNS-Resolvers   DNS

Der "Open Source Technology Improvement Fund" (OSTIF) hat ein Sicherheits-Audit des populären Unbound DNS-Resolvers durchgeführt. Einige Sicherheitsprobleme wurden gefunden und in der Version 1.9.5 sind die Patches eingeflossen. Eine Übersicht des Audits gibt es unter https://ostif.org/our-audit-of-unbound-dns-by-x41-d-sec-full-results/

17 <2019-12-19 Thu> Weiterentwicklung des XFS-Dateisystems unter Linux   AdminGrundlagen

In einem Blog-Post beschreibt XFS-Maintainer Darrick Wong die wichtigsten Entwicklungen des XFS-Dateisystems im Linux Kernel in den letzten zwei Jahren (Lazy Timestamp Updates, Filesystem Label Management, Geschwindigkeitsverbesserungen bei grossen Verzeichnissen) und die Aussichten auf die zukünftigen Änderungen (64Bit Zeitstempel) https://blogs.oracle.com/linux/xfs-2019-development-retrospective

18 <2019-11-06 Wed> Unix/Linux Swap-Space und virtueller Speicher   AdminGrundlagen

Im Blog Post What has to happen with Unix virtual memory when you have no swap space beschreibt wie Unix und Linux-Systeme virtuellen Speicher verwalten und warum es eine gute Idee ist, einem System immer Swap/Paging Speicher zu geben.

19 <2019-10-02 Wed> Linux Zufallszahlen   ServerSicherheit NetzwerkSicherheit

Eine Lösung für das schon lange existierende Problem von guten (kryptografischen) Zufallszahlen im Linux-Kernel kurz nach dem Start des Systems wurde von Linux Torvals mit in Kernel 5.4 aufgenommen: random: try to actively add entropy rather than passively wait for it. Dieser neue Patch erzeugt Zufall durch CPU Jitter, ähnlich wie der Haveged Daemon.

20 <2019-10-02 Wed> Linux Kernel Lockdown Security Module   ServerSicherheit

Das neue "Lockdown" Security Modul (LSM) wird im Linux Kernel 5.4 verfügbar sein. Mit dem Lockdown LSM kann bei Secure Boot UEFI-Systemen verhindert werden, das der geladene Kernel aus dem Userspace verändert wird. Linux-Weekly-News hat dieses Modul vor ein paar Wochen beschrieben: https://lwn.net/Articles/791863/

21 <2019-09-26 Thu> Video: Automated firewall testing   NetzwerkSicherheit pfFirewall

Kristof Provost, Maintainer der pf Firewall im FreeBSD Kernel, erklärt wie FreeBSD Jails benutzt werden können, um Firewall-Regeln und die Firewall-Configuration automatisiert zu testen. Die gleichen Ideen lassen sich auch unter Linux mit Netzwerk-Namespaces in Containern umsetzen um iptables oder nftables Installationen zu testen: https://archive.fosdem.org/2019/schedule/event/automated_firewall_testing/

22 <2019-09-10 Tue> Back from Summer vacation: Firefox DNS-over-HTTPS information

Mozilla is about to roll out DoH in Firefox. I gave a talk about DoH and the problems with it at Chaos Communication Camp in August, the recording can be found here: https://media.ccc.de/v/Camp2019-10213-doh_or_don_t I've published information on DNS-over-HTTPS #DoH in Firefox on my DoH page. The page will be updated once I've got new information. If stuff is missing, let me know. https://doh.defaultroutes.de/#sec-4

23 <2019-07-16 Tue> Link: A deep dive into Linux namespaces   ServerSicherheit AdminGrundlagen

Linux Container sind keine Magie. Die Grund-Zutaten von Docker, Podman, LXC und Co. sind simpel. Ifeanyi Ubah erklärt in diesem Blog-Posting anhand von einfachen Programmen im Quellcode (C) wie Linux-Container mit Namespaces realisiert werden: http://ifeanyi.co/posts/linux-namespaces-part-1/

24 <2019-07-03 Wed> Das klassische GPG-Keyserver System (SKS-Keyserver) ist unbenutzbar geworden:   AdminGrundlagen ServerSicherheit NetzwerkSicherheit

wichtige Umbauten wurden zu lange verzögert und nicht umgesetzt. Die GPG-Zertifikate von Daniel Kahn Gillmor (dkg) und Robert J. Hansen wurden angegriffen und die Zertifikate auf den SKS-Keyservern sind unbenutzbar geworden. Es gibt jedoch eine neue Art von Keyserver, und der Blog-Post von dkg beschreibt das Problem, und wie man als GPG-Benutzer mit der Situation umgehen kann: https://dkg.fifthhorseman.net/blog/openpgp-certificate-flooding.html

Wenn Du GPG benutzt, überlege ob Du auf die neuen Keyserver von https://keys.openpgp.org/ umsteigen kannst und lade Deine Schlüssel dort hoch (oder noch besser, benutze DANE oder WKS).

25 <2019-06-19 Wed> Video: Road Warrior Disaster Recovery by Aaron Poffenberger   ClientSicherheit

In diesem Vortrag stellt Aaron Poffenberger seine Lösungen vor, um einen Laptop auf Reisen abzusichern, und wenn notwendig, wieder mit den eigenen Daten neu Aufsetzen zu können. https://www.youtube.com/watch?v=tV4WOqh7aCQ

26 <2019-05-01 Wed> Video: Best Practices in der IT-Administration, Version 2019   AdminGrundlagen ServerSicherheit

Michael Prokop erklärt, was bei der Administration wichtig ist. Jeden Aspekt dieses Vortrags kann ich uneingeschränkt bestätigen: https://media.ccc.de/v/glt19-72-best-practices-in-der-it-administration-version-2019

27 <2019-04-18 Thu> Link: Site to Site WireGuard: Part 4 - HTTPS   NetzwerkSicherheit

HTTPS mit dem Caddy Webserver. Ich würde statt des selbst-signierten Zertifikats ein Let's Encrypt ACME Zertifikat benutzen (das kann Caddy richtig gut automatisch), aber die Idee mit dem eigenen URL Shortener ist interessant: https://christine.website/blog/site-to-site-wireguard-part-4-2019-04-16

28 <2019-04-18 Thu> Link: Linux Performance: Why You Should Almost Always Add Swap Space   AdminGrundlagen

Es ist immer eine gute Idee, einem Unix/Linux System Swap- (oder genauer Paging-)Speicher zu geben. Hyden James erzählt warum: https://haydenjames.io/linux-performance-almost-always-add-swap-space/

29 <2019-04-12 Fri> Link: Site to Site WireGuard: Part 3 - Custom TLS Certificate Authority

In diesem Teil der Wireguard Serie geht es um das Erstellen einer eigenen CA: https://christine.website/blog/site-to-site-wireguard-part-3-2019-04-11

30 <2019-04-12 Fri> Link: Vorsicht bei SSH Agent-Forwarding   ServerSicherheit

Ein Angreifer auf einem Jump-Host kann SSH-Verbindungen mit Agent-Vorwarding übernehmen und die SSH-Agent-Forwarding Verbindung benutzen, um sich auf andere System mit den SSH-Schlüsseln des Benutzers einloggen: https://defn.io/2019/04/12/ssh-forwarding/ Alternativen sind ProxyCommand oder ProxyJump.

31 <2019-04-10 Wed> Link: Site to Site WireGuard: Part 2 - DNS   DNS NetzwerkSicherheit

Im zweiten Teil der vierteiligen Blog-Artikel-Reihe über Wireguard VPN schreibt Christine Dodrill über ihr DNS-Setup für das Wireguard VPN. Ich kann als DNS-Resolver mit DNS-over-TLS und Ad-Blocking Funktion veild (https://github.com/jamesduncombe/veild) empfehlen: https://christine.website/blog/site-to-site-wireguard-part-2-2019-04-07

32 <2019-04-03 Wed> Link: Millions of Binaries Later: a Look Into Linux Hardening in the Wild   ServerSicherheit

Capsule8 hat die Härtung von Linux-Programmen (RelRo, Stack-Canaries, ASLR etc) über verschiedene Linux-Distributionen analysiert: https://capsule8.com/blog/millions-of-binaries-later-a-look-into-linux-hardening-in-the-wild/

33 <2019-04-03 Wed> DNS-over-QUIC (DoQ) Proxy   DNS

QUIC ist das neue Transport-Protokoll, welches angetreten ist um TCP abzulösen. Es gibt in der IETF erste Diskussionen, auch DNS über QUIC zu transportieren. DNS-Dienstleister NSONE hat einen (experimentellen, Proof-of-Concept) Proxy für DNS-over-QUIC erstellt, mit dem dieses neue DNS-Transportprotokoll getestet werden kann: https://github.com/ns1/doq-proxy

34 <2019-04-03 Wed> Link: Site-to-Site VPN mit Wireguard, Teil 1   Netzwerksicherheit

Christine Dodrill beschreibt wie mit dem VPN-Protokoll Wireguard eine abgesicherte Verbindung zwischen zwei Netzwerken eingerichtet werden kann: https://christine.website/blog/site-to-site-wireguard-part-1-2019-04-02

35 <2019-03-15 Fri> More than you really wanted to know about patch

Patch ist ein wichtiges Werkzeug, nicht nur für Software-Entwickler. Wie es dazu kam, und wie es funktioniert erklärt http://lists.landley.net/pipermail/toybox-landley.net/2019-January/010049.html

36 <2019-03-15 Fri> Podcast: Damals(TM) - Linuxkernel

Unterhaltsamer Rückblick auf die frühen Tage der Entwicklung des Linux-Kernels https://damals-tm-podcast.de/index.php/2015/10/15/dtm_016_linuxkernel/

37 <2019-01-10 Thu> "The Dark Side of the ForSSHe" - Studie zu SSH Backdoors   Serversicherheit

Die Sicherheitsfirma ESET hat eine Studie zu Backdoors (versteckte Hintertüren in SSH-Software, eingebaut durch Computer-Einbrecher) veröffentlicht: https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf

38 <2019-01-09 Wed> Eine Menge Sicherheitsprobleme in DHCP Clients   DHCP Netzwerksicherheit

Felix Wilhelm hat sich die Sicherheit von DHCP Client Programmen unter Linux angeschaut (dnsmasq, ISC dhclient, systemd-networkd) und einige kritische Sicherheitsfehler gefunden (inkl. Remote-Execution über das Netzwerk) https://conference.hitb.org/hitbsecconf2018dxb/materials/D2T1%20-%20DHCP%20is%20Hard%20-%20Felix%20Wilhelm.pdf

39 <2019-01-09 Wed> BASH Shell Version 5.0 erschienen   AdminGrundlagen

Die Entwickler der BASH (Bourne Again Shell) haben Version 5 dieser populären Shell veröffentlicht: https://lists.gnu.org/archive/html/bug-bash/2019-01/msg00063.html

40 <2019-01-09 Wed> TLS x509 Zertifikate für "localhost"   Netzwerksicherheit

Web-Entwickler stehen oft vor dem Problem, das moderne Web-Anwendungen per HTTPS (TLS) abgesichert sind, aber TLS-Zertifikate für eine lokales Entwicklungs-Setup unter "localhost" nicht zu bekommen und auch nicht so einfach zu erstellen sind. Googles Crypto-Experte Filippo Valsorda hat mit mkcert ein kleines Tool entwickelt, welches für eine solche lokale Entwicklungsumgebung auf "localhost" ein TLS-Zertifikat erstellt: https://blog.filippo.io/mkcert-valid-https-certificates-for-localhost/

41 <2019-01-09 Wed> DNS-over-TLS mit OPNSense   DNS Netzwerksicherheit

Staf Wagemakers erklärt in seinem Blog wie DNS-over-TLS im Unbound der populäeren Firewall-Appliance OPNSense aktiviert werden kann. https://stafwag.github.io/blog/blog/2018/12/09/configure-dns-tls-on-opnsense/ Ich empfehle in einer DNS-over-TLS Konfiguration möglichst viele DNS-over-TLS Forwarder einzutragen, um die Anfragen auf eine grosse Anzahl von DNS-Resolvern zu verteilen. Unter https://doh.defaultroutes.de sammle ich informationen über DNS-over-TLS und DNS-over-HTTPS Implementationen. In der c't 2/2019 gibt es einen Artikel von mir zum Thema DNS-over-TLS und DNS-over-HTTPS unter Linux/BSD, macOS und Windows https://www.heise.de/select/ct/2019/02/1546757183804281

42 <2018-12-22 Sat> Checksec   Netzwerksicherheit

Das Script checksec prüft unter Linux bei Programmdateien die zur Übersetzungszeit eingeschalteten Sicherheitsfunktionen wie PIE, RELRO, PaX, Canaries, ASLR, Fortify Source: https://github.com/slimm609/checksec.sh

43 <2018-11-21 Wed> Video "DNS Transport Security in Debian"   DNS Netzwerksicherheit

Eric Dorland, Debian Maintainer des dnscrypt-proxy, gibt eine Übersicht der neuen verschlüsselten DNS-Transport-Optionen: https://youtu.be/D_qXbbve9Pk

44 <2018-11-18 Sun> Video "My crush on GNU Guix"   AdminGrundlagen

Declarative Linux-Distributions wie Guix oder NixOS sind interessante Alternativen zu etablierten Linux-Distributionen. Vagrant Cascadian stellt Guix auf der DebConf 18 vor und vergleicht Guix mit Debian: https://www.youtube.com/watch?v=N2XS92qrLUc

45 <2018-10-12 Fri> DNS-over-HTTPS erklärt   DNS

Geoff Huston erklärt im APNIC Blog, was DNS-over-HTTPS ist und wie es funktioniert: https://blog.apnic.net/2018/10/12/doh-dns-over-https-explained/

46 <2018-10-08 Mon> Video: Portable Services are Ready to Use   AdminGrundlagen ServerSicherheit

Lennart Poettering stellt portable Dienste in Systemd vor (eine Kombination von System-Diensten und Container: Resources + Integration + Sandboxing): https://media.ccc.de/v/ASG2018-200-portable_services_are_ready_to_use

47 <2018-10-08 Mon> Video: Systemd in 2018   AdminGrundlagen

Lennart Poettering stellt die Neuigkeiten in neuen Systemd-Versionen vor: https://media.ccc.de/v/ASG2018-230-systemd_in_2018

48 <2018-10-08 Mon> Link: Systems Monitoring: top vs Htop vs Glances   AdminGrundlagen

Mark Litwintschik vergleicht drei populäre Linux Werkzeuge zur Anzeige der Systemauslastung (top, htop, glances) http://tech.marksblogg.com/top-htop-glances.html

49 <2018-10-06 Sat> Podcast: Chaosradio 250 zum Thema "DNS"   DNS

Der einzigartige Lutz Donnerhacke erklärt im Chaosradio 250 wie das DNS entstanden ist, wie DNSSEC funktioniert und was beim KSK Rollover am 11. Oktober 2018 passiert. Hörenswert: https://chaosradio.ccc.de/cr250.html

50 <2018-10-06 Sat> Link: Should I block ICMP?   NetzwerkSicherheit

Die Antwort ist nein: http://shouldiblockicmp.com/

51 <2018-10-01 Mon> Link: A Short History of Chaosnet   DNS

Wer schon immer mal wissen, woher die Chaos (CH) Netzklasse kommt, findet im Blog von Two-Bit History eine Antwort: https://twobithistory.org/2018/09/30/chaosnet.html

52 <2018-10-01 Mon> Link: OpenBSD's unveil()   ServerSicherheit

Linux Weekly News hat einen Artikel über den neuen OpenBSD unveil syscall:

OpenBSD is gaining a base level of protection against unintended program behavior; while it is arguably possible to protect a Linux system to a much greater extent, the complexity of the mechanisms involved keeps that from happening in a lot of real-world deployments.

There is a certain kind of virtue to simplicity in security mechanisms.

Stimme ich 100% zu: https://lwn.net/Articles/767137/

53 <2018-09-18 Tue> Link: PacketWhisper   DNS NetzwerkSicherheit

Daten über DNS aus einem Netzwerk versteckt ausleiten, ohne eine Domain oder einen DNS-Server kontrollieren zu müssen: https://github.com/TryCatchHCF/PacketWhisper

54 <2018-09-18 Tue> Link: Insufficiently known POSIX shell features   AdminGrundlagen

Wichtige Tricks für die portable Shell-Programmierung: https://apenwarr.ca/log/20110228

55 <2018-09-18 Tue> Link: Anatomy of a Linux DNS Lookup – Part V – Two Debug Nightmares   DNS

56 <2018-09-18 Tue> Link: Actually, DMARC works fine with mailing lists   DNS  NetzwerkSicherheit

DMARC setzt eine Richtlinie für SPF und DKIM. Während E-Mail über Mailinglisten bei SPF scheitern, so kann DKIM und damit auch DMARC mit Mailinglisten gut funktionieren: https://begriffs.com/posts/2018-09-18-dmarc-mailing-list.html

57 <2018-09-04 Tue> Video: IPSec und IKE Tutorial (LibreSWAN)   Netzwerksicherheit

Ein Tutorial-Video von Paul Wouters und Sowmini Varadhan zeigt, das IPSec unter Linux einfacher als sein Ruf ist: https://www.youtube.com/watch?v=7oldcYljp4U

58 <2018-08-29 Wed> Link: Firefox Nightly Secure DNS Experimental Results   DNSSicherheit

Mozilla hat die Resultate des DNS-over-HTTPS Experiments im Firefox Nightly veröffentlicht: https://blog.nightly.mozilla.org/2018/08/28/firefox-nightly-secure-dns-experimental-results/

59 <2018-08-26 Sun> Vortragsfolien und Video: "Huch, mein DNS ist verschwunden …"   DNSSicherheit

Die Folien meines Vortrags auf der FrOSCon 13 in der HTML-Version: https://doh.defaultroutes.de und das Video von der FrOSCon 2018: https://media.ccc.de/v/froscon2018-2171-huch_mein_dns_ist_verschwunden

60 <2018-08-24 Fri> Notiz: Der RSS-Feed dieses Blogs war kaputt

Das Problem sollte nun behoben sein, die RSS-GUIDs sollten nun eindeutig sein. Sorry für die doppelten Einträge in euren RSS-Feed-Readern.

61 <2018-08-24 Fri> Link: grep your way to freedom   LinuxGrundlagen

Was passiert, wenn die Ausgabe von grep gleichzeitig wieder in die Datei geschrieben wird, von der grep liest? Die Antwort ist spannend: https://anniecherkaev.com/grep-your-way-to-freedom

62 <2018-08-24 Fri> Link: Remove sensitive information from email headers with postfix   NetzwerkSicherheit

Mail-Clients und -Server schreiben Informationen in die Header einer E-Mail, welche zum Teil sensible Informationen über die intere Infrastruktur nach aussen liefern (z.B. interne IP-Adresse, Produktinformationen und Version des verwendeten Mail-Clients). Diese Header lassen sich im Postfix-Mailserver ausfiltern, bevor die Mail das eigene Netz verlässt: https://major.io/2013/04/14/remove-sensitive-information-from-email-headers-with-postfix/

63 <2018-08-24 Fri> Link: Understanding memory information on Linux systems

Eine sehr detailierte Übersicht über Möglichkeiten, unter Linux einen Einblick in das Speicher-Management von Kernel und Anwendungen zu bekommen: https://linux-audit.com/understanding-memory-information-on-linux-systems/

64 <2018-08-24 Fri> Link: Beyond LLMNR/NBNS Spoofing – Exploiting Active Directory-Integrated DNS   DNSSicherheit

Nicht allen Admins ist bewusst, das es neben DNS auf Windows Systemen noch andere Namensauflösungsprotokolle gibt. Wer diese Protokolle ignoriert, schafft ggf. Sicherheitsprobleme. Dieser Blog-Artikel spricht über die Gefahren von LLMNR und NBNS: https://blog.netspi.com/exploiting-adidns/

65 <2018-08-24 Fri> Link: Ghost in the Shell   LinuxGrundlagen

Eine Serie von Blog-Posts über das effiziente Arbeiten auf der Kommandozeile

66 <2018-08-07 Tue> Link: Where Vim Came From   LinuxGrundlagen

Two-Bit History erzählt die Geschichte des vim Editors, über die Stationen QED, ed, em, ex, vi, STEVIE zu vim: https://twobithistory.org/2018/08/05/where-vim-came-from.html

67 <2018-08-07 Tue> Link: Anatomy of a Linux DNS Lookup – Part IV   DNS

Teil 4 der Serie beschäftigt sich mit DNS und Docker/Kubernetes und DNS: https://zwischenzugs.com/2018/08/06/anatomy-of-a-linux-dns-lookup-part-iv/

68 <2018-08-07 Tue> Video: Benno Rice: The Tragedy of systemd   AdminGrundlagen

Eine Betrachtung von systemd aus der Perspektive eines BSD Benutzers. Ein sehr guter Vortrag: https://youtu.be/6AeWu1fZ7bY

69 <2018-08-05 Sun> Wie böse ist Mozillas DNS-over-HTTP(S)?   DNS

Fefe hat ein Medienkompetenztraining zum Thema "DNS-over-HTTPS in Firefox Browser" mittels eines Links auf einen leider schlecht recherchierten Blog Artikel (Mozilla's new DNS resolution is dangerous) angestoßen. Hier meine Fragestellungen für den Benutzer/Admin/Nerd mit offenen Verstand:

  • plant Mozilla diese Funktion wie sie jetzt im Test ist für alle Benutzer einzuschalten? (siehe Update unten im Blog von ungleich.ch)?
  • mag es Netze/Länder/ISPs geben, bei denen eine DNS-Auflösung über Cloudflare das kleinere Übel ist?
  • wenn doch Mozilla jetzt mit dieser Funktion alle Nutzer der NSA via Cloudflare an das Messer liefert, warum diskutieren Mozilla Mitarbeiter über Ideen und Wege, DoH zu dezentraliseren (IETF 102 DRIU Sitzung -> https://www.youtube.com/watch?v=cfEX8zuoRAA)?

70 <2018-07-31 Tue> Link: Containers vs. Operating Systems   AdminGrundlagen

oder mehr genauer 'Containers vs Linux-Distributions': in einem Blog Post betrachtet Dave Cheney die Auswirkungen des Container-Image-Software Ökosystems auf die Welt der Linux-Distributionen: https://dave.cheney.net/2018/01/16/containers-versus-operating-systems Meine Sicht: Auch Container-Images werden in Resositories gehalten. Red Hat bietet schon ein Docker-Repository an. Linux Distributionen werden Software wahlweise als Pakete oder Container-Images anbieten (als Docker, Flatpak, Snap etc).

71 <2018-07-31 Tue> Tool: Cert - ein kleines Kommandozeilentool um TLS x509 Zertifikate zu prüfen   NetzwerkSicherheit

cert (Source Code auf https://github.com/genkiroid/cert) prüft die Gültigkeit von x509 Zertifikaten von TLS Webservern (HTTPS) von der Kommandozeile:

  % ~/go/bin/cert blog.defaultroutes.de
DomainName: blog.defaultroutes.de
IP:         5.45.107.88
Issuer:     Let's Encrypt Authority X3
NotBefore:  2018-07-15 10:18:16 +0200 CEST
NotAfter:   2018-10-13 10:18:16 +0200 CEST
CommonName: blog.defaultroutes.de
SANs:       [blog.defaultroutes.de]
Error:

Neben dem Standard-Ausgabe-Format unterstützt cert auch Markdown und JSON. JSON ist interessant, um x509 Zertifikate automatisch zu prüfen:

% ~/go/bin/cert -f json blog.defaultroutes.de | jq
[
  {
    "domainName": "blog.defaultroutes.de",
    "ip": "5.45.107.88",
    "issuer": "Let's Encrypt Authority X3",
    "commonName": "blog.defaultroutes.de",
    "sans": [
      "blog.defaultroutes.de"
    ],
    "notBefore": "2018-07-15 10:18:16 +0200 CEST",
    "notAfter": "2018-10-13 10:18:16 +0200 CEST",
    "error": ""
  }
]

72 <2018-07-30 Mon> Link: Decoding TLS using sslkeylogfile   Netzwerksicherheit

Manchmal ist es notwendig, TLS Verbindungen zur Fehlersuche mitzuschneiden. Normalerweise können per TLS verschlüsselte Daten nicht gelesen werden, es sei denn, man bekommt die benutzten Schlüssel vom TLS Client Programm geliefert. Shane M. Hansen zeigt in https://whitane.com/post/decoding-tls-with-sskleylogfile/, wie der Administrator die Schlüssel aus der Anwendung lesen kann (Die Sicherheit von TLS wird hier nicht beeinträchtigt, nur der Benutzer oder der Administrator des lokalen Systems kann die Schlüssel aus den Anwendungen herauslesen)

73 <2018-07-30 Mon> Link: NeverSSL   NetzwerkSicherheit

Viele WLAN CaptivePortal fangen die erste HTTP(S) Verbindung aus dem Browser ab und leiten diese auf einen internen Webserver des Portals um. Dies funktioniert bei HTTPS/TLS abgesicherten Seiten oft nicht, in der Zunkuft mit TLS 1.3 wird es immer weniger funktionieren. Aber Captive Portals wird es auch in Zukunft (leider) noch länger geben. Die Seite http://neverssl.com/ bietet eine Lösung, diese Seite wird garantiert nie per TLS abgesichert werden. Um dem Captive Portal keine sensiblen Daten durch die URL preiszugeben, sollte http://neverssl.com als erste Seite im Captive-Portal aufgerufen werden, um danach die Einlog-Seite des Portals zu bekommen.

74 <2018-07-30 Mon> Link: Understanding Standard Input and Output   LinuxGrundlagen

Preslav Mihaylov erklärt die Standard Ein- und Ausgabe in Unix/Linux Systemen http://pmihaylov.com/standard-io/

75 <2018-07-07 Sat> Tool: lsofgraph   AdminGrundlagen

lsofgraph erstellt eine grafische Übersicht des Prozess-Baums eines Linux/Unix Systems aus der Textausgabe des lsof (List Open Files) Befehls: https://github.com/zevv/lsofgraph

76 <2018-07-07 Sat> Link: Anatomy of a Linux DNS Lookup - Part III   DNS

Der dritte Teil schaut auf Networkmanager und dnsmasq als DNS-Resolver: https://zwischenzugs.com/2018/07/06/anatomy-of-a-linux-dns-lookup-part-iii/

77 <2018-06-19 Tue> Link: Anatomy of a Linux DNS Lookup – Part II   DNS

78 <2018-06-18 Mon> Link: Anatomy of a Linux DNS Lookup – Part I   DNS

Was alles passiert, wenn unter Linux eine Anwendung einen Domain-Namen in eine IP-Adresse auflösen möchte: https://zwischenzugs.com/2018/06/08/anatomy-of-a-linux-dns-lookup-part-i/

79 <2018-06-18 Mon> Link: What does {some strange unix command name} stand for?   AdminGrundlagen

Woher kommen einige der komischen Namen von Unix-Kommandos? http://www.unixguide.net/unix/faq/1.3.shtml

80 <2018-06-01 Fri> Link: Mozilla Hacks - A cartoon intro to DNS over HTTPS   DNSSicherheit

Eine sehr gute Beschreibung der Privatsphäre-Probleme von DNS, und wie DNS-over-HTTPS diese Lösen kann: https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/

81 <2018-06-01 Fri> Link: The real power of Linux executables   AdminGrundlagen

Dieser Blog-Post beschreibt, wie Linux ausführbare Programme behandelt, und wie man transparent unter Linux MS-DOS, Windows, Python und andere Programme starten kann: https://ownyourbits.com/2018/05/23/the-real-power-of-linux-executables/

82 <2018-05-27 Sun> NeoPG - eine moderne OpenPGP Implementation

und eine Alternative zu gpg2. Nicht das gpg2 schlecht ist, aber eine Wahlmöglichkeit ist immer gut: https://neopg.io/

83 <2018-05-27 Sun> Link: Windows 10 OpenSSH Client Installed by Default in April 2018 Update   AdminGrundlagen

84 <2018-05-25 Fri> Link: Chmod and the mysterious first octet   AdminGrundlagen

Informationen über die ersten Bits beim chmod Befehl: https://major.io/2007/02/13/chmod-and-the-mysterious-first-octet/

85 <2018-05-25 Fri> Link: A Tutorial on Portable Makefiles   AdminGrundlagen

Chris Wellons bespricht wie portable Makefiles erstellt werden, welche nicht nur unter Linux sonder auf allen POSIX-kompatiblen Systemen (BSD etc) funktionieren http://nullprogram.com/blog/2017/08/20/

86 <2018-05-25 Fri> Free Software Needs Free Tools   LinuxGrundlagen

87 <2018-05-08 Tue> Video: Wireguard - Fast, Modern, Secure VPN Tunnel   NetzwerkSicherheit

Video vom Easterhegg 2018 über eine moderne VPN Software, mit Beispielen zum Einsatz von Netzwerk-Namespaces unter Linux: https://media.ccc.de/v/BFFC3X

88 <2018-05-07 Mon> Vortschrittsanzeige bei "dd" und anderen Werkzeugen

Unter Red Hat 7.4+ (und anderen modernen Linux-Versionen)funktioniert

dd if=/dev/zero of=/srv/file count=1000 bs=1M status=progress

per "pipeview (pv)" lässt sich ähnliches erreichen

apt install pv   # pipeview
dd if=/dev/zer count=1000 bs=1M | pv > /srv/file

Und neu gelernt (aus dem vorherigen Video-Link):

apt install progress
dd if=/dev/zero of=/tmp/zero & progress -wm

89 <2018-05-07 Mon> Video: Easterhegg 2018 - Moderne Kommandozeilen Werkzeuge

Man kann auf der Kommandozeile nie auslernen: https://media.ccc.de/v/9GNFG3

90 <2018-05-07 Mon> Link: Understanding the Limitations of HTTPS   Netzwerksicherheit

Die Feinheiten der Sicherheit des HTTPS/TLS Protokolls: https://textslashplain.com/2018/02/14/understanding-the-limitations-of-https/

91 <2018-04-30 Mon> Link: Android 9/"P" unterstützt DNS-over-TLS   DNSSicherheit

Die kommende Android-Version kann die DNS-Kommunikation zum DNS-Resovler verschlüsseln und den DNS-Resolver per Zertifikat authentisieren: https://security.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html

92 <2018-04-30 Mon> Link: Vorsicht beim "XZ" Archivformat   AdminGrundlagen

Das weitverbreitete Kompressionsformat "XZ" hat einige technische Probleme welche die Eignung als Archiv-Dateiformat in Frage stellen https://www.nongnu.org/lzip/xz_inadequate.html

93 <2018-04-30 Mon> die Instanz eines öffentlichen DNS-Resolvers herausfinden   DNS

Die grossen öffentlichen DNS-Resolver (Cloudflare/APNIC 1.1.1.1, Quad9 9.9.9.9 und Google Public DNS 8.8.8.8) sind als Anycast-Dienst realisiert. Bei der Fehlersuche ist es u.U. interessant, vom welchem Server in welchem Rechenzentrum die DNS-Anfragen bearbeitet werden. Mittels DNS-Anfragen können diese Informationen abgefragt werden:

  • Cloudflare:
dig -c CH -t txt id.server +short @1.1.1.1
  • Quad9:
dig -c CH -t txt id.server +short @9.9.9.9
  • Google Public DNS:

https://mailman.nanog.org/pipermail/nanog/2017-August/092036.html

94 <2018-03-22 Thu> Link: Unix folklore: using multiple sync commands

Der Unix sync Befehl, Gestern und Heute https://utcc.utoronto.ca/~cks/space/blog/unix/TheLegendOfSync

95 <2018-03-22 Thu> Link: Notes for new Make users   LinuxGrundlagen

96 <2018-03-22 Thu> Link: KPTI KAISER Meltdown Initial Performance Regressions   ServerSicherheit

Brendan Gregg gibt Tipps, wie die Performance-Verlust durch Meltdown/Spectre Patches vor dem Einspielen der Patches abgeschätzt werden kann http://www.brendangregg.com/blog/2018-02-09/kpti-kaiser-meltdown-performance.html

97 <2018-02-28 Wed> RFC 8314 "Cleartext Considered Obsolete: Use of Transport Layer Security (TLS) for Email Submission and Access"   NetzwerkSicherheit

E-Mail soll nur noch TLS verschlüsselt übertragen werden: https://tools.ietf.org/html/rfc8314

98 <2018-02-28 Wed> Link: Why we need to do more to reduce certificate lifetimes   NetzwerkSicherheit

Scott Helme erklärt warum kurze Lebenszeiten von x509 TLS Zertifikaten sinnvoll sind: https://scotthelme.co.uk/why-we-need-to-do-more-to-reduce-certificate-lifetimes/

99 <2018-02-07 Wed> Video (FOSDEM): Eine Übersicht zum Thema DNS Privacy "DNS privacy, where are we?"   DNS

Stéphane Bortzmeyer gibt eine Übersicht zum derzeitigen Status der DNS Privacy Erweiterungen zum DNS Protokoll: https://video.fosdem.org/2018/AW1.121/dns_privacy.webm

100 <2018-02-06 Tue> Link: Introduction to POSIX shell

Leider werden viele Shell-Skripte unter Linux nur mit der BASH (Bourne Again Shell) getestet, sind dann aber nicht portable auf andere Systeme ohne BASH. Dieser Blog-Post beschreibt die Problematik und gibt Informationen wie man portable Shell Skripte erstellt: https://sircmpwn.github.io/2018/02/05/Introduction-to-POSIX-shell.html (ich benutze, auch unter Linux, die POSIX Shell kompaible MirBSD Shell mksh https://www.mirbsd.org/mksh.htm)

101 <2018-02-05 Mon> Video (FOSDEM): Living on the Edge   DNS

Willem Toorop (NLnet Labs) talks about GetDNSApi and the new DNS APIs for operating system stub resolvers: https://video.fosdem.org/2018/AW1.121/dns_living_on_the_edge.webm

102 <2018-02-05 Mon> Video (FOSDEM): BIND 9 Past, Present, and Future   DNS

Presentation by Ondřej Surý from ISC about the new features in BIND 9.12 and the new release structure for BIND 9 in the future: https://video.fosdem.org/2018/AW1.121/dns_bind9_past_present_future.webm

103 <2018-02-05 Mon> Inverse Farben auf der Linux Konsole   AdminGrundlagen

Auf einem Projektor sind die Standardfarben der Linux-Konsole nur schwer lesbar (Weiss auf Schwarz). Diese Farben können mit dem Befehl

setterm -inv on

getauscht werden (Schwarz auf Weiss). Mit dem Befehl setterm können sowohl Vordergrund- sowie die Hintergrund-Farbe der Linux-Konsole angepasst werden (Dank an Stefan Miethke für diesen Tipp).

104 <2018-02-02 Fri> Video Link: QUIC: Replacing TCP for the Web   NetzwerkSicherheit

QUIC, ein auf UDP aufsetzenes Protokoll von Google wird derzeit in der IETF standardisiert. Dieser Vortrag erklärt das Protokoll und zeigt die Vorteile von QUIC+HTTP/2 gegenüber traditionellem TCP+HTTP: https://www.youtube.com/watch?v=BazWPeUGS8M

105 <2018-02-01 Thu> Video Link: The State of Kernel Self-Protection   ServerSicherheit

Kees Cook gibt eine Übersicht der neuen Sicherheitsfunktionen in modernen Linux-Kerneln https://www.youtube.com/watch?v=bFe9R65VnAw

106 <2018-01-15 Mon> Buchempfehlung: "Learn BASH the Hard Way" von Ian Miell   AdminGrundlagen

Ein kleines eBook publiziert bei LeanPub, nicht zu teuer, nicht zu dick, ideal für Admins für den Einstieg in die Shell-Benutzung mit BASH https://leanpub.com/learnbashthehardway

107 <2018-01-03 Wed> Link: In defence of swap: common misconceptions   AdminGrundlagen

Ein schöner und informativer Artikel über Swap (oder korrekter "paging") unter Linux (und Unix) und warum jeder Linux-Rechner Swap-Speicher haben sollte (egal wieviel physischer Hauptspeicher vorhanden ist): https://chrisdown.name/2018/01/02/in-defence-of-swap.html

108 <2018-01-02 Tue> GUIs für Systemd   AdminGrundlagen

Ein frohes neues Jahr 2018. Wer Systemd nicht (immer) auf der Kommandozeile administrieren möchte, findet im Netz einige GUI Werzeuge:

109 <2017-12-29 Fri> Zwei neue IPv6 RFCs   IPv6

Im Dezember sind zwei neue interessante RFCs zu IPv6 veröffentlicht worden:

109.1 RFC 8273 Unique IPv6 Prefix per Host

This document outlines an approach utilizing existing IPv6 protocols to allow hosts to be assigned a unique IPv6 prefix (instead of a unique IPv6 address from a shared IPv6 prefix). Benefits of using a unique IPv6 prefix over a unique service-provider IPv6 address include improved host isolation and enhanced subscriber management on shared network segments.

https://www.rfc-editor.org/rfc/rfc8273.txt

109.2 RFC 8305 Happy Eyeballs Version 2: Better Connectivity Using Concurrency

Many communication protocols operating over the modern Internet use hostnames. These often resolve to multiple IP addresses, each of which may have different performance and connectivity characteristics. Since specific addresses or address families (IPv4 or IPv6) may be blocked, broken, or sub-optimal on a network, clients that attempt multiple connections in parallel have a chance of establishing a connection more quickly. This document specifies requirements for algorithms that reduce this user-visible delay and provides an example algorithm, referred to as "Happy Eyeballs". This document obsoletes the original algorithm description in RFC 6555.

https://www.rfc-editor.org/rfc/rfc8305.txt

110 <2017-12-29 Fri> Link: SSH Security and You - /bin/false is not security   ServerSicherheit

In diesem älterem Blog-Post zeigt Jordan Sissel einige potentielle Sicherheitslücken rund um den Gebruauch von /bin/false als Shell um interaktive Logins zu verhindern: http://www.semicomplete.com/articles/ssh-security/

111 <2017-12-29 Fri> Link: Let's hand write DNS messages   DNS

James Routley beschreibt das Paketformat von DNS-Nachrichten und zeigt, wie DNS-Nachrichten in Python gebaut, verschickt und die Antworten vom Server wieder gelesen werden können https://routley.io/tech/2017/12/28/hand-writing-dns-messages.html

112 <2017-12-28 Thu> Link: Why TLS 1.3 isn't in browsers yet   NetzwerkSicherheit

Nick Sullivan von Cloudflare blickt auf die Probleme, ein neues Sicherheitsprotokoll im Internet einzuführen https://blog.cloudflare.com/why-tls-1-3-isnt-in-browsers-yet/

113 <2017-12-21 Thu> Link: TOR-Dienst unter Fedora mit SELinux   ServerSicherheit

114 <2017-12-21 Thu> Link: netstat ohne netstat   AdminGrundlagen

wie Information über aktuelle TCP und UDP Verbindungen aus dem /proc Dateisystem gelesen werden kann https://staaldraad.github.io/2017/12/20/netstat-without-netstat/

115 <2017-12-19 Tue> Link: Use pax   AdminGrundlagen

pax ist eine Alternative zum tar-Befehl, pax ist einfacher zu bedienen: http://dpk.io/pax

116 <2017-12-19 Tue> Link: Simplify Your Life With an SSH Config File   ServerSicherheit AdminGrundlagen

117 <2017-12-19 Tue> Link: "ACL: Using Access Control Lists on Linux"   AdminGrundlagen

A tutorial showing how to enable Linux Access Control Lists as well as how to use ACL's to go beyond basic permissions http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/

118 <2017-12-19 Tue> Systemd-resolved kann Dienste per mDNS DNS-SD bereitstellen   DNS AdminGrundlagen

Systemd-resovled ab der Version 236 kann Netzwerkdienste per Multicast-DNS Service-Discovery bereitstellen. Hierzu wird pro Dienst eine .dnssd-Datei in das Verzeichnis /etc/systemd/dnssd/ gelegt.

119 <2017-12-19 Tue> Systemd-resolved validiert DNSSEC signaturen mit ED25519 Schlüsseln   DNSSEC

Version 236 des Systemd-Resolved Dienstes implementiert RFC 8080 "Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC" https://tools.ietf.org/html/rfc8080

120 <2017-12-19 Tue> Systemd-Networkd v263 kann DNS-Informationen über IPv6 Router-Advertisement verteilen   IPv6 DNS AdminGrundlagen

Systemd-Networkd implementiert RFC 8106 "IPv6 Router Advertisement Options for DNS Configuration" um DNS-Resolver und die lokale Domain an Client-Systeme zu verteilen https://tools.ietf.org/html/rfc8106

121 <2017-12-19 Tue> Dynamische Stub-Resolver Konfiguration in Systemd v236   AdminGrundlagen DNS

Systemd-Resolved erstellt eine dynamische Strub-Resolver-Konfiguration unter /run/systemd/resolve/stub-resolv.conf. Die Datei /etc/resolv.conf kann per Symlink auf diese Datei verweisen. Die Suchlisten-Definition in dieser Datei wird von Systemd verwaltet. https://github.com/systemd/systemd/blob/master/NEWS

122 <2017-12-19 Tue> Gobuster   ServerSicherheit DNSSicherheit

Brute-Force Suche von Domain-Namen und Pfaden in Web-URIs https://github.com/OJ/gobuster

123 <2017-12-19 Tue> Exploiting Windows 10 in a Local Network with WPAD/PAC and JScript   DNSSicherheit DHCP

Google "Project Zero" hat praktische Angriffe auf die JavaScript-Implementierung für WPAD, "Web Proxy Autodiscovery Protocol", nachgewiesen. Ein WPAD-Domain-Name für die eigene Domain im DNS-Resolver, und einen eigenen WPAD-DHCP-Eintrag kann die Ausnutzung dieser Sicherheitslücken erschweren. https://googleprojectzero.blogspot.de/2017/12/apacolypse-now-exploiting-windows-10-in_18.html

124 <2017-12-18 Mon> Twitter Fund   LinuxAdminGrundlagen

Print the first 5 log lines from each day in syslog

awk 'a[$1 $2]++ < 5' /var/log/syslog

Quelle: https://twitter.com/climagic/status/915656462772445185

125 <2017-12-01 Fri> Video: "systemd @ Facebook — a year later":   RedHatUpdate

wie Facebook intern Systemd auf CentOS 7 benutzt https://media.ccc.de/v/ASG2017-126-systemd_facebook_a_year_later#video&t=454

126 <2017-11-02 Thu> Video: Insecure Containers?   ServerSicherheit RedHatUpdate

übersicht Sicherheit in Linux-Containern: https://media.ccc.de/v/ASG2017-160-insecure_containers

127 <2017-10-30 Mon> Video: Wie die Intel ME und UEFI ersetzt werden kann   ServerSicherheit

Replace Your Exploit-Ridden Firmware with Linux - Ronald Minnich, Google https://youtu.be/iffTJ1vPCSo

128 <2017-10-19 Thu> DTACH - ein kleines Unix Werkzeug um Prozesse von der Terminalsitzung unabhängig zu machen   AdminGrundlagen

dtach implementiert die Detach Funktion aus screen, aber nur diese https://github.com/crigler/dtach

129 <2017-10-18 Wed> Internet-Draft: A Method for Web Security Policies   ServerSicherheit NetzwerkSicherheit

per Datei security.txt auf einem Webserver kann der Besitzer der Webseite die Sicherheits-Policy publizieren, u.a. über welche Kommunikations-Kanäle die Entdecker eine Sicherheitslücke mit dem Besitzer des Webserver/der Webseite Kontakt aufnehmen können: https://tools.ietf.org/html/draft-foudil-securitytxt

130 <2017-10-17 Tue> Internet-Draft: OpenPGP Web Key Service   ServerSicherheit NetzwerkSicherheit

Den öffentlichen GPG-Schlüssel auf einem Webserver publizieren. Das GPG-Programm kann den Schlüssel dort finden und importieren https://tools.ietf.org/html/draft-koch-openpgp-webkey-service

131 <2017-10-13 Fri> Breaking DKIM - on Purpose and by Chance   dns netzwerksicherheit

Wenn Sicherheitsprotokolle wie DKIM und DMARC nicht sauber implementiert werden, kann dies die Sicherheit des gesamten Systems untergraben: http://noxxi.de/research/breaking-dkim-on-purpose-and-by-chance.html

132 <2017-09-28 Thu> Sicherheitsaudit von drei Unix NTP Diensten   NetzwerkSicherheit

Die Core Infrastructure Intitiative hat ein Sicherheitsaudit von drei Unix/Linux NTP (Network Time Protocol) Programmen finanziert und die Ergebnisse veröffentlicht. Das von RedHat/CentOS benutzte chrony hat sehr gut abgeschnitten: https://www.coreinfrastructure.org/news/blogs/2017/09/securing-network-time

133 <2017-09-25 Mon> Linux/Unix "umask" erklärt   AdminGrundlagen

Ein kleiner Artikel von Networkworld erklärt den Zusammenspiel von umask und den Unix-Dateiberechtigungen: https://www.networkworld.com/article/3224897/linux/whats-behind-the-linux-umask.html

134 <2017-09-24 Sun> Henning Brauer: TCP Synflood und die OpenBSD pf-Firewall   firewall

Video von der BSDCan 2017 Konferenz: https://youtu.be/KuHepyI0_KY

135 <2017-09-06 Wed> Brendan Gregg über Migration von Solaris zu Linux   Linux Solaris

Brendan hat bei SUN am Solaris gearbeitet, und arbeitet nun bei Netflix. Dort benutzt er sowohl BTRFS als auch ZFS unter Linux:

Linux has also been developing its own ZFS-like filesystem, btrfs. Since it's been developed in the open (unlike early ZFS), people tried earlier ("IS EXPERIMENTAL") versions that had serious issues, which gave it something of a bad reputation. It's much better nowadays, and has been integrated in the Linux kernel tree (fs/btrfs), where it is maintained and improved along with the kernel code. Since ZFS is an add-on developed out-of-tree, it will always be harder to get the same level of attention.

We're now testing container hosts in production on btrfs, instead of ZFS. Facebook have been using btrfs for a while in production, and key btrfs developers now work at Facebook and continue its development. There is a btrfs status page, but for the latest in development see btrfs posts to the linux kernel mailing list and btrfs sections on kernelnewbies. It's a bit early for me to say which is better nowadays on Linux, ZFS or btrfs, but my company is certainly learning the answer by running the same production workload on both. I suspect we'll share findings in a later blog post.

Der volle Blog-Post: http://brendangregg.com/blog/2017-09-05/solaris-to-linux-2017.html

136 <2017-08-31 Thu> APNIC unterstützt ISC bei der Implementierung von RFC 8198 für BIND 9

RFC 8198 ist "Aggressive Use of DNSSEC-Validated Cache" https://tools.ietf.org/html/rfc8198. Bei dieser Protokollerweiterung kann ein DNS-Resolver auf Anfragen, welche in den Bereich eines per DNSSEC validierten NSEC- oder NSEC3-Record fallen, direkt eine negative Antwort zurückgeben. Dies stoppt eine grosse Anzahl von fehlerhaften Anfragen an die Root-DNS-Server und TLD-Server. APNIC Blog-Post: https://blog.apnic.net/2017/08/30/dns-root-server-resilience-smarter-way/

137 <2017-08-29 Tue> Empfehlung: Alexander Neumann - Video von der FrosCon 2017: Löschen von Daten auf SSDs   ServerSicherheit

138 <2017-08-26 Sat> Folien zum Vortrag Infosec Stammtisch Münster: "DNS über TLS und andere Entwicklungen aus der IETF"   DNS NetzwerkSicherheit

139 <2017-08-09 Wed> Blogpost "Linux Load Averages: Solving the Mystery"   AdminGrundlagen Performance

Brendan Gregg, DTrace Spezialist und Computer-Performance Experte hat sich die Linux Load-Average Werte genauer angeschaut: was wird gemessen, warum werden die Werte in Linux anders ermittelt als in anderen Unix-Systemen. Und er machte sich auf die Suche nach dem Entwickler, welcher in der Frühzeit der Linux-Entwicklung den Patch für die Ermittlung der Last-Werte abgeändert hatte. Spannend. http://www.brendangregg.com/blog/2017-08-08/linux-load-averages.html

140 <2017-08-04 Fri> Red Hat kündigt Support für das BTRFS-Dateisystem ab   RedHatUpdate

Red Hat hat das BTRFS-Dateisystem in Red Hat EL 7.4 als 'deprecated' (abgekündigt) markiert: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/7.4_Release_Notes/chap-Red_Hat_Enterprise_Linux-7.4_Release_Notes-Deprecated_Functionality.html Damit hat Red Hat für die kommende Enterprise Distribution kein Copy-on-Write Dateisystem im Portfolio.

141 <2017-08-02 Wed> Ein kleines Tutorial zum Thema 'Tor-Onion-Dienste'   ServerSicherheit NetzwerkSicherheit

Am Dienstag habe ich auf dem Linux-Stammtisch in Münster einen kleinen Workshop zum Thema Tor-Onion-Dienste gehalten. Daraus ist eine kleine Anleitung entstanden: http://blog.defaultroutes.de/tor-hidden-service.html

142 <2017-07-28 Fri> Neue BIND 9 Versionen: 9.11.2, 9.10.6, 9.9.11   dns

mit einer Aussicht auf BIND 9.12 https://www.isc.org/blogs/bind-9-11-2/

143 <2017-07-24 Mon> Aufgaben vom Red Hat LinuxAdmin Grundlagen Kurs Juli 2017   AdminGrundlagen

Hier sind die Aufgaben von Donnerstag und Freitag: https://blog.defaultroutes.de/admingrundlagen-juli2017-aufgaben.html

144 <2017-07-24 Mon> Debian 10: tailf, pg, line und andere Tools aus util-linux entfernt   AdminGrundlagen

Schade, tailf habe ich gerne benutzt. Klar, kann man durch ein Shell-Alias ersetzen, aber das muss man für jede Installation erst machen … http://metadata.ftp-master.debian.org/changelogs/main/u/util-linux/util-linux_2.29.2-2_changelog

145 <2017-07-23 Sun> Grundlegende IPv6 RFCs wurden überarbeitet   IPv6 dns

145.1 RFC 8200 "Internet Protocol, Version 6 (IPv6) Specification"

https://www.rfc-editor.org/rfc/rfc8200.txt

Changes Since RFC 2460

This memo has the following changes from RFC 2460.

o Removed IP Next Generation from the Abstract.

o Added text in Section 1 that the data transmission order is the same as IPv4 as defined in RFC 791.

o Clarified the text in Section 3 about decrementing the Hop Limit.

o Clarified that extension headers (except for the Hop-by-Hop Options header) are not processed, inserted, or deleted by any node along a packet's delivery path.

o Changed requirement for the Hop-by-Hop Options header to a "may", and added a note to indicate what is expected regarding the Hop-by-Hop Options header.

o Added a paragraph to Section 4 to clarify how extension headers are numbered and which are upper-layer headers.

o Added a reference to the end of Section 4 to the "IPv6 Extension Header Types" IANA registry.

o Incorporated the updates from RFCs 5095 and 5871 to remove the description of RH0, that the allocations guidelines for routing headers are specified in RFC 5871, and removed RH0 from the list of required extension headers.

o Revised Section 4.5 on IPv6 fragmentation based on updates from RFCs 5722, 6946, 7112, and 8021. This includes:

  • Revised the text to handle the case of fragments that are whole datagrams (i.e., both the Fragment Offset field and the M flag are zero). If received, they should be processed as a reassembled packet. Any other fragments that match should be processed independently. The revised Fragment creation process was modified to not create whole datagram fragments (Fragment Offset field and the M flag are zero).
  • Changed the text to require that IPv6 nodes must not create overlapping fragments. Also, when reassembling an IPv6 datagram, if one or more its constituent fragments is determined to be an overlapping fragment, the entire datagram (and any constituent fragments) must be silently discarded. Includes a clarification that no ICMP error message should be sent if overlapping fragments are received.
  • Revised the text to require that all headers through the first Upper-Layer header are in the first fragment. This changed the text describing how packets are fragmented and reassembled and added a new error case.
  • Added text to the Fragment header process on handling exact duplicate fragments.
  • Updated the Fragmentation header text to correct the inclusion of an Authentication Header (AH) and noted No Next Header case.
  • Changed terminology in the Fragment header section from "Unfragmentable Headers" to "Per-Fragment headers".
  • Removed the paragraph in Section 5 that required including a Fragment header to outgoing packets if an ICMP Packet Too Big message reports a Next-Hop MTU less than 1280.
  • Changed the text to clarify MTU restriction and 8-byte restrictions, and noted the restriction on headers in the first fragment.

o In Section 4.5, added clarification noting that some fields in the IPv6 header may also vary across the fragments being reassembled, and that other specifications may provide additional instructions for how they should be reassembled. See, for example, Section 5.3 of [RFC3168].

o Incorporated the update from RFC 6564 to add a new Section 4.8 that describes recommendations for defining new extension headers and options.

o Added text to Section 5 to define "IPv6 minimum link MTU".

o Simplified the text in Section 6 about Flow Labels and removed what was Appendix A ("Semantics and Usage of the Flow Label Field"); instead, pointed to the current specifications of the IPv6 Flow Label field in [RFC6437] and the Traffic Class field in [RFC2474] and [RFC3168].

o Incorporated the update made by RFC 6935 ("IPv6 and UDP Checksums for Tunneled Packets") in Section 8. Added an exception to the default behavior for the handling of UDP packets with zero checksums for tunnels.

o Added instruction to Section 9, "IANA Considerations", to change references to RFC 2460 to this document.

o Revised and expanded Section 10, "Security Considerations".

o Added a paragraph to the Acknowledgments section acknowledging the authors of the updating documents.

o Updated references to current versions and assigned references to normative and informative.

o Made changes to resolve the errata on RFC 2460. These are:

Erratum ID 2541 [Err2541]: This erratum notes that RFC 2460 didn't update RFC 2205 when the length of the flow label was changed from 24 to 20 bits from RFC 1883. This issue was resolved in RFC 6437 where the flow label is defined. This specification now references RFC 6437. No change is required.

Erratum ID 4279 [Err4279]: This erratum noted that the specification doesn't handle the case of a forwarding node receiving a packet with a zero Hop Limit. This is fixed in Section 3 of this specification.

Erratum ID 4657 [Err4657]: This erratum proposed text that extension headers must never be inserted by any node other than the source of the packet. This was resolved in Section 4, "IPv6 Extension Headers".

Erratum ID 4662 [Err4662]: This erratum proposed text that extension headers, with one exception, are not examined, processed, modified, inserted, or deleted by any node along a packet's delivery path. This was resolved in Section 4, "IPv6 Extension Headers".

Erratum ID 2843: This erratum is marked "Rejected". No change was made.

145.2 RFC 8201 - Path MTU Discovery for IP version 6

https://www.rfc-editor.org/rfc/rfc8201.txt

Changes Since RFC 1981

This document is based on RFC 1981 and has the following changes from RFC 1981:

o Clarified in Section 1, "Introduction", that the purpose of PMTUD is to reduce the need for IPv6 fragmentation.

o Added text to Section 1, "Introduction", about the effects on PMTUD when ICMPv6 messages are blocked.

o Added a "Note" to the introduction to document that this specification doesn't cite RFC 2119 and only uses lower case "should/must" language. Changed all upper case "should/must" to lower case.

o Added a short summary to Section 1, "Introduction", about PLPMTUD and a reference to RFC 4821 that defines it.

o Aligned text in Section 2, "Terminology", to match current packetization layer terminology.

o Added clarification in Section 4, "Protocol Requirements", that nodes should validate the payload of ICMP PTB messages per RFC 4443, and that nodes should detect decreases in PMTU as fast as possible.

o Removed a "Note" from Section 4, "Protocol Requirements", about a Packet Too Big message reporting a next-hop MTU that is less than the IPv6 minimum link MTU because this was removed from [RFC8200].

o Added clarification in Section 5.2, "Storing PMTU Information", to discard an ICMPv6 Packet Too Big message if it contains an MTU less than the IPv6 minimum link MTU.

o Added clarification in Section 5.2, "Storing PMTU Information", that for nodes with multiple interfaces, Path MTU information should be stored for each link.

o Removed text in Section 5.2, "Storing PMTU Information", about Routing Header type 0 (RH0) because it was deprecated by RFC 5095.

o Removed text about obsolete security classification from Section 5.2, "Storing PMTU Information".

o Changed the title of Section 5.4 to "Packetization Layer Actions" and changed the text in the first paragraph to generalize this section to cover all packetization layers, not just TCP.

o Clarified text in Section 5.4, "Packetization Layer Actions", to use normal packetization layer retransmission methods.

o Removed text in Section 5.4, "Packetization Layer Actions", that described 4.2 BSD because it is obsolete, and removed reference to TP4.

o Updated text in Section 5.5, "Issues for Other Transport Protocols", about NFS, including adding a current reference to NFS and removing obsolete text.

o Added a paragraph to Section 6, "Security Considerations", about black-hole connections if PTB messages are not received and comparison to PLPMTUD.

o Updated "Acknowledgements".

o Editorial Changes.

146 <2017-07-21 Fri> LWN: Rethinking the Stack Clash fix   ServerSicherheit

Neue Informationen über das Stack-Clash Sicherheitsproblem in Linux und Versuche, das Problem zu lösen https://lwn.net/Articles/727703/

147 <2017-07-20 Thu> Das Team von GnuPG sucht Sponsoren   ServerSicherheit NetzwerkSicherheit

Das Team hinter dem Gnu Privacy Guard Programm (sichert die Paketquellen von Linux Distributionen wie Debian und Ubuntu, ermöglicht die Verschlüsselung von E-Mail und Dateien), sucht nach Sponsoren, welche die Weiterentwicklung des Programmes sicherstellen. Schon mit 5 Euro im Monat kann jeder sich an der Finanzierung dieser wichtigen Software beteiligen: https://gnupg.org/donate/index.html

148 <2017-07-19 Wed> Neuer Linux-Befehl zum Auflisten der Namespaces   Debian Fedora ServerSicherheit

In Debian 9 Stretch und Fedora 26 gibt es den Befehl lsns um Namespaces aufzulisten:

  $ lsns
        NS TYPE   NPROCS   PID USER COMMAND
4026531835 cgroup     95  3826 cas  /usr/sbin/rfkill event
4026531836 pid        87  3826 cas  /usr/sbin/rfkill event
4026531837 user       87  3826 cas  /usr/sbin/rfkill event
4026531838 uts        95  3826 cas  /usr/sbin/rfkill event
4026531839 ipc        95  3826 cas  /usr/sbin/rfkill event
4026531840 mnt        95  3826 cas  /usr/sbin/rfkill event
4026531961 net        87  3826 cas  /usr/sbin/rfkill event
4026532361 pid         1 11130 cas  /opt/google/chrome/nacl_helper
4026532363 pid         2 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532365 net         7 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532435 net         1 11130 cas  /opt/google/chrome/nacl_helper
4026532520 user        1 11130 cas  /opt/google/chrome/nacl_helper
4026532521 user        7 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532523 pid         1 11233 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=A2E9
4026532524 pid         1 11236 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=78FD
4026532525 pid         1 11237 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=E502
4026532526 pid         1 11334 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=C1A1
4026532527 pid         1 11347 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=BA70

149 <2017-07-19 Wed> Link: New in Debian stable Stretch: nftables   NetzwerkSicherheit Debian

Debian Stretch stable includes the nftables framework, ready to use. Created by the Netfilter project itself, nftables is the firewalling tool that replaces the old iptables, giving the users a powerful tool.

http://ral-arturo.org/2017/05/05/debian-stretch-stable-nftables.html

150 <2017-07-19 Wed> Bücher zum Thema IT-Sicherheit im HumbleBookBundle Cybersecurity   ServerSicherheit LinuxNetzwerkSicherheit

Noch bis zum Ende Juli gibt es das sehr günstige Humble Book Bundle zum Thema Cybersecurity mit einigen Büchern, welche ich auch in den Kursen empfehle: u.a. "Security Engineering: A Guide to Building Dependable Distributed Systems, 2nd Edition" und "Cryptography Engineering: Design Principles and Practical Applications" https://www.humblebundle.com/books/cybersecurity-wiley

151 <2017-07-19 Wed> Nachbereitung Linux-Server-Sicherheit vom Juli 2017   ServerSicherheit Suse Debian RedHat

Die in der Schlungswoche noch fehlenden Bücher sind schon auf dem Weg zu den Teilnehmern. Die Kursnotizen sind von der Webseite http://notes.defaultroutes.de in der Linuxhotel-Wiki umgezogen ( http://wiki.linuxhotel.de ). Die Bereitstellung der Kursnotizen für SUSE-Linux verschiebt sich leider noch bis Anfang August.

152 <2017-07-18 Tue> Willkommen zum neuen Training Blog

Bisher noch eine einfache Emacs Org-Mode HTML Seite wird dieser Blog später einmal ein "echtes" Blog (mit Atom/RSS-Feed etc). Aber vorerst muss Org-Mode reichen :)