Training Blog "blog.defaultroutes.de"

Die Sicherheitsfirma ESET hat eine Studie zu Backdoors (versteckte Hintertüren in SSH-Software, eingebaut durch Computer-Einbrecher) veröffentlicht: https://www.welivesecurity.com/wp-content/uploads/2018/12/ESET-The_Dark_Side_of_the_ForSSHe.pdf

Felix Wilhelm hat sich die Sicherheit von DHCP Client Programmen unter Linux angeschaut (dnsmasq, ISC dhclient, systemd-networkd) und einige kritische Sicherheitsfehler gefunden (inkl. Remote-Execution über das Netzwerk) https://conference.hitb.org/hitbsecconf2018dxb/materials/D2T1%20-%20DHCP%20is%20Hard%20-%20Felix%20Wilhelm.pdf

Die Entwickler der BASH (Bourne Again Shell) haben Version 5 dieser populären Shell veröffentlicht: https://lists.gnu.org/archive/html/bug-bash/2019-01/msg00063.html

Web-Entwickler stehen oft vor dem Problem, das moderne Web-Anwendungen per HTTPS (TLS) abgesichert sind, aber TLS-Zertifikate für eine lokales Entwicklungs-Setup unter "localhost" nicht zu bekommen und auch nicht so einfach zu erstellen sind. Googles Crypto-Experte Filippo Valsorda hat mit mkcert ein kleines Tool entwickelt, welches für eine solche lokale Entwicklungsumgebung auf "localhost" ein TLS-Zertifikat erstellt: https://blog.filippo.io/mkcert-valid-https-certificates-for-localhost/

Staf Wagemakers erklärt in seinem Blog wie DNS-over-TLS im Unbound der populäeren Firewall-Appliance OPNSense aktiviert werden kann. https://stafwag.github.io/blog/blog/2018/12/09/configure-dns-tls-on-opnsense/ Ich empfehle in einer DNS-over-TLS Konfiguration möglichst viele DNS-over-TLS Forwarder einzutragen, um die Anfragen auf eine grosse Anzahl von DNS-Resolvern zu verteilen. Unter https://doh.defaultroutes.de sammle ich informationen über DNS-over-TLS und DNS-over-HTTPS Implementationen. In der c't 2/2019 gibt es einen Artikel von mir zum Thema DNS-over-TLS und DNS-over-HTTPS unter Linux/BSD, macOS und Windows https://www.heise.de/select/ct/2019/02/1546757183804281

Das Script checksec prüft unter Linux bei Programmdateien die zur Übersetzungszeit eingeschalteten Sicherheitsfunktionen wie PIE, RELRO, PaX, Canaries, ASLR, Fortify Source: https://github.com/slimm609/checksec.sh

Eric Dorland, Debian Maintainer des dnscrypt-proxy, gibt eine Übersicht der neuen verschlüsselten DNS-Transport-Optionen: https://youtu.be/D_qXbbve9Pk

Declarative Linux-Distributions wie Guix oder NixOS sind interessante Alternativen zu etablierten Linux-Distributionen. Vagrant Cascadian stellt Guix auf der DebConf 18 vor und vergleicht Guix mit Debian: https://www.youtube.com/watch?v=N2XS92qrLUc

Geoff Huston erklärt im APNIC Blog, was DNS-over-HTTPS ist und wie es funktioniert: https://blog.apnic.net/2018/10/12/doh-dns-over-https-explained/

Lennart Poettering stellt portable Dienste in Systemd vor (eine Kombination von System-Diensten und Container: Resources + Integration + Sandboxing): https://media.ccc.de/v/ASG2018-200-portable_services_are_ready_to_use

Lennart Poettering stellt die Neuigkeiten in neuen Systemd-Versionen vor: https://media.ccc.de/v/ASG2018-230-systemd_in_2018

Mark Litwintschik vergleicht drei populäre Linux Werkzeuge zur Anzeige der Systemauslastung (top, htop, glances) http://tech.marksblogg.com/top-htop-glances.html

Der einzigartige Lutz Donnerhacke erklärt im Chaosradio 250 wie das DNS entstanden ist, wie DNSSEC funktioniert und was beim KSK Rollover am 11. Oktober 2018 passiert. Hörenswert: https://chaosradio.ccc.de/cr250.html

Die Antwort ist nein: http://shouldiblockicmp.com/

Wer schon immer mal wissen, woher die Chaos (CH) Netzklasse kommt, findet im Blog von Two-Bit History eine Antwort: https://twobithistory.org/2018/09/30/chaosnet.html

Linux Weekly News hat einen Artikel über den neuen OpenBSD unveil syscall:

OpenBSD is gaining a base level of protection against unintended program behavior; while it is arguably possible to protect a Linux system to a much greater extent, the complexity of the mechanisms involved keeps that from happening in a lot of real-world deployments.

There is a certain kind of virtue to simplicity in security mechanisms.

Stimme ich 100% zu: https://lwn.net/Articles/767137/

Daten über DNS aus einem Netzwerk versteckt ausleiten, ohne eine Domain oder einen DNS-Server kontrollieren zu müssen: https://github.com/TryCatchHCF/PacketWhisper

Wichtige Tricks für die portable Shell-Programmierung: https://apenwarr.ca/log/20110228

Manchmal steckt der DNS-Teufel im Detail: https://zwischenzugs.com/2018/09/13/anatomy-of-a-linux-dns-lookup-part-v-two-debug-nightmares/

DMARC setzt eine Richtlinie für SPF und DKIM. Während E-Mail über Mailinglisten bei SPF scheitern, so kann DKIM und damit auch DMARC mit Mailinglisten gut funktionieren: https://begriffs.com/posts/2018-09-18-dmarc-mailing-list.html

Ein Tutorial-Video von Paul Wouters und Sowmini Varadhan zeigt, das IPSec unter Linux einfacher als sein Ruf ist: https://www.youtube.com/watch?v=7oldcYljp4U

Mozilla hat die Resultate des DNS-over-HTTPS Experiments im Firefox Nightly veröffentlicht: https://blog.nightly.mozilla.org/2018/08/28/firefox-nightly-secure-dns-experimental-results/

Die Folien meines Vortrags auf der FrOSCon 13 in der HTML-Version: https://doh.defaultroutes.de und das Video von der FrOSCon 2018: https://media.ccc.de/v/froscon2018-2171-huch_mein_dns_ist_verschwunden

Das Problem sollte nun behoben sein, die RSS-GUIDs sollten nun eindeutig sein. Sorry für die doppelten Einträge in euren RSS-Feed-Readern.

Was passiert, wenn die Ausgabe von grep gleichzeitig wieder in die Datei geschrieben wird, von der grep liest? Die Antwort ist spannend: https://anniecherkaev.com/grep-your-way-to-freedom

Mail-Clients und -Server schreiben Informationen in die Header einer E-Mail, welche zum Teil sensible Informationen über die intere Infrastruktur nach aussen liefern (z.B. interne IP-Adresse, Produktinformationen und Version des verwendeten Mail-Clients). Diese Header lassen sich im Postfix-Mailserver ausfiltern, bevor die Mail das eigene Netz verlässt: https://major.io/2013/04/14/remove-sensitive-information-from-email-headers-with-postfix/

Eine sehr detailierte Übersicht über Möglichkeiten, unter Linux einen Einblick in das Speicher-Management von Kernel und Anwendungen zu bekommen: https://linux-audit.com/understanding-memory-information-on-linux-systems/

Nicht allen Admins ist bewusst, das es neben DNS auf Windows Systemen noch andere Namensauflösungsprotokolle gibt. Wer diese Protokolle ignoriert, schafft ggf. Sicherheitsprobleme. Dieser Blog-Artikel spricht über die Gefahren von LLMNR und NBNS: https://blog.netspi.com/exploiting-adidns/

Eine Serie von Blog-Posts über das effiziente Arbeiten auf der Kommandozeile

• Ghost in the Shell – Part 1
• Ghost in the Shell – Part 2

Two-Bit History erzählt die Geschichte des vim Editors, über die Stationen QED, ed, em, ex, vi, STEVIE zu vim: https://twobithistory.org/2018/08/05/where-vim-came-from.html

Teil 4 der Serie beschäftigt sich mit DNS und Docker/Kubernetes und DNS: https://zwischenzugs.com/2018/08/06/anatomy-of-a-linux-dns-lookup-part-iv/

Eine Betrachtung von systemd aus der Perspektive eines BSD Benutzers. Ein sehr guter Vortrag: https://youtu.be/6AeWu1fZ7bY

Fefe hat ein Medienkompetenztraining zum Thema "DNS-over-HTTPS in Firefox Browser" mittels eines Links auf einen leider schlecht recherchierten Blog Artikel (Mozilla's new DNS resolution is dangerous) angestoßen. Hier meine Fragestellungen für den Benutzer/Admin/Nerd mit offenen Verstand:

• plant Mozilla diese Funktion wie sie jetzt im Test ist für alle Benutzer einzuschalten? (siehe Update unten im Blog von ungleich.ch)?
• mag es Netze/Länder/ISPs geben, bei denen eine DNS-Auflösung über Cloudflare das kleinere Übel ist?
• wenn doch Mozilla jetzt mit dieser Funktion alle Nutzer der NSA via Cloudflare an das Messer liefert, warum diskutieren Mozilla Mitarbeiter über Ideen und Wege, DoH zu dezentraliseren (IETF 102 DRIU Sitzung -> https://www.youtube.com/watch?v=cfEX8zuoRAA)?

oder mehr genauer 'Containers vs Linux-Distributions': in einem Blog Post betrachtet Dave Cheney die Auswirkungen des Container-Image-Software Ökosystems auf die Welt der Linux-Distributionen: https://dave.cheney.net/2018/01/16/containers-versus-operating-systems Meine Sicht: Auch Container-Images werden in Resositories gehalten. Red Hat bietet schon ein Docker-Repository an. Linux Distributionen werden Software wahlweise als Pakete oder Container-Images anbieten (als Docker, Flatpak, Snap etc).

cert (Source Code auf https://github.com/genkiroid/cert) prüft die Gültigkeit von x509 Zertifikaten von TLS Webservern (HTTPS) von der Kommandozeile:

  % ~/go/bin/cert blog.defaultroutes.de          
DomainName: blog.defaultroutes.de
IP:         5.45.107.88
Issuer:     Let's Encrypt Authority X3
NotBefore:  2018-07-15 10:18:16 +0200 CEST
NotAfter:   2018-10-13 10:18:16 +0200 CEST
CommonName: blog.defaultroutes.de
SANs:       [blog.defaultroutes.de]
Error:      

Neben dem Standard-Ausgabe-Format unterstützt cert auch Markdown und JSON. JSON ist interessant, um x509 Zertifikate automatisch zu prüfen:

% ~/go/bin/cert -f json blog.defaultroutes.de | jq
[
  {
    "domainName": "blog.defaultroutes.de",
    "ip": "5.45.107.88",
    "issuer": "Let's Encrypt Authority X3",
    "commonName": "blog.defaultroutes.de",
    "sans": [
      "blog.defaultroutes.de"
    ],
    "notBefore": "2018-07-15 10:18:16 +0200 CEST",
    "notAfter": "2018-10-13 10:18:16 +0200 CEST",
    "error": ""
  }
]

Manchmal ist es notwendig, TLS Verbindungen zur Fehlersuche mitzuschneiden. Normalerweise können per TLS verschlüsselte Daten nicht gelesen werden, es sei denn, man bekommt die benutzten Schlüssel vom TLS Client Programm geliefert. Shane M. Hansen zeigt in https://whitane.com/post/decoding-tls-with-sskleylogfile/, wie der Administrator die Schlüssel aus der Anwendung lesen kann (Die Sicherheit von TLS wird hier nicht beeinträchtigt, nur der Benutzer oder der Administrator des lokalen Systems kann die Schlüssel aus den Anwendungen herauslesen)

Viele WLAN CaptivePortal fangen die erste HTTP(S) Verbindung aus dem Browser ab und leiten diese auf einen internen Webserver des Portals um. Dies funktioniert bei HTTPS/TLS abgesicherten Seiten oft nicht, in der Zunkuft mit TLS 1.3 wird es immer weniger funktionieren. Aber Captive Portals wird es auch in Zukunft (leider) noch länger geben. Die Seite http://neverssl.com/ bietet eine Lösung, diese Seite wird garantiert nie per TLS abgesichert werden. Um dem Captive Portal keine sensiblen Daten durch die URL preiszugeben, sollte http://neverssl.com als erste Seite im Captive-Portal aufgerufen werden, um danach die Einlog-Seite des Portals zu bekommen.

Preslav Mihaylov erklärt die Standard Ein- und Ausgabe in Unix/Linux Systemen http://pmihaylov.com/standard-io/

lsofgraph erstellt eine grafische Übersicht des Prozess-Baums eines Linux/Unix Systems aus der Textausgabe des lsof (List Open Files) Befehls: https://github.com/zevv/lsofgraph

Der dritte Teil schaut auf Networkmanager und dnsmasq als DNS-Resolver: https://zwischenzugs.com/2018/07/06/anatomy-of-a-linux-dns-lookup-part-iii/

und hier der 2te Teil: https://zwischenzugs.com/2018/06/18/anatomy-of-a-linux-dns-lookup-part-ii/

Was alles passiert, wenn unter Linux eine Anwendung einen Domain-Namen in eine IP-Adresse auflösen möchte: https://zwischenzugs.com/2018/06/08/anatomy-of-a-linux-dns-lookup-part-i/

Woher kommen einige der komischen Namen von Unix-Kommandos? http://www.unixguide.net/unix/faq/1.3.shtml

Eine sehr gute Beschreibung der Privatsphäre-Probleme von DNS, und wie DNS-over-HTTPS diese Lösen kann: https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/

Dieser Blog-Post beschreibt, wie Linux ausführbare Programme behandelt, und wie man transparent unter Linux MS-DOS, Windows, Python und andere Programme starten kann: https://ownyourbits.com/2018/05/23/the-real-power-of-linux-executables/

und eine Alternative zu gpg2. Nicht das gpg2 schlecht ist, aber eine Wahlmöglichkeit ist immer gut: https://neopg.io/

Wer Windows 10 auf dem Admin-Desktop benutzt, der kann sich nun freuen: https://www.bleepingcomputer.com/news/microsoft/windows-10-openssh-client-installed-by-default-in-april-2018-update/

Informationen über die ersten Bits beim chmod Befehl: https://major.io/2007/02/13/chmod-and-the-mysterious-first-octet/

Chris Wellons bespricht wie portable Makefiles erstellt werden, welche nicht nur unter Linux sonder auf allen POSIX-kompatiblen Systemen (BSD etc) funktionieren http://nullprogram.com/blog/2017/08/20/

by Benjamin Mako Hill. Blog Artikel: https://mako.cc/writing/hill-free_tools.html und Video: https://www.youtube.com/watch?v=U_nK6nP_RCY

Video vom Easterhegg 2018 über eine moderne VPN Software, mit Beispielen zum Einsatz von Netzwerk-Namespaces unter Linux: https://media.ccc.de/v/BFFC3X

Unter Red Hat 7.4+ (und anderen modernen Linux-Versionen)funktioniert

dd if=/dev/zero of=/srv/file count=1000 bs=1M status=progress

per "pipeview (pv)" lässt sich ähnliches erreichen

apt install pv   # pipeview
dd if=/dev/zer count=1000 bs=1M | pv > /srv/file

Und neu gelernt (aus dem vorherigen Video-Link):

apt install progress
dd if=/dev/zero of=/tmp/zero & progress -wm

Man kann auf der Kommandozeile nie auslernen: https://media.ccc.de/v/9GNFG3

Die Feinheiten der Sicherheit des HTTPS/TLS Protokolls: https://textslashplain.com/2018/02/14/understanding-the-limitations-of-https/

Die kommende Android-Version kann die DNS-Kommunikation zum DNS-Resovler verschlüsseln und den DNS-Resolver per Zertifikat authentisieren: https://security.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html

Das weitverbreitete Kompressionsformat "XZ" hat einige technische Probleme welche die Eignung als Archiv-Dateiformat in Frage stellen https://www.nongnu.org/lzip/xz_inadequate.html

Die grossen öffentlichen DNS-Resolver (Cloudflare/APNIC 1.1.1.1, Quad9 9.9.9.9 und Google Public DNS 8.8.8.8) sind als Anycast-Dienst realisiert. Bei der Fehlersuche ist es u.U. interessant, vom welchem Server in welchem Rechenzentrum die DNS-Anfragen bearbeitet werden. Mittels DNS-Anfragen können diese Informationen abgefragt werden:

• Cloudflare:

dig -c CH -t txt id.server +short @1.1.1.1

• Quad9:

dig -c CH -t txt id.server +short @9.9.9.9  

• Google Public DNS:

https://mailman.nanog.org/pipermail/nanog/2017-August/092036.html

Der Unix sync Befehl, Gestern und Heute https://utcc.utoronto.ca/~cks/space/blog/unix/TheLegendOfSync

Tipps für das Erstellen von makefiles http://gromnitsky.users.sourceforge.net/articles/notes-for-new-make-users/

Brendan Gregg gibt Tipps, wie die Performance-Verlust durch Meltdown/Spectre Patches vor dem Einspielen der Patches abgeschätzt werden kann http://www.brendangregg.com/blog/2018-02-09/kpti-kaiser-meltdown-performance.html

E-Mail soll nur noch TLS verschlüsselt übertragen werden: https://tools.ietf.org/html/rfc8314

Scott Helme erklärt warum kurze Lebenszeiten von x509 TLS Zertifikaten sinnvoll sind: https://scotthelme.co.uk/why-we-need-to-do-more-to-reduce-certificate-lifetimes/

Stéphane Bortzmeyer gibt eine Übersicht zum derzeitigen Status der DNS Privacy Erweiterungen zum DNS Protokoll: https://video.fosdem.org/2018/AW1.121/dns_privacy.webm

Leider werden viele Shell-Skripte unter Linux nur mit der BASH (Bourne Again Shell) getestet, sind dann aber nicht portable auf andere Systeme ohne BASH. Dieser Blog-Post beschreibt die Problematik und gibt Informationen wie man portable Shell Skripte erstellt: https://sircmpwn.github.io/2018/02/05/Introduction-to-POSIX-shell.html (ich benutze, auch unter Linux, die POSIX Shell kompaible MirBSD Shell mksh https://www.mirbsd.org/mksh.htm)

Willem Toorop (NLnet Labs) talks about GetDNSApi and the new DNS APIs for operating system stub resolvers: https://video.fosdem.org/2018/AW1.121/dns_living_on_the_edge.webm

Presentation by Ondřej Surý from ISC about the new features in BIND 9.12 and the new release structure for BIND 9 in the future: https://video.fosdem.org/2018/AW1.121/dns_bind9_past_present_future.webm

Auf einem Projektor sind die Standardfarben der Linux-Konsole nur schwer lesbar (Weiss auf Schwarz). Diese Farben können mit dem Befehl

setterm -inv on

getauscht werden (Schwarz auf Weiss). Mit dem Befehl setterm können sowohl Vordergrund- sowie die Hintergrund-Farbe der Linux-Konsole angepasst werden (Dank an Stefan Miethke für diesen Tipp).

QUIC, ein auf UDP aufsetzenes Protokoll von Google wird derzeit in der IETF standardisiert. Dieser Vortrag erklärt das Protokoll und zeigt die Vorteile von QUIC+HTTP/2 gegenüber traditionellem TCP+HTTP: https://www.youtube.com/watch?v=BazWPeUGS8M

Kees Cook gibt eine Übersicht der neuen Sicherheitsfunktionen in modernen Linux-Kerneln https://www.youtube.com/watch?v=bFe9R65VnAw

Ein kleines eBook publiziert bei LeanPub, nicht zu teuer, nicht zu dick, ideal für Admins für den Einstieg in die Shell-Benutzung mit BASH https://leanpub.com/learnbashthehardway

Ein schöner und informativer Artikel über Swap (oder korrekter "paging") unter Linux (und Unix) und warum jeder Linux-Rechner Swap-Speicher haben sollte (egal wieviel physischer Hauptspeicher vorhanden ist): https://chrisdown.name/2018/01/02/in-defence-of-swap.html

Ein frohes neues Jahr 2018. Wer Systemd nicht (immer) auf der Kommandozeile administrieren möchte, findet im Netz einige GUI Werzeuge:

• Cockpit - Cockpit is a server manager that makes it easy to administer your GNU/Linux servers via a web browser.: http://cockpit-project.org/
• Systemd-Manager - A systemd service manager written in Rust with the GTK-rs wrapper and direct integration with dbus: https://github.com/mmstick/systemd-manager
• Qjournalctl - A Qt-based Graphical User Interface for systemd's journalctl command: https://github.com/pentix/qjournalctl

Im Dezember sind zwei neue interessante RFCs zu IPv6 veröffentlicht worden:

In diesem älterem Blog-Post zeigt Jordan Sissel einige potentielle Sicherheitslücken rund um den Gebruauch von /bin/false als Shell um interaktive Logins zu verhindern: http://www.semicomplete.com/articles/ssh-security/

James Routley beschreibt das Paketformat von DNS-Nachrichten und zeigt, wie DNS-Nachrichten in Python gebaut, verschickt und die Antworten vom Server wieder gelesen werden können https://routley.io/tech/2017/12/28/hand-writing-dns-messages.html

Nick Sullivan von Cloudflare blickt auf die Probleme, ein neues Sicherheitsprotokoll im Internet einzuführen https://blog.cloudflare.com/why-tls-1-3-isnt-in-browsers-yet/

http://blog.mclemon.io/fedora-getting-tor-and-selinux-to-play-nice

wie Information über aktuelle TCP und UDP Verbindungen aus dem /proc Dateisystem gelesen werden kann https://staaldraad.github.io/2017/12/20/netstat-without-netstat/

pax ist eine Alternative zum tar-Befehl, pax ist einfacher zu bedienen: http://dpk.io/pax

http://nerderati.com/2011/03/17/simplify-your-life-with-an-ssh-config-file/

A tutorial showing how to enable Linux Access Control Lists as well as how to use ACL's to go beyond basic permissions http://bencane.com/2012/05/27/acl-using-access-control-lists-on-linux/

Systemd-resovled ab der Version 236 kann Netzwerkdienste per Multicast-DNS Service-Discovery bereitstellen. Hierzu wird pro Dienst eine .dnssd-Datei in das Verzeichnis /etc/systemd/dnssd/ gelegt.

Version 236 des Systemd-Resolved Dienstes implementiert RFC 8080 "Edwards-Curve Digital Security Algorithm (EdDSA) for DNSSEC" https://tools.ietf.org/html/rfc8080

Systemd-Networkd implementiert RFC 8106 "IPv6 Router Advertisement Options for DNS Configuration" um DNS-Resolver und die lokale Domain an Client-Systeme zu verteilen https://tools.ietf.org/html/rfc8106

Systemd-Resolved erstellt eine dynamische Strub-Resolver-Konfiguration unter /run/systemd/resolve/stub-resolv.conf. Die Datei /etc/resolv.conf kann per Symlink auf diese Datei verweisen. Die Suchlisten-Definition in dieser Datei wird von Systemd verwaltet. https://github.com/systemd/systemd/blob/master/NEWS

Brute-Force Suche von Domain-Namen und Pfaden in Web-URIs https://github.com/OJ/gobuster

Google "Project Zero" hat praktische Angriffe auf die JavaScript-Implementierung für WPAD, "Web Proxy Autodiscovery Protocol", nachgewiesen. Ein WPAD-Domain-Name für die eigene Domain im DNS-Resolver, und einen eigenen WPAD-DHCP-Eintrag kann die Ausnutzung dieser Sicherheitslücken erschweren. https://googleprojectzero.blogspot.de/2017/12/apacolypse-now-exploiting-windows-10-in_18.html

Print the first 5 log lines from each day in syslog

awk 'a[$1 $2]++ < 5' /var/log/syslog

Quelle: https://twitter.com/climagic/status/915656462772445185

wie Facebook intern Systemd auf CentOS 7 benutzt https://media.ccc.de/v/ASG2017-126-systemd_facebook_a_year_later#video&t=454

übersicht Sicherheit in Linux-Containern: https://media.ccc.de/v/ASG2017-160-insecure_containers

Replace Your Exploit-Ridden Firmware with Linux - Ronald Minnich, Google https://youtu.be/iffTJ1vPCSo

dtach implementiert die Detach Funktion aus screen, aber nur diese https://github.com/crigler/dtach

per Datei security.txt auf einem Webserver kann der Besitzer der Webseite die Sicherheits-Policy publizieren, u.a. über welche Kommunikations-Kanäle die Entdecker eine Sicherheitslücke mit dem Besitzer des Webserver/der Webseite Kontakt aufnehmen können: https://tools.ietf.org/html/draft-foudil-securitytxt

Den öffentlichen GPG-Schlüssel auf einem Webserver publizieren. Das GPG-Programm kann den Schlüssel dort finden und importieren https://tools.ietf.org/html/draft-koch-openpgp-webkey-service

Wenn Sicherheitsprotokolle wie DKIM und DMARC nicht sauber implementiert werden, kann dies die Sicherheit des gesamten Systems untergraben: http://noxxi.de/research/breaking-dkim-on-purpose-and-by-chance.html

Die Core Infrastructure Intitiative hat ein Sicherheitsaudit von drei Unix/Linux NTP (Network Time Protocol) Programmen finanziert und die Ergebnisse veröffentlicht. Das von RedHat/CentOS benutzte chrony hat sehr gut abgeschnitten: https://www.coreinfrastructure.org/news/blogs/2017/09/securing-network-time

Ein kleiner Artikel von Networkworld erklärt den Zusammenspiel von umask und den Unix-Dateiberechtigungen: https://www.networkworld.com/article/3224897/linux/whats-behind-the-linux-umask.html

Video von der BSDCan 2017 Konferenz: https://youtu.be/KuHepyI0_KY

Brendan hat bei SUN am Solaris gearbeitet, und arbeitet nun bei Netflix. Dort benutzt er sowohl BTRFS als auch ZFS unter Linux:

Linux has also been developing its own ZFS-like filesystem, btrfs. Since it's been developed in the open (unlike early ZFS), people tried earlier ("IS EXPERIMENTAL") versions that had serious issues, which gave it something of a bad reputation. It's much better nowadays, and has been integrated in the Linux kernel tree (fs/btrfs), where it is maintained and improved along with the kernel code. Since ZFS is an add-on developed out-of-tree, it will always be harder to get the same level of attention.

We're now testing container hosts in production on btrfs, instead of ZFS. Facebook have been using btrfs for a while in production, and key btrfs developers now work at Facebook and continue its development. There is a btrfs status page, but for the latest in development see btrfs posts to the linux kernel mailing list and btrfs sections on kernelnewbies. It's a bit early for me to say which is better nowadays on Linux, ZFS or btrfs, but my company is certainly learning the answer by running the same production workload on both. I suspect we'll share findings in a later blog post.

Der volle Blog-Post: http://brendangregg.com/blog/2017-09-05/solaris-to-linux-2017.html

RFC 8198 ist "Aggressive Use of DNSSEC-Validated Cache" https://tools.ietf.org/html/rfc8198. Bei dieser Protokollerweiterung kann ein DNS-Resolver auf Anfragen, welche in den Bereich eines per DNSSEC validierten NSEC- oder NSEC3-Record fallen, direkt eine negative Antwort zurückgeben. Dies stoppt eine grosse Anzahl von fehlerhaften Anfragen an die Root-DNS-Server und TLD-Server. APNIC Blog-Post: https://blog.apnic.net/2017/08/30/dns-root-server-resilience-smarter-way/

https://media.ccc.de/v/froscon2017-1932-sicheres_loschen_von_daten_auf_ssds

http://talks.strotmann.de/view/welcome-visitors/view/infosec-stammtisch-ms-dns-over-anything-encrypted

Brendan Gregg, DTrace Spezialist und Computer-Performance Experte hat sich die Linux Load-Average Werte genauer angeschaut: was wird gemessen, warum werden die Werte in Linux anders ermittelt als in anderen Unix-Systemen. Und er machte sich auf die Suche nach dem Entwickler, welcher in der Frühzeit der Linux-Entwicklung den Patch für die Ermittlung der Last-Werte abgeändert hatte. Spannend. http://www.brendangregg.com/blog/2017-08-08/linux-load-averages.html

Red Hat hat das BTRFS-Dateisystem in Red Hat EL 7.4 als 'deprecated' (abgekündigt) markiert: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/7.4_Release_Notes/chap-Red_Hat_Enterprise_Linux-7.4_Release_Notes-Deprecated_Functionality.html Damit hat Red Hat für die kommende Enterprise Distribution kein Copy-on-Write Dateisystem im Portfolio.

Am Dienstag habe ich auf dem Linux-Stammtisch in Münster einen kleinen Workshop zum Thema Tor-Onion-Dienste gehalten. Daraus ist eine kleine Anleitung entstanden: http://blog.defaultroutes.de/tor-hidden-service.html

mit einer Aussicht auf BIND 9.12 https://www.isc.org/blogs/bind-9-11-2/

Hier sind die Aufgaben von Donnerstag und Freitag: https://blog.defaultroutes.de/admingrundlagen-juli2017-aufgaben.html

Schade, tailf habe ich gerne benutzt. Klar, kann man durch ein Shell-Alias ersetzen, aber das muss man für jede Installation erst machen … http://metadata.ftp-master.debian.org/changelogs/main/u/util-linux/util-linux_2.29.2-2_changelog

Neue Informationen über das Stack-Clash Sicherheitsproblem in Linux und Versuche, das Problem zu lösen https://lwn.net/Articles/727703/

Das Team hinter dem Gnu Privacy Guard Programm (sichert die Paketquellen von Linux Distributionen wie Debian und Ubuntu, ermöglicht die Verschlüsselung von E-Mail und Dateien), sucht nach Sponsoren, welche die Weiterentwicklung des Programmes sicherstellen. Schon mit 5 Euro im Monat kann jeder sich an der Finanzierung dieser wichtigen Software beteiligen: https://gnupg.org/donate/index.html

In Debian 9 Stretch und Fedora 26 gibt es den Befehl lsns um Namespaces aufzulisten:

  $ lsns
        NS TYPE   NPROCS   PID USER COMMAND
4026531835 cgroup     95  3826 cas  /usr/sbin/rfkill event
4026531836 pid        87  3826 cas  /usr/sbin/rfkill event
4026531837 user       87  3826 cas  /usr/sbin/rfkill event
4026531838 uts        95  3826 cas  /usr/sbin/rfkill event
4026531839 ipc        95  3826 cas  /usr/sbin/rfkill event
4026531840 mnt        95  3826 cas  /usr/sbin/rfkill event
4026531961 net        87  3826 cas  /usr/sbin/rfkill event
4026532361 pid         1 11130 cas  /opt/google/chrome/nacl_helper
4026532363 pid         2 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532365 net         7 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532435 net         1 11130 cas  /opt/google/chrome/nacl_helper
4026532520 user        1 11130 cas  /opt/google/chrome/nacl_helper
4026532521 user        7 11129 cas  /opt/google/chrome/chrome --type=zygote
4026532523 pid         1 11233 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=A2E9
4026532524 pid         1 11236 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=78FD
4026532525 pid         1 11237 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=E502
4026532526 pid         1 11334 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=C1A1
4026532527 pid         1 11347 cas  /opt/google/chrome/chrome --type=renderer --field-trial-handle=1 --primordial-pipe-token=BA70

Debian Stretch stable includes the nftables framework, ready to use. Created by the Netfilter project itself, nftables is the firewalling tool that replaces the old iptables, giving the users a powerful tool.

http://ral-arturo.org/2017/05/05/debian-stretch-stable-nftables.html

Noch bis zum Ende Juli gibt es das sehr günstige Humble Book Bundle zum Thema Cybersecurity mit einigen Büchern, welche ich auch in den Kursen empfehle: u.a. "Security Engineering: A Guide to Building Dependable Distributed Systems, 2nd Edition" und "Cryptography Engineering: Design Principles and Practical Applications" https://www.humblebundle.com/books/cybersecurity-wiley

Die in der Schlungswoche noch fehlenden Bücher sind schon auf dem Weg zu den Teilnehmern. Die Kursnotizen sind von der Webseite http://notes.defaultroutes.de in der Linuxhotel-Wiki umgezogen ( http://wiki.linuxhotel.de ). Die Bereitstellung der Kursnotizen für SUSE-Linux verschiebt sich leider noch bis Anfang August.

Bisher noch eine einfache Emacs Org-Mode HTML Seite wird dieser Blog später einmal ein "echtes" Blog (mit Atom/RSS-Feed etc). Aber vorerst muss Org-Mode reichen :)