freach's blog

Nun gut ein bisschen übertrieben, SELinux wird wahrscheinlich nie für Dummies sein, da es in seiner Komplexität einen wirklich umhaut. Ich bin aber auf ein Tutorial gestoßen, dass einem SELinux ein wenig näher bringen soll. SELinux, auch bekannt als NSA Backdoor .. nein nur Spass, oder doch nicht? SELinux ist ein Kernelmodul, dass einiges an Sicherheitserweiterungen für den Linuxkernel mitbringt. Es implementiert Zugriffskontrolle auf Kernelebene und soll unbefugte Zugriffe von Prozessen verhindern. Eine genaue Beschreibung findet ihr hier und hier. Ich habe das Tutorial bisher nur überflogen, aber der Erste Eindruck sagt mir, dass man es gebrauchen kann.

SELinux Tutorial

Debian ist kerneltechnisch übrigends seit Etch bestens auf SELinux vorbereitet.

KeePass ist ein Passwortmanager. Man verwaltet mit KeePass seine Passwörter in einer Passwort- oder Zertifikatsgeschützen verschlüsselten Datenbank. Ich persönlich nutze KeePass seit ca. 2 Jahren und bin sehr zufrieden. Soeben entdeckte ich auf Sourceforge einen Port von KeePass für mobile Endgeräte namens KeePassd. KeePassd gibt es in zwei Ausführungen. Die Erste, KeePassPPC, ist für Windows Mobile 2003 PPC, Windows Mobile 5 PPC und Windows Mobile 6 PPC. Die Zweite, KeePassSD (noch Alpha), ist für Windows Mobile 2003 PPC, Windows Mobile 5 PPC, Windows Mobile 5 SmartPhone, Windows Mobile 6 Professionell und Windows Mobile 6 Standart.

UPDATE:
Es gibt wohl auch eine Version von KeePass für Handys die J2ME Anwendungen unterstützen.
keepassserver.info

Dieser Artikel von Security Hacks beschreibt wie man sich vor Brute-Force Attacken auf seinen SSH-Server schützen kann. Dabei werden mehrere Methoden, wie z.B. Konfiguration vom SSH-Server selber, aber auch Methoden wie das Drosseln der maximalen Verbindungen auf einen Dienst per IPtables angesprochen.

Protecting against SSH brute-force attacks

Ich arbeite nun seit gut 8 Jahren mit Linux. Eines was mich am meisten aufgeregt sind die vielen schlechten Howtos, Guides und Artikel. Damit mein ich meist noch nicht mal die Erklärungen an sich, sondern eher die vielen Fehler in Konfigurationen oder Konzepten. Ich denke mir immer, wie kann man etwas veröffentlich was nicht lauffähig ist? Vorallem wenn der Howto-Autor doch bereits das betreffende Produkt verstanden hat, wieso sind so viele Fehler in seinen Beschreibungen? Das ganze hat mich persönlich bis in die Fachliteratur verfolgt, also in Bücher. Für diese Bücher habe ich Geld bezahlt, damit ich lauter Fehler präsentiert bekomme? Wo sind die Profis? Eine Frage die ich mir immer öfters stelle.

Nun zum eigentlichen Anliegen. Da ich diesen Fehlerzustand nicht mag, möchte ich wenigstens meine Veröffentlichungen fehlerfrei halten. Ich gebe mir Mühe, aber im Schreibfluss, fallen mir z.B. Rechtschreibfehler, Fehler in Verlinkungen oder sogar Inhaltliche Fehler nicht auf. Daher bitte ich euch, mir diese Fehler zu melden (bitte kein Getrolle!!!!).
Entweder schreibt ihr mir eine E-Mail, eine Message über Jabber oder macht es per Kommentar unter dem Artikel.
Das ganze hier soll keine Alphamännchen-Parade meinerseits werden, sondern einen Nutzen haben. Fehler nutzen nicht mal mir selber.

Ich habe heute über einen Freund (www.drokzid.net) eine sehr schöne Doku erhalten, die mal treffend zeigt wie arm der deutsche Arbeitnehmer dran ist. Qualifizierte Fachkräfte werden durch Osteuropäer ersetzt, Familien in den Ruin geschickt und Kleinunternehmer bis ans Ende der Belastbarkeit ausgebeutet. Alles das ist nicht erst seit der EU Osterweiterung Alltag in Deutschland. Auch ich persönliche kenne Menschen, die Kinder zu Hause sitzen haben und auch mit Zweitjob noch schwer zu kämpfen haben. Und jetzt kommt mir nicht mit "Dann dürfen sie keine Kinder kriegen!". Wer schreit als erstes auf, wenn es um unsere Kinder geht? Der Staat und die Arbeitgeber! Doch statt dem Personal einen angemessenen Lohn zu zahlen, loben wir lieber noch eine Runde unser tolles Berufsausbildungssystems, schicken die ausgebildeten Fachkräfte dann in die Arbeitslosigkeit und Fragen uns dann warum Deutschland unter Fachkräftemangel leidet.
Ich weiss ja nicht was in den Köpfen der Arbeitgeber vor geht. Arbeitnehmer werden nicht motivierter wenn sie weniger verdienen! Hauptsache für den Moment bessere Zahlen auf dem Papier, an die Zukunft scheint da niemand zu denken. Umgekehrt sind die Methoden des Staats genauso fragwürdig. Kommt mit Vorschlägen zum Kombi- oder Mindestlohn, kürzt dem Arbeitnehmer aber die Pendlerpauschale, erhöht die Steuern und streicht an allen Ecken und Kanten. Klar, insgesamt ist es dann immer alles wesentlich besser geworden, aber nicht für den gemeinen Bürger, sondern die Großkonzerne dürfen sich die Taschen noch voller machen. Wie lange wird das noch dauern bis sie Aufwachen und merken, dass dies Einbahnstraßenpolitik ist und sie auf kurz oder lang das ach so zivilisierte Deutschland auch mit den zugehörigen Tugenden zu einem demotivierten Haufen verwandeln. Ich weiss schon wer da als erstes die Peitsche schwinkt oder mit seinem Hab und Gut ins Ausland auswandert, natürlich der Spitzenmanager, auf das ein neues Land ausgebeutet und eine neue Zivilisation zerstört wird.

Genug geheult, hier die Doku.

Spam lastet Systeme aus. Spam kostet Geld. Spam verursacht Sicherheitslücken und Spam nervt. Um wieder Herr über die Spamflut zu werden gibt es auf Seiten von Linux viele Möglichkeiten diesen zu bekämpfen.

Checksummen
Von eingehenden Mails werden Checksumme gebildet und diese mit einer HASH-Datenbank verglichen. Ist die Checksumme der Mail gleich mit einem Eintrag aus der HASH-Datenbank, ist die E-Mail Spam.
Tool:
DCC

Open Relay Checks
Tools überprüfen ob die Gegenstelle ein offenes Relay ist, also von Spamern möglicherweise zum Versenden von Spams genutzt wird. Diese Prüfung generiert aber häufiger False-Positives, also fälschlicherweise als Spam erkannte Mails, da über den als Open Relay erkannten Server auch korrekte Mails versendet werden können.
Blacklisten:
ORDB (im Moment wohl down)
Sorbs
DSBL

RBL checks
Der sendende Mailserver wird anhand seines Hostnames oder seiner IP per DNS an Checklisten aufgelöst, falls diese einen bestimmten Wert z.B. 127.0.0.1 zurückgeben handelt es sich um eine Spam.
Wikipedia Blacklistenvergleich

Bayesian Filter
Die Mail muss ein Prüfverfahren durchlaufen, in dem die verwendeten Wörter im Betreff und Body mit Pattern in einer Datenbank verglichen werden. Hierbei kommt eine Wahrscheinlichkeitsprüfung zum Einsatz, die bestimmten Pattern Punkte zuordnet. Bei erreichen einer bestimmten Punktzahl handelt es sich um eine Spam.
Tools:
Spamassassin
SpamBayes

Signaturen
Anhand von bestimmten Signaturen innerhalb einer E-Mail wird bestimmt ob es sich um eine Spam handelt oder nicht. Signaturen sind dabei bestimmte Wörter oder Wortfolgen.
Tools:
Razor
Pyzor

Antivirus
Mails werden auf Viren gescannt. Bei einem Fund handelt es sich um eine Spam.
Tools:
ClamAV

An die RFCs halten
Alle Server die sicht nicht an in RFC definierten Vorgaben halten, werden nicht zugelassen.
Das Betrifft:
- helo/ehlo nach dem Konnektieren
- FQDN Hostname im helo/ehlo
- FQDN Absender und Empfänger z.B. max@mustermann.de
- Keine Bearbeitung von Empfänger Domains, für die der Mailserver nicht zuständig ist

Reverse Lookup
Sender, die nicht korrekt reverse Auflösbar sind, werden nicht zugelassen.
Der Reverse Lookup, wird auf den Hostnamen des sendenen Servers und den MX-Record der Absenderdomäne angewand. Sind es nicht die gleichen IP-Adressen wird das Zustellen der Mail untersagt.

Grey Listing
Beim Grey Listing wird der erste Zustellversuch einer E-Mail mit einer temporären Fehlermeldung untersagt, so dass der sendene Server bei korrekter Konfiguration zu einem späteren Zeitpunkt die Zustellung wiederholt. Man geht davon aus, dass Spammer keinen weiteren Zustellversuch unternehmen.
Tools:
Postgrey
Policyd

Die angegebenen Verfahren sind z.B. in Postfix problemlos implementierbar.
Weitere Infos gibt es in der PDF im Anhang zum Thema "SPAM and Anti-Spam".

Um den Avguard, eine Liveguard Funktionalität von Antivir Workstation, nutzen zu können, wird Dazuko als Kernelmodul benötigt. Debian liefert keinen Kernel mit Dazuko Modul, also muss man ihn aus den Quellen kompilieren.
In der Anleitung von Avira wird das ganze sehr einfach dargestellt in der Realität siehts wieder was anders aus.
Statt dem von Avira vorgeschlagenen ./configure, müssen dem Configure-Script ein paar Optionen übergeben werden. Für Debian lautet der korrekte Befehl:
./configure --enable-syscalls --mapfile=/boot/System.map-`uname -r` --without-dep
Danach wie gewohnt fortfahren und Dazuko lässt sich kompilieren und der Avguard installieren.

LightTPD ist ein von mir stets hoch angepriesener Webserver und nicht nur eine Alternative zu Apache. Da ein Umstieg für viele eher Sinnlos oder Unnötig erscheint, möchte ich hier einige Vorzüge von LightTPD aufzeigen.

1. Ressourcen
LightTPD hat seinen Namen nicht daher, dass er nur schwach ausgestattet ist, sondern wohl eher weil er absolut Ressourcen schonend ist. Bei einer Debian Standartinstallation startet dieser gerade mal mit einer Hand voll Modulen. Apache hingegen kommt mir immer ein bisschen wie das träge Mutterschiff vor. Er braucht definitiv länger zum starten und ist nach einer Standartinstallation schon schwer bepackt. So kommt LightTPD bei einer Konfiguration von 5 Vhosts, PHP5 und mehreren Modulen mit unter 4 MB Arbeitsspeicher aus, Apache nutzt bei gleich Beanspruchung mehr als das Doppelte.

2. Konfiguration
Bei der Konfiguration ist LightTPD ganz klar vorne. Die Konfig von LightTPD erinnert an objektorientierte Programmierung so definiert man den Servernamen z.B. mit server.name = "www.tuxj0b.de" oder den Port mit server.port = 80. Bei Apache erscheint mir die Konfiguration oft schwerfällig und unübersichtlich. Eine Minimalkonfiguration von LightTPD kommt mit gut 15 Zeilen aus, wer Apache schonmal genutzt hat, weiß das es da wesentlich mehr sind.

3. Performance
Der wichtigste Kennwert eines Webservers ist wohl seine Performace. Apache hat bei rein statischen Inhalten leicht die Nase vorn. Sobald es aber auch nur ein wenig dynamisch wird hängt LightTPD Apache gnadenlos ab und mit gnadenlos meine ich, LightTPD verarbeitet doppelt soviele Anfragen in 40 Sekunden wie Apache in einer ganzen Minute verarbeiten kann. LightTPD gerät bei 800 gleichzeitigen Anfragen ins Schwanken, Apache hat bei 50 schon Probleme und reagiert bei 200 garnicht mehr.

4. Sicherheit
Eines der Hauptpunkte der LightTPD-Entwickler ist die Sicherheit ihres Webservers. So ist es möglich die Version und den Namen bei Verionsanfragen zu verschleiern, FastCGI Prozesse mit unterschiedlichen Rechten auszuführen, Chroot Umgebungen zu bilden und vieles mehr. Apache bietet mit mod_security auch einen großen Umfang an Absicherungsmöglichkeiten, aber was Apache mit einem so dicken Module wie mod_security realisiert, macht LightTPD fast mit Boardmitteln.

5. Hilfe
Apache ist sehr verbreitet, es gibt viele Anlaufstellen, was aber nicht bedeutet, das man auch kompetente Hilfe bekommt, eher das Gegenteil ist der Fall. Bei LightTPD siehts ganz anders aus. Dort kann man es sogar noch wagen in den IRC-Channel zu gehen um dort seine Fragen zu stellen ohne direkt dumme Kommentare über sich ergehen lassen zu müssen. Meist sind sogar Entwickler selber anwesend und helfen einem Kompetent.

Wer jetzt noch nicht überzeugt ist, den überzeugt spätestens bei den folgenden Anwendern von LightTPD, dass LightTPD einfach die professionellere Lösung ist.
LightTPD setzten z.B. YouTube, Wikipedia und Meebo ein. Wenn das keine guten Referenzen sind.

Helfen kann bei einem Umstieg das Wiki von LightTPD und der Artikel Migrating from Apache to lighty.

Anhänger von HP Servern kennen es vielleicht welch ein grausames Unterfangen die Installation der HP SIM Agents auf Debian ist. Aber seitdem HP Debian offiziell supportet, hat sich da sowas von eniges getan. Früher durfte man versuchen aus den SuSE Enterprise Server 9 RPM-Paketen mit alien und verdammt viel Geduld das ganze ans laufen zu bekommen. Heute gibt es da deb-Pakete. Offiziell werden da zwar nur die G5 Modelle supportet aber ich habs heute auf einem HP ProLiant ML350 G3 getestet und das funktionierte ebenfalls wunderbar. Hier ein simples Howto wie es funktioniert.

Debian 4.0 HP value Add Software runterladen.
URL: Debian 4.0 (Etch) - HP ProLiant Value Add Software i386

Paketbeschreibungen:
hpasm = Enthällt Storage Agent, Server Agents, Foundation Agents
cmanic = NIC Agents
hpsmh = System Management Homepage

Abhängigkeiten installieren.
# aptitude install libstdc++2.10-glibc2.2 linux-kernel-headers snmpd snmp iproute libexpat1 ethtool

HP Software installieren.

# dpkg -i hpasm-7.8.0-100.etch26.i386.deb
# dpkg -i cmanic_7.9.0-5b.etch_i386.deb
# dpkg -i hpsmh-2.1.7-167.debian.i386.deb

hpasm aktivieren und konfigurieren.
# hpasm activate

hpsmh konfigurieren
# perl /usr/local/hp/hpSMHSetup.pl

Fertig!
Auf die System Management Homepage könnt ihr dann per "https://eureip:2381" zugreifen. Login ist euer Root Account. Ich steh ja normal nicht so auf die Überkonzerne, aber HP baut einfach die besten Server und ist der erste große der Debian Support bietet, für 3.1 und 4.0! Hut ab! Jetzt nur nicht von MS aufkaufen lassen.

Jetzt hat das Mobiltelefon von Apple, das iPhone auch endlich einen Provider in Deutschland, damit man mit dem Ding auch hier telefonieren kann. Niemand anders als T-Mobile hat das Rennen um den Vertragsabschluss gewonnen, wer auch sonst?! Laut Herrn Obermann war das ganze natürlich nicht dazu da um den Imageschaden des T-Konzerns auszugleichen sondern es ging auschließlich um das Wohl des Kunden. Super, jetzt bekommt man mit dem iPhone nicht nur einen überteuerten iPod, sondern auch noch ein 2 Jahres Vertrag mit T-Mobile aufs Auge gedrückt.

T-Mobile wins German iPhone deal

Apples iPhone ab dem 9. November bei T-Mobile Deutschland