Blogs

Nachdem die halbe Welt in Tränen ausgebrochen ist, weil das böse China Regierungs IT-Infrastruktur angreifen würde, weint jetzt Chine ne Runde mit und behauptet, dass sie ja schließlich auch angegriffen wurden.
Gleiches Recht für alle nur nicht der gemeine deutschen Staatsbürger, der bekommt die Hackertools verboten.

China says suffers "massive" Internet spy damage

Ich machs kurz, denn ich muss brechen.Sun und Microsoft haben eine Strategie-Allianz gegründet. Nach Novell SuSE und weiteren kleineren Distributionen ist nun also Sun dran. Wer soll Microsoft eigentlich noch stoppen? RedHat? Da bleibt bald nichts übrig! Und wie dämlich sind die denn alle? Microsoft kommt daher bietet jedem einen einmaligen Kooperationsvertrag an, kaufen ein paar Lizenzen und die denken alles wird gut oder was? Einmal Brechreitz hier.

Nun habe ich mich entschieden doch auf AWstats umzusteigen, da es doch seine Vorzüge hat. Bei AWstats hat man aber leider ähnliche Probleme wie bei Webalizer, das Logformat muss korrekt angegeben sein. Beim Logformat macht es auch noch einen Unterschied ob man nur eine Domain auf seinem Webserver hostet oder virtuelle Domains betreibt. Für alle die LightTPD mit virtuellen Domains einsetzten und AWstats nutzten wollen:

lighttpd.conf:
accesslog.format = "%h %V %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""

awstats.domain.conf:
LogFormat="%host %virtualname %logname %time1 %methodurl %code %bytesd %refererquot %uaquot"

Für Admins mit nur einer Domain wäre das oben genannte Funktionstüchtig oder:

lighttpd.conf:
accesslog.format = "%h %V %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\""

awstats.domain.conf:
LogFormat="%host %host_r %logname %time1 %methodurl %code %bytesd %refererquot %uaquot"

Dann klappts auch mit dem Logformat!

Hier findet ihr die Security Configuration Guides der NSA. Teilweise ganz interessant, sind aber leider nur unklassifizierte Dokumente, die richtig interessanten Infos, wie deren Systeme so abgesichert werden findet man wahrscheinlich nicht online. Ein Blick lohnt sich aber auf jedenfall! Etwas gewagt finde ich die Aussage, dass eine Standartinstalltion von Windows XP bis auf 3-4 Punkte bereits ausreichend abgesichert sei.

Einfach nur der Hammer ... da sind wohl ein paar Franzosen auf die Idee gekommen den Drive-In von McDonals zu exploiten und zwar folgendermaßen.
Man Fährt in einen Drive-In mit 2 Fenstern, eins zum zahlen und eins zum Junk abholen. Man wartet bis ein Auto vor einem ist und eins hinter einem, fährt dann zum 1. Schalter und wenn man gefragt wird was man gern haben würde hat man irgendeine dumme Ausrede und bestellt nichts, fährt langsam zum 2. Schalter und schnappt sich das Essen, dass der Typ hinter einem bestellt und bezahlt hat.
Nicht schlecht oder? Am besten geht das bestimmt an den Dingern mit Sprechanlage und 2 Fenstern! Hier der ganze Artikel.

Edit:
Hier noch das Video dazu.

Da wurde doch glatt der gemeine PC Benutzer zum Hacker. In dem Artikel von Heise UK wird darüber berichtet, dass das deutsche digitale Briefmarkensystem StampIt ein totaler Reinfall in Sachen Sicherheit ist. Bei StampIt kann man sich online Briefmarken kaufen, diese dann per PDF runterladen und das DRM in der PDF soll dann regeln, dass die Briefmarke nur einmal gedruckt werden kann. Das doofe war, das DRM befand die PDF mit Briefmarke sofort für ungültig sobald die PDF ausgedruckt wurde, aber ohne zu Prüfen ob der Ausdruck auch erfolgreich war. Verärgerte Benutzer von StampIt haben darauf einfach die PDF als PDF ausgedruckt und konnten dann auch bei fehlerhaften Druckversuchen die Marke nochmals ausdrucken lassen und nochmal ... und nochmal ... und nochmal. Also ab jetzt Porto 4 free!!

Lohnt sich der Umstieg auf Syslog-ng? Ja, auf jedenfall. Syslog-ng bietet nicht nur wesentlich besser Filtermechanismen, sondern unterstützt beim Loggen über das Netzwerk nicht nur udp sondern auch tcp Datenverkehr, oder sogar Loggen in eine SQL-Datenbank. Wenn man stolzer Besitzer von Debian ist hat man es leicht ein aptitude install syslog-ng installiert nicht nur syslog-ng sondern entfernt auch den alten syslogd und klogd. Nach der erfolgreichen Installation ist Syslog-ng bereits Einsatzfähig, da Debian eine vordefinierte Konfigdatei liefert, in der die wichtigsten Logdateien auth.log, syslog, cron.log, daemon.log, kern.log, lpr.log, mail.log, user.log und uucp.log bereits eingetragen sind.
Syslog-ng ist Modular aufgebaut mit verschiedene Konfigurationsblocks die untereinander genutzt werden.

1. Konfigurationsblock: options
Hier werden allgemein gültige Optionen für Syslog-ng definiert.
Doku: options

2. Konfigurationsblock: source
In diesem Block werden die Logquellen angegeben, d.h. z.B. /dev/log oder /proc/kmsg. So könnte man jeden Dienst der von Haus aus kein Syslog unterstützt einbinden, indem man seine Logdatei als Quelle enbindet.
Beispiel:

source s_all {
        internal();
        unix-stream("/dev/log");
        file("/proc/kmsg" log_prefix("kernel: "));
};

3. Konfigurationsblock: destination
In diesem Block wird das Ziel für das Logging definiert, normalerweise endet das Logging in einer Logdatei, es könnte aber auch per tcp weiter an einen Logserver oder per SQL in eine Datenbank geloggt werden. Besondere Beachtung sollte der Option template() schenken, da man mit dieser das Ausgabeformat einer Lognachricht angeben kann. Durch verschiedene Macros wie z.B. $YEAR, $PROGRAM oder $FACILIRY kann man ein beliebiges Format erstellen. Vorsicht aber bei Loganalyse-Tools diese kommen mit einem eigenen Format oft nicht klar, da sie auf das Syslogd-Format oder Dienst eigene Formate zugeschnitten sind.
Beispiel:

destination df_syslog { 
  file("/var/log/syslog");
};

4. Konfigurationsblock: filter
Im filter Block wird angegeben was aus dem Logstream ausgefiltert werden soll. Man kann hier nach verschiedenen Kriterien filtern z.B. Loglevel oder Logfacility.
Beispiel:

filter f_syslog { 
  not facility(auth, authpriv); 
};

5. Konfigurationsblock: log
Hier werden die vorher definierten Blocks miteinander kombiniert. Angenommen man möchte gerne die Datei /var/log/syslog erzeugen, würde man die source wählen, in der alle Logs auflaufen, den filter in denen Logfacility auth und authpriv nicht angezeigt werden und das Ziel, dass eine Datei /dev/log/syslog beschreibt.
Beispiel:

log {
        source(s_all);
        filter(f_syslog);
        destination(df_syslog);
};

Nun könnte man aus verschieden gestalteten Blöcken ein gut strukturiertes Logging aufziehen. Beachtet, dass die vordefinierten Blöcke von Debian erhalten bleiben, da die dort erstellten Logdateien essentiell für das Linuxsystem sind.

Die komplette Doku von Syslog-ng findet ihr hier im HTML-Format.

Das Handelsblatt ist ja normalerweise eher was für Menschen, die im Geschäftsleben Krawattenlängen messen. Die können aber auch anders. So hat Handelsblatt.com auch den Elektrischen Reporter hervor gebracht, der schon seit einiger Zeit recht nostalgisch durch das Web reportiert. Ich find den Kerl super!

Hier mal die Aktionen die ich so durchführe, um eine Debian 4.0 Minimalinstallation etwas abzuhärten.
Generell geht man beim härten eines Linux Systems immer gleich vor.

1. Physikalische Absicherung: BIOS Passwort, Boot Device festlegen, Servergehäuse abschließen (wenn möglich).
2. Partitionierung: Verzeichnisse, auf denen User, Dienste oder beides Zugriff haben auf eigene Partitionen legen.
3. Bootloader: Bootloader Passwort setzten.
4. Netzwerkdienste: Alle unnötigen Dienste abschalten.
5. Sicherheitsupdates einspielen.
6. Bastille durchlaufen lassen.
7. Firewall installieren.

Hat man diese Punkte ausreichend beachtet hat man zumindest eine Grundsicherheit erreicht.
Nun aber zur Absicherung einer Debian 4.0 Minimalinstallation.

1. Physikalische Absicherung
Da die physikalische Absicherung Hardware abhängig ist muss da jeder selber schauen wie er sein System am besten vor physikalischen Zugriff schützt.
Generell sollte man ein BIOS Passwort setzten und Booten von CD und Floppy abschalten.

2. Partitionierung
Bei der Partitionierung ist darauf zu achten, dass sämtliche Verzeichnisse auf die Dienste und Benutzer zugreifen auf eigenen Partionen liegen.
Die wichtigsten Verzeichnisse sind:
- /home : Größe abhängig von Useranzahl und Speicherbedarf
- /usr : Größe abhängig von eingesetzten Diensten und Tools
- /var : Größe abhängig von Diensten und Speicherbedarf
- /var/tmp : 500 MB - 1 GB
- /var/log : 1 GB - 10 GB
- /tmp : 500 MB - 1 GB

3. Bootloader
Das Bootloader-Passwort kann unter /boot/grub/menu.lst bearbeitet werden. Die Zeile # password topsecret auskommentieren und das Passwort entsprechend setzten.

4. Netzwerkdienste
Es gibt ein paar Dienste, die in einer Minimalinstallation bereits laufen, die aber aus meiner Sicht unnötig sind.
- portmap: Der RPC Portmapper.
- rpc.statd: Wird für NFS benötigt.
- identd: Informationen dazu hier, aus meiner Sicht unnütz auf einem Singleuser- und Serversystem.
- exim4: Ein Mailserver muss installiert sein, aber ich entscheide mich gegen exim4 und für Postfix.

Um diese Dienste zu entfernen die zuständigen Pakete löschen aptitude purge nfs-common portmap. Danach aptitude starten und die Pakete exim4, exim4-base, exim4-config und exim4-daemon-light zum purge und postfix zum installieren markieren.
Mit "g" die definierten Aktionen ausführen und Postfix bei der Abfrage als "Local only" installieren. Nun muss noch identd deaktiviert werden, dazu /etc/inetd.conf öffnen und die Zeile ident           stream  tcp     wait    ... auskommentieren.

5. Sicherheitsupdates
In den APT Quellen unter /etc/apt/sources.list die Quelle deb cdrom ... auskommentieren und danach aptitude update ausführen.
Nun wird der Paketindex aktualisiert, danach können die Updates mit aptitude upgrade eingespielt werden.

6. Bastille
Bastille ist standartmäßig nicht installiert, dazu einfach aptitude install bastille. In diesem Blogeintrag ist ein Dokument zu Bastille angehangen, sämtlich Informationen könnt ihr daraus erfahren.

7. Firewall
Als Firewall kann ich shorewall empfehlen. Für ein Standalone System findet ihr unter dem angegebenen Link Informationen, wie man Shorewall korrekt konfiguriert.
Eine andere Firewall oder manuelles eintragen von iptables Rules tuts natürlich auch, ist mir aber zu blöde.

Eine richtig schöne Seite ist die von Vivek Ramachandran. Auf seiner Seite www.security-freak.net gibt es mittlerweile eine Maße an Videos rund um das Thema Security. Der Typ hat glaub ich echt gut Ahnung, sein Vortrag auf der letzten Defcon soll wohl auch nicht schlecht gewesen sein. Schaut euch mal um, ihr findet sicher was interessantes!

• www.security-freak.net