Von meiner letzten Schulung die ich gehalten habe, befindet sich im Anhang die Referenz dazu. Die Schulung war an absolute Linux Neulinge gerichtet, aber auch Leute die schon was länger dabei sind könnten das Dokument gebrauchen, was zum Nachschlagen ist nie schlecht.

Ich habe soeben den 2. Teil der Howto Reihe "Mailserver mit Postfix, Dovecot, Antispam und PostgreSQL als Backend" fertiggestellt und online gesetzt. Im 2. Teil wird Dovecot als IMAP und POP3 Server installiert und konfiguriert und SMTP Auth über Dovecot realisiert.

Folgendes Leistet der Mailserver nach 2 Teilen:
- SMTP mit Postfix
- IMAP/POP3 mit Dovecot
- SMTP Auth
- Benutzerverwaltung über PostgreSQL Datenbank
- Virtuelle Benutzer und Domains
- Quota für IMAP und POP3

Im Prinzip habt ihr jetzt schon einen fertigen Mailserver, bei dem aber noch ein paar schöne Funktionen wie Antispam oder SSL fehlen.
Im 3. Teil wird das Thema Antispam behandelt.

HOWTO: Mailserver mit Postfix, Dovecot, Antispam und PostgreSQL Backend (Für Teil 2 weiter runter scrollen)

Sicherheitsprobleme haben nicht immer unbedingt was mit konkreten Software- oder Konfigurationsfehlern zutun. Oft ist neben der Software oder Hardware auch der Mensch, also die Meatware das Problem. Das ausfindig machen von Schwachstellen über eine soziale Schnittstelle nennt man "Social Engineering". Man muss aber oft noch nicht mal direkten Kontakt mit dem Menschen haben um Informationen über einen Menschen oder einer Gruppe von Menschen zu sammeln. Das Internet mit ihren Suchmaschinen und Sozialportalen ist eines der mächtigsten Werkzeuge.

1. Google
Google die größte Suchmaschine. Der Googlebot cached unaufhaltsam alles was ihm unterkommt, dabei natürlich auch Namen, Wohnanschriften und E-Mailadressen. Oft findet man viele Informationen über Nicknames, Namen oder E-Mailadressen und kann so schonmal einen groben Überblick darüber gewinnen, wofür sich der Mensch interessiert, vielleicht sogar wo er wohnt oder wie seine Telefonnummer lautet.

2. Paterva Maltego
Maltego ist ebenfalls eine Suchmaschine, aber mit dem Unterschied zu Google, ist sie speziell darauf getrimmt persönliche Informationen zu sammeln.
So kann man über eine Namenssuche, E-Mailadressen, Homepages, Telefonnummern und Domains ausfindig machen. Ein GUI Tool für euer Betriebssystem gibt es wohl auch, steht nur leider im Moment nicht zum Download zur Verfügung.

3. studiVZ
StudiVZ ist mein kleiner Liebling geworden, wenn es darum geht, schnell, zuverläßig und detailiert Informationen über Menschen zu sammeln. StudiVZ bietet nicht nur Fotos, sondern auch persönliche Informationen und das wichtigste das komplette Umfeld eines Menschen. Leider ist diese Möglichkeit auf jüngere Menschen begrenzt, für die älteren muss man diverse Partnerbörsen, Chatrooms oder Xing (ehemals openbc) zu Rate ziehen.

Das war ein grober Überblick darüber, was man nutzen kann um Informationen zu sammeln. Generell kann jedes Portal, jede Suchmaschine zu solchen Aktivitäten genutzt werden, im positiven Sinne natürlich auch im negativen Sinne.
Ich nutze diese Möglichkeit dafür um mich selber zu überprüfen, wieviel ist über mich bereits bekannt und vorallem über wen.

Ich wurden gefragt wie man mit aptitude auf das CDROM Laufwerk zufgreifen könnte.
Also erstmal, aptitude oder apt-get haben nichts mit dem direkten Zugriff auf ein Laufwerk zutun. Sie greifen auf die Quellen, die in APT konfiguriert sind zu und nutzen diese. Um also mit aptitude auf die Quelle CDROM zugreifen zu können muss diese in der Quellendatei von APT, /etc/apt/sources.list konfiguriert sein.
Um eine CD in die Quellen aufzunehmen gibt es ein praktisches Tool und zwar apt-cdrom. Legt die Debian CD in euer Laufwerk und gebt apt-cdrom add ein und die CD wird gescannt und euren Quellen hinzugefügt.

Eine HTTP-/FTP-Quelle wird in der /etc/apt/sources.list konfiguriert. Hier ein Beispiel:
deb http://ftp.stw-bonn.de/debian/ etch main contrib non-free
deb-src http://ftp.stw-bonn.de/debian/ etch main contrib non-free

Die aktuelle Liste aller verfügbaren Mirrors findet ihr unter www.debian.org/mirror/list.

Ab heute beginnt eine kleine Howto Reihe von mindestens 4 Teilen. In dieser Reihe wird ein Mailserver mit Postfix als SMTP, Dovecot als IMAP und POP3 und Antispam Maßnahmen mit verschiedenen Opensource Produkten angebunden an einen PostgreSQL Server realisiert. Das gesamte Projekt ist in jedem Teil von mir aufgesetzt und auf mehreren System getestet worden.

Der fertige Mailserver wird folgende Funktionen haben:
- SMTP / SMTP SSL
- IMAP / IMAP SSL
- POP3 / POP3 SSL
- Virtuelle User, Domains und E-Mailadressen über PostgreSQL konfigurierbar
- SMTP Authentifizierung
- Spamfilter
- Virenfilter
- weitere Antispam Maßnahmen (habe mich noch nnicht komplett entschieden)
- Webmail
- und vieles mehr

Eins kann ich schonmal vorweg sagen. Wer vorher die Variation Postix, Cyrus, MySQL genutzt hat wird sich umgucken, wie verdammt schnell ein Mailserver sein könnte.

Teil 1 handelt von der Installation Postfix, importieren des Datenbankschemas, anbinden von Postfix an PostgreSQL und konfigurieren des ersten Benutzers.
Teil 1 ist absofort in der Howto Sektion online.

Die Defcon ist eine, wenn nicht die größte Hackerveranstaltung der Welt. Jährlich treffen sich in Las Vegas die, die was zum Thema Sicherheit zu sagen haben. Videos der diesjährigen DefCon 15 gibt es jetzt online zu sehen.

DefCon 15 Videos

Ich habe im Howto "Härten eines OpenSSH Servers" die Wichtigkeit eines guten Passworts angesprochen. Daraufhin habe ich mich nochmal auf die Suche nach guten Guides gemacht, wie man sich ein sicheres Passwort generiert, wie man es sich merkt, was nicht verwendet werden sollte etc.

The Simplest Security: A Guide To Better Password Practices
Password Security: A Guide for Students, Faculty, and Staff of the University of Michigan

Und wenn es um wirklich sensitive Accounts geht, bei dem man Passwörter in Länge von 20 Zeichen oder mehr benötigt hilft nur ein Passworttresor wie KeePass weiter. Ich selber nutze KeePass und bin bisher sehr zufrieden.

MediaDefender ist eine garstige Truppe, die dem Datenpirat den Kampf angesagt hat. Die sind sogar so garstig, dass sie ein Videoportal Namens miivi.com launchen um damit Leute einzusacken, die Copyright geschütztes Material hochladen. Dabei Arbeiten die dann mit ein paar Medienknäbelvereinen wie der MPAA oder RIAA zusammen und sammeln die bösen Jungs von der Straße. Nunja dieser Verein wurde jetzt frontal vor den Schiffsbug getroffen und hat dabei 700 MB Mails aus den letzten 6 Monaten interne Kommunikation verloren. So ein pech. Jetzt ist das auch noch in die falschen Hände geraten und soll nun veröffentlicht werden. Inhalt dieser Mails sind z.B. Verfahren wie P2P User ausfindig gemacht werden können, wie man P2P Dienste stört aber auch hunderte von IPs und Logins zu deren Servern und Torrent Trackern, über die Datenpiraten gefasst werden sollten/wurden. Insgesamt mal ein richtiger Schlag vor den Kopf. Randy Saaf von MediaDefender meinte nur "This is really fucked.". Jap ist es!

Detailierter Artikel dazu hier.

Als Erstes, ein gut abgesicherter SSH-Server bringt nichts, wenn die Passwörter, der User, die sich einloggen zu schwach sind. Dies gilt für jeden Dienst der Authentifizierung erfodert. Vielen ist es zu umständlich sich ein kompliziertes Passwort zu merken, aber bedenkt, dass ab 8 Zeichen, Groß- und Kleinschreibung und Zahlen, das Passwort schon so komplex ist, dass ein Bruteforce einige Zeit, und damit meine ich mehrere Monate, dauert.

Nun aber zum SSH-Server.

1. IP-Adresse auf der SSH-Server lauscht
Überlegt euch von welcher Adresse aus euer SSH-Server konnektiert werden muss, das lauschen eines Dienstes auf allen verfügbaren Adressen ist nie empfehlenswert.
ListenAddress 192.168.0.1

2. Port auf dem der SSH-Server lauscht
Um ca. 80% der Attacken auf euren SSH-Server zu blocken reicht bereits nur das ändern des SSH-Ports. Die meisten Angriffe auf SSH-Server kommen aus Botnetzen, die einfach mal ins Blaue versuchen auf Port 22 einen SSH-Server zu konnektieren. Ändert diesen Port, am besten auf einen hohen Port über 20000, und die Bots seit ihr zum Großteil los.
Port 23425

3. SSH-Server Prozess mit den Privilegien des authentifizierten Benutzers laufen lassen
Wenn diese Option eingeschaltet ist, erstellt der SSH-Server bei einer Authentifizierung einen unpreviligierten Child Prozess, der nach erfolgreicher Authentifizierung die Rechte des authentifizierten Benutzers annimmt. Anmachen!
UsePrivilegeSeparation yes

4. Der SSH-Server prüft ob die Zugriffsrechte auf die Konfigurationsdateien und Verzeichnisse korrekt sind, bevor er startet. Einschalten.
StrcitModes yes

5. Root Login nicht erlauben
Der Login über einen normalen Benutzer erschwert dem Eindringling die Arbeit. Um auf das System einzudringen braucht der Eindringling 2 Passwörter, nur eins von beidem bringen ihm nichts, oder nur wenig. Zusätzlich kennt der Angreifer den richtigen Benutzernamen nicht, der sich einloggen darf. Was einen Bruteforce erheblich verlangsamt, da nicht nur das Passwort sondern auch der Benutzername erlangt werden müssen.
PermitRootLogin no

6. Ignoriere .rhosts und .shosts
Die beiden Dateien .rhosts und .shosts liegen, wenn sie existieren, im Homeverzeichnis eines Benutzers. In dieser Datei werden Hosts angegeben, die als vertrauenswürdig gelten und ohne Passwort Authentifizierung auf das System gelangen dürfen. Große Sicherheitslücke, auf jedenfall ignorieren diese Dateien!
IgnoreRhosts yes

7. Host basierte Authentifizierung daektivieren
Im Prinzip ähnlich wie Punkt 6. Es wird sich ohne Passwort nur mit dem Hostnamen authentifiziert. Abschalten.
HostbasedAuthentication no

8. Leere Passwörter verbieten
Das authentifizieren eines Benutzers mit leerem Passwort nicht erlauben.
PermitEmptyPasswords no

Diese 8 Punkte sind einfach zu konfigurierende Paramter, die eurem SSH-Server deutlich mehr Sicherheit bieten. Wer statt der Passwortauthentifizierung lieber die Zertifikats basierte Authentifizierung nutzen möchte kann sich hier darüber informieren.

Das Center for Internet Security ist eine non-profit Firma, die sich um die Ausarbeitung von Sicherheitsrichtlinien für IT-Systeme kümmert. Das CIS veröffentlicht dazu Security Benchmarks, die helfen sollen die IT-Sicherheit zu verbessern. Diese Benchmarks kann man über die Webseite des CIS frei beziehen.
Ich habe im Anhang mal den Benchmark für Debian und MySQL hinterlegt.