system user mit gesetzten Passwort
Oft sind veraltete Passwörter oder Accounts ein Einfallstor für Hacker Angriffe. In meiner auth.log finden sich hierfür fiele Beispiele. Um Herauszufinden welche User einen Account mit Passwort zugriff...
View Articledhcp server im Netz
Es passiert immer wieder das irgendein Depp im Wohnheimnetz einen DHCP Server anschließt. Dies kann zur folge haben das Bewohner aufgrund einer falschen IP und default route kein Internet haben, im...
View Articletcp timestamp attack nach rfc1323
Mit verschiedenen Werkzeugen ist es möglich über die in RFC 1323 Section 3.2 Spezifizierte Option die Uptime eines Rechners zu ermitteln. Der Theorie nach soll man so Angriffe gegen ungepachte Kernel /...
View ArticleOpenVPN und ICMP Type 3
OpenVPN nutzt zur Bestimmung der Maximum Transmission Unit (MTU) ICMP Pakete des Typs 3. Dafür ist es dringend erforderlich das man diese auch an der Firewall zulässt. If a software or hardware...
View Articleiptables ICMP Typen
Um mal zu verdeutlichen welche ICMP Anfragen an meinen Server gestellt werden, habe ich folgende Typenbeschreibung als Kommentar in iptables ausgeben lassen. iptables -A INPUT -p icmp --icmp-type 0 -j...
View ArticleLUKS crypto verfahren prüfen
Linux Unified Key Setup (LUKS) ist das Standardtool unter Ubuntu für eine Festplatten Vollverschlüsselung. Das noch unter 12.04 verwendete Standartverfahren war CBC das laut Jakob Lell seit dem...
View Articleubuntu disabled cacert.org
Beim einrichten eines Servers unter 14.04 ist mir folgendes aufgefallen: SSLCACertificateFile: file ‘/usr/share/ca-certificates/cacert.org/cacert.org.crt’ does not exist or is empty Darauf hin schaute...
View Articleheartbleed OpenSSL bug mit iptables droppen
Auf meinen KVM Hosts habe ich mittels iptables den heartbleed bug gedropt. So bleibt genügend zeit die openssl zu updaten und die Dienste neuzustarten bzw. alle Kunden zu informieren dies zu tuhen....
View ArticleClik here to view.
Verwirrende Fehlermeldung
Beim betreten meines Blogs mit einem neu aufgesetzten Rechners bekam ich folgende verwirrende Fehlermeldung: Invalid OCSP signing certificate in OCSP response. (Error code:...
View Articlewp-login.php serverseitg filtern
Aktuell finden heftige Angriffe auf WordPress Accounts statt. Die schnellste und einfachste Möglichkeit dies zu unterbinden, ist das Droppen aller Aufrufe der wp-login.php mittels iptables: iptables -I...
View ArticleShellShock CVE-2014-6271 pakete für Debian sarge, etch and lenny
Für all die noch ein “älteres” Debian im Einsatz haben, habe ich die Updates für ShellShock (CVE-2014-6271) für Debian sarge, etch and lenny mal in mein repository gepackt: echo "deb...
View ArticleOhje, alles gepacht und doch verwundbar
Es reicht nicht aus nur Updates einzuspielen, wenn man Dienste nicht neu startet deren libraries aktualisiert wurden. Denn erst nach einem Neustart werden diese neu eingelesen. lsof | grep libssl |...
View ArticleTLSA record generrieren
Zum einfach erstellen von DANE DNS Einträge habe ich mir ein Script geschrieben das, dass Zertifikat vom Server (z.b Webserver) abruft und den dazu passenden TLSA record erstellt. #!/bin/bash #(c) 2014...
View Articledns sshfp record für alle Algorithmen gleichzeitig erstellen
Wie ich schon vor einigen Jahren geschrieben habe, kann man die SSH fingerprints im DNS hinterlegen, um SSH Verbindungen zu validieren. # dig -t sshfp blog.chr.istoph.de ;; ANSWER SECTION:...
View ArticleClik here to view.
ssllabs overall rating zabbix check
Aktuell kann man fast jede Woche auf ssllabs.com nachschauen, ob das “rating” einer Webseite mal wieder gefallen ist, einer der Server falsch konfiguriert ist oder einfach nur vergessen wurde Dienste...
View Articlehowto enable cisco remote loggin
Um mitzubekommen welche Kable bzw. welche Portds am cisco Switch aktiviert werden leiten wir die Evends an einen Remote Server weiter. An diesen haben wir lediglich in der /etc/rsyslog.conf das udp...
View ArticleWordPress Angriffe filtern
Ich habe im August 2014 bereits eine Lösung mit iptables und fail2ban geschrieben. Da diese aber zu viele „fals positiv“ produziert hat, habe ich mich noch einmal hingesetzt und eine sowohl auf...
View ArticleTransport Verschlüsselung E-Mail Provider
Da Stiftung Warentest aktuell die erneuten Tests für E-Mail Server heraus gibt, habe ich mir mal die Mühe gemacht, die Transport Verschlüsselung auf unseren E-Mail Servern herauszufiltern um diese nach...
View ArticleDatei Transfer in citrix mit Zeichenablage…
Man kann ja zum Glück sagen das Citrix auch unter Linux läuft, aber wenn dies die einzige Art ist um mit einem Netzwerk zu kommunizieren. Muss man sich andere Hintertüren bauen um Daten ins/aus einem...
View ArticleDebian 6 Kernel with Meltdown fixes
Da aktuell nur für Debian 9 stretch, für den Meltdown Bug, ein Kernel Update verfügbar ist. Habe ich für die folgenden Versionen ebenfalls einen Kernel nach vorlagen der jeweils letzten Kernelconfig...
View Article
