Archive for the ‘adminlife’ Category

Security fail pt4: Backups

Posted on the April 28th, 2010 under adminlife, hacks, tipps by stefan

FacepalmAuch immer wieder gesehen: falsche Berechtigungen von Backups.


[user@srv2342 ~]$ ls -l /opt/backup
-rw-r--r-- 1 root root 2,6M 09. Apr 20:30 etc-20100409.tgz
-rw-r--r-- 1 root root 2,6M 10. Apr 20:30 etc-20100410.tgz
-rw-r--r-- 1 root root 2,6M 11. Apr 20:30 etc-20100411.tgz
-rw-r--r-- 1 root root 2,6M 12. Apr 20:30 etc-20100412.tgz

Natürlich war auch die /etc/shadow enthalten… john macht damit bekanntlich meist kurzen Prozess.

Beliebt sind scheinbar auch Scripte, die etwas der folgenden Art machen, um Backups zu erstellen und die Rechte korrekt zu setzen:

tar -czf /opt/backup/etc-backup.tgz /etc
chmod 600 /opt/backup/etc-backup.tgz

Hier entsteht eine klassische Race-Condition. Falls der Angreifer die Platten verlangsamt (z.B. per dd) und/oder eine while true Schleife nutzt, die er kurz vor Backupbeginn startet, kann er evtl. Teile oder das gesamte Backup kopieren.

Besser: Global umask 0027 setzen. Falls nicht möglich (z.B. Firmen-Policy), einfach vor dem Aufruf von tar ausführen:

umask 0027
tar -czf /opt/backup/etc-backup.tgz /etc

Backups müssen genauso wie die Originaldaten behandelt werden und gehören nicht nach /tmp oder mit unsicheren Dateirechten sonstwohin.

Firewallregelmanagement

Posted on the September 20th, 2009 under adminlife, howtos, wissen by stefan

Ich frage mich, wie ihr eure Firewallregeln in Firmenfirewalls verwaltet und sichert – wer iptables oder eine darauf basierende Lösung besitzt, wird wohl einfach automatisch oder eventbasiert Backups machen oder die Regeln in ein Repo einchecken – doch was machen die armen Admins, die mit proprietärer Hardware zu tun haben? Mir fallen spontan folgende 5 Punkte ein:

  • Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
  • Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
  • Eingeben der Firewallregeln in ein Dokumentationssystem
  • Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
  • Keine Dokumentation ;)

Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.

Neuer Virenscanner?

Posted on the August 26th, 2009 under adminlife by stefan

computervirus Neuer Virenscanner? Mitarbeiter: “Seit wann haben wir eigentlich den neuen Virenscanner im Einsatz?”

Admin: “Wir haben keinen neuen Virenscanner!”

Mitarbeiter: “Ja doch, der ist doch bei mir installiert, guck mal hier: Total Secure Virusprotect ist jetzt drauf!”

Admin: “Also wir haben immernoch….Oh nein…!?”

Mitarbeiter: “Installiert habe ich den nicht! Ach, gestern ist meine Frau mit dem Laptop herumgesurft und wollte da so eine Serie runterladen…”

Admin: *stöhn*

Naja, wozu gibt es Images… :/

Geheime IPs

Posted on the August 8th, 2009 under adminlife, humor by stefan

Ein Partner, den ein Kunde zur Anwendungsentwicklung ins Boot geholt hat, hat sich diese Woche geweigert, uns seine feste IP für eine Freischaltung von SSH/HTTP herauszugeben, denn:

sie ist geheim.

Die IP darf uns auf gar keinen Fall bekannt werden – SSH/HTTP sollte also für das gesamte Internet freigeschaltet werden.
Wenn ich zu Projektanfang schon solche Äußerungen höre, wird mir immer gleich mulmig und der weitere Projektverlauf sowie Gespräche bei technischen Problemen werden bestimmt ein riesiger Spass. :(

Es zwitschert …

Posted on the August 5th, 2009 under adminlife by matthias

Ok, ich hab es getan. Nachdem Twitter adminlife nicht als Username wollte und ich der ganzen Zwitscherei vorerst skeptisch gegenüber stand, bin ich nun doch unter admlife auf Twitter zu finden.

Happy SysAdmin Day 2009!

Posted on the July 31st, 2009 under adminlife by matthias

sysadminday 20092 Happy SysAdmin Day 2009!

Alles Gute zum 10ten jährlichen SysAdmin Day an alle mitlesenden Adminkollegen!

Wie jedes Jahr am letzten Freitag im Juli ist auch heute wieder System Administrator Appreciation Day – der Tag, an dem der gemeine Anwender seinen Systemadministratoren auch mal “Danke” sagen darf. Heise hat passend dazu einige leidvolle Erfahrungen von Adminkollegen veröffentlicht. Ein schönes – und vor allem stressfreies – Wochenende! :)

JETZT mitmachen: Petition gegen Internetsperren!

Posted on the May 4th, 2009 under adminlife, netzwelt, news by stefan

stopp 300x300 JETZT mitmachen: Petition gegen Internetsperren!Die DNS-Sperren wurden ja in der “Bloggosphäre” reichlich diskutiert und werden allgemein als sinnlos für den angedachten Zweck und schädlich für den Normalbürger erachtet, auch weil schon jetzt hinter vorgehaltener Hand neue Überwachungs und Kontrollmöglichkeiten diskutiert werden, wie z.B. die Echtzeitüberwachung der Stopp-Seiten.

Nun gibt es eine Petition gegen die Zensur durch die Hintertür: hier mitzeichnen! Heute morgen waren es bloß ca. 1.000 Mitzeichner, nun sind es bereits über 12.000. Laßt euch bitte nicht davon entmutigen, dass die Seite etwas lahm ist und man sich anmelden muss! Verbreitet die Seite außerdem bitte weiter, erzählt davon und klärt darüber auf, was es mit den DNS-Sperren auf sich hat!

Nicht alle Provider sollen zensieren

Posted on the April 18th, 2009 under adminlife, news by stefan

Ausgenommen sind Anbieter mit weniger als 10.000 Nutzern, außerdem staatlichen Dienste wie Hochschulnetze und Behörden-Provider sowie einige hundert regionale Netzanbieter.

Völlig inkonsequent. Kinderpornos nur für Politiker und Studenten, hurra!? Kostet ja auch alles Geld und Zeit, was der Bund nicht ausgeben will. Aber die freie Wirtschaft “darf” es “freiwillig” tun, sonst wird sie als Kinderporno-Unterstützer abgestempelt! Vielleicht wollen die Politiker die nächsten Internetsperren für z.B. Onlinepoker nicht bekommen, oder fänden es vielleicht zu schwierig, die lächerlichen DNS-Sperren zu umgehen? Die Zypris weiß ja noch nicht einmal, wie dieses Internet-Surfdings heißt! ;)

Interessant wäre jetzt zu wissen, ob man als Betreiber eines komplett öffentlichen DNS-Resolvers nun irgendwas machen muss, denn man bietet ja im Grunde vielen Millionen Nutzern einen Dienst an…

Quelle:
Spiegel