Archive for the ‘adminlife’ Category
Auch immer wieder gesehen: falsche Berechtigungen von Backups.
[user@srv2342 ~]$ ls -l /opt/backup
-rw-r--r-- 1 root root 2,6M 09. Apr 20:30 etc-20100409.tgz
-rw-r--r-- 1 root root 2,6M 10. Apr 20:30 etc-20100410.tgz
-rw-r--r-- 1 root root 2,6M 11. Apr 20:30 etc-20100411.tgz
-rw-r--r-- 1 root root 2,6M 12. Apr 20:30 etc-20100412.tgz
Natürlich war auch die /etc/shadow enthalten… john macht damit bekanntlich meist kurzen Prozess.
Beliebt sind scheinbar auch Scripte, die etwas der folgenden Art machen, um Backups zu erstellen und die Rechte korrekt zu setzen:
tar -czf /opt/backup/etc-backup.tgz /etc
chmod 600 /opt/backup/etc-backup.tgz
Hier entsteht eine klassische Race-Condition. Falls der Angreifer die Platten verlangsamt (z.B. per dd) und/oder eine while true Schleife nutzt, die er kurz vor Backupbeginn startet, kann er evtl. Teile oder das gesamte Backup kopieren.
Besser: Global umask 0027 setzen. Falls nicht möglich (z.B. Firmen-Policy), einfach vor dem Aufruf von tar ausführen:
umask 0027
tar -czf /opt/backup/etc-backup.tgz /etc
Backups müssen genauso wie die Originaldaten behandelt werden und gehören nicht nach /tmp oder mit unsicheren Dateirechten sonstwohin.
Ich frage mich, wie ihr eure Firewallregeln in Firmenfirewalls verwaltet und sichert – wer iptables oder eine darauf basierende Lösung besitzt, wird wohl einfach automatisch oder eventbasiert Backups machen oder die Regeln in ein Repo einchecken – doch was machen die armen Admins, die mit proprietärer Hardware zu tun haben? Mir fallen spontan folgende 5 Punkte ein:
- Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
- Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
- Eingeben der Firewallregeln in ein Dokumentationssystem
- Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
- Keine Dokumentation
Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.
Mitarbeiter: “Seit wann haben wir eigentlich den neuen Virenscanner im Einsatz?”
Admin: “Wir haben keinen neuen Virenscanner!”
Mitarbeiter: “Ja doch, der ist doch bei mir installiert, guck mal hier: Total Secure Virusprotect ist jetzt drauf!”
Admin: “Also wir haben immernoch….Oh nein…!?”
Mitarbeiter: “Installiert habe ich den nicht! Ach, gestern ist meine Frau mit dem Laptop herumgesurft und wollte da so eine Serie runterladen…”
Admin: *stöhn*
Naja, wozu gibt es Images… :/
Ein Partner, den ein Kunde zur Anwendungsentwicklung ins Boot geholt hat, hat sich diese Woche geweigert, uns seine feste IP für eine Freischaltung von SSH/HTTP herauszugeben, denn:
sie ist geheim.
Die IP darf uns auf gar keinen Fall bekannt werden – SSH/HTTP sollte also für das gesamte Internet freigeschaltet werden.
Wenn ich zu Projektanfang schon solche Äußerungen höre, wird mir immer gleich mulmig und der weitere Projektverlauf sowie Gespräche bei technischen Problemen werden bestimmt ein riesiger Spass. 
Ok, ich hab es getan. Nachdem Twitter adminlife nicht als Username wollte und ich der ganzen Zwitscherei vorerst skeptisch gegenüber stand, bin ich nun doch unter admlife auf Twitter zu finden.
Alles Gute zum 10ten jährlichen SysAdmin Day an alle mitlesenden Adminkollegen!
Wie jedes Jahr am letzten Freitag im Juli ist auch heute wieder System Administrator Appreciation Day – der Tag, an dem der gemeine Anwender seinen Systemadministratoren auch mal “Danke” sagen darf. Heise hat passend dazu einige leidvolle Erfahrungen von Adminkollegen veröffentlicht. Ein schönes – und vor allem stressfreies – Wochenende! 
Die DNS-Sperren wurden ja in der “Bloggosphäre” reichlich diskutiert und werden allgemein als sinnlos für den angedachten Zweck und schädlich für den Normalbürger erachtet, auch weil schon jetzt hinter vorgehaltener Hand neue Überwachungs und Kontrollmöglichkeiten diskutiert werden, wie z.B. die Echtzeitüberwachung der Stopp-Seiten.
Nun gibt es eine Petition gegen die Zensur durch die Hintertür: hier mitzeichnen! Heute morgen waren es bloß ca. 1.000 Mitzeichner, nun sind es bereits über 12.000. Laßt euch bitte nicht davon entmutigen, dass die Seite etwas lahm ist und man sich anmelden muss! Verbreitet die Seite außerdem bitte weiter, erzählt davon und klärt darüber auf, was es mit den DNS-Sperren auf sich hat!
Ausgenommen sind Anbieter mit weniger als 10.000 Nutzern, außerdem staatlichen Dienste wie Hochschulnetze und Behörden-Provider sowie einige hundert regionale Netzanbieter.
Völlig inkonsequent. Kinderpornos nur für Politiker und Studenten, hurra!? Kostet ja auch alles Geld und Zeit, was der Bund nicht ausgeben will. Aber die freie Wirtschaft “darf” es “freiwillig” tun, sonst wird sie als Kinderporno-Unterstützer abgestempelt! Vielleicht wollen die Politiker die nächsten Internetsperren für z.B. Onlinepoker nicht bekommen, oder fänden es vielleicht zu schwierig, die lächerlichen DNS-Sperren zu umgehen? Die Zypris weiß ja noch nicht einmal, wie dieses Internet-Surfdings heißt!
Interessant wäre jetzt zu wissen, ob man als Betreiber eines komplett öffentlichen DNS-Resolvers nun irgendwas machen muss, denn man bietet ja im Grunde vielen Millionen Nutzern einen Dienst an…
Quelle:
Spiegel
