Nach einigem git bisect’en ergab sich vorhin:

Bisecting: 0 revisions left to test after this (roughly 0 steps)

[1992de83e375acc789daf66b7b72a812a5235b75] USB: qcserial: Enable Diagnostics Monitor and GPS ports on Gobi 2000

Nun muss /dev/ttyUSB1 statt wie bisher /dev/ttyUSB0 genutzt werden. Aber wer liest schon dauernd die LKML oder guckt sich alle Changes vor einem Kernel-Update an?


[user@srv2342 ~]$ ls -l /opt/backup
-rw-r--r-- 1 root root 2,6M 09. Apr 20:30 etc-20100409.tgz
-rw-r--r-- 1 root root 2,6M 10. Apr 20:30 etc-20100410.tgz
-rw-r--r-- 1 root root 2,6M 11. Apr 20:30 etc-20100411.tgz
-rw-r--r-- 1 root root 2,6M 12. Apr 20:30 etc-20100412.tgz


Natürlich war auch die /etc/shadow enthalten… john macht damit bekanntlich meist kurzen Prozess.

Beliebt sind scheinbar auch Scripte, die etwas der folgenden Art machen, um Backups zu erstellen und die Rechte korrekt zu setzen:

tar -czf /opt/backup/etc-backup.tgz /etc
chmod 600 /opt/backup/etc-backup.tgz

Hier entsteht eine klassische Race-Condition. Falls der Angreifer die Platten verlangsamt (z.B. per dd) und/oder eine while true Schleife nutzt, die er kurz vor Backupbeginn startet, kann er evtl. Teile oder das gesamte Backup kopieren.

Besser: Global umask 0027 setzen. Falls nicht möglich (z.B. Firmen-Policy), einfach vor dem Aufruf von tar ausführen:

umask 0027
tar -czf /opt/backup/etc-backup.tgz /etc


Backups müssen genauso wie die Originaldaten behandelt werden und gehören nicht nach /tmp oder mit unsicheren Dateirechten sonstwohin.

• Programmieren einer Schnittstelle, die die Regeln ausliest und in ein Repo eincheckt
• Automatische Backups durch die Firewall erzeugen lassen (oftmals per Mail möglich) und einchecken in ein Repo
• Eingeben der Firewallregeln in ein Dokumentationssystem
• Eingeben der Firewallregeln in ein System, welches die Regeln dann auf der Firewall anlegt
• Keine Dokumentation

Mich würde interessieren, wie ihr hier vorgeht? Z.B. für eine Zertifizierung nach dem IT-Grundschutzhandbuch sind solche organisatorischen Dinge nicht ganz unwichtig.

Alles Gute zum 10ten jährlichen SysAdmin Day an alle mitlesenden Adminkollegen!

Wie jedes Jahr am letzten Freitag im Juli ist auch heute wieder System Administrator Appreciation Day – der Tag, an dem der gemeine Anwender seinen Systemadministratoren auch mal “Danke” sagen darf. Heise hat passend dazu einige leidvolle Erfahrungen von Adminkollegen veröffentlicht. Ein schönes – und vor allem stressfreies – Wochenende!

Nun gibt es eine Petition gegen die Zensur durch die Hintertür: hier mitzeichnen! Heute morgen waren es bloß ca. 1.000 Mitzeichner, nun sind es bereits über 12.000. Laßt euch bitte nicht davon entmutigen, dass die Seite etwas lahm ist und man sich anmelden muss! Verbreitet die Seite außerdem bitte weiter, erzählt davon und klärt darüber auf, was es mit den DNS-Sperren auf sich hat!

Ausgenommen sind Anbieter mit weniger als 10.000 Nutzern, außerdem staatlichen Dienste wie Hochschulnetze und Behörden-Provider sowie einige hundert regionale Netzanbieter.

Völlig inkonsequent. Kinderpornos nur für Politiker und Studenten, hurra!? Kostet ja auch alles Geld und Zeit, was der Bund nicht ausgeben will. Aber die freie Wirtschaft “darf” es “freiwillig” tun, sonst wird sie als Kinderporno-Unterstützer abgestempelt! Vielleicht wollen die Politiker die nächsten Internetsperren für z.B. Onlinepoker nicht bekommen, oder fänden es vielleicht zu schwierig, die lächerlichen DNS-Sperren zu umgehen? Die Zypris weiß ja noch nicht einmal, wie dieses Internet-Surfdings heißt!

Interessant wäre jetzt zu wissen, ob man als Betreiber eines komplett öffentlichen DNS-Resolvers nun irgendwas machen muss, denn man bietet ja im Grunde vielen Millionen Nutzern einen Dienst an…

Quelle:
Spiegel

Bei näherer Betrachtung konnten wir den Inhalt als zwiebelartiges Ostergewächs klassifizieren (genaue Typbeschreibungen werden gerne entgegengenommen!). Das Paket wurde zusätzlich mit einer Karte mit besten “Green IT”-Oster-Grüßen und dem Leitspruch “Mehr Wachstum …” garniert.

Eine nette Aufmerksamkeit – wollen wir nur hoffen, dass der grüne Informatiker Daumen die Pflanze möglichst lange administriert pflegt und versorgt.

Besonders tragisch finde ich, dass auch die Raid Edition 2 betroffen ist, die man ja grade für professionell eingesetzte Systeme kauft… :/

Peinlich: mit der 1,5TB-Serie gab es kürzlich auch gravierende Probleme – bei Disk flushs fror die Platte ein. Machen die überhaupt QS?!?

Bei uns steht übrigens grade die Anschaffung von ~20 Servern vor der Tür, ich weiß schon, Festplatten welches Herstellers nicht gekauft werden.

Ich wünsche allen adminlife.net Besuchern und Feed-Abonnenten ein Frohes Weihnachtsfest 2008!

mehr Christmas-Cards

The first for loop, with a link name starting with an S (S35smb), causes Samba to be started when entering runlevels 3 or 5, which are the runlevels in which network file sharing (NFS) is normally enabled.

Instructions / Anleitung:

• Grab the nearest book. / Greif Dir das nächst erreichbare Buch.
• Open it to page 56. / Schlage Seite 56 auf.
• Find the fifth sentence. / Finde den fünften Satz.
• Post the text of the sentence in your journal along with these instructions. / Veröffentliche den Text des Satzes in Deinem Blog zusammen mit dieser Anleitung.
• Don’t dig for your favorite book, the cool book, or the intellectual one: pick the CLOSEST. / Greif nicht Dein Lieblingsbuch oder ein cooles Buch oder ein intellektuelles: Nimm das, das Dir am nächsten ist.

via

Leider gibt es keine Informationen darüber, wie die Angreifer die Server gehackt haben, wer etwas darüber weiß, möge hier bitte kommentieren!

All den hier mitlesenden Adminkollegen einen fröhlichen SysAdmin Day!

Auf dass die Server laufen, die Kunden ruhig und zufrieden sind und die Kollegen an den Ehrentag denken.

Trotz der aktuellen DNS Exploit Welle wünsche ich einen entspannenden Freitag sowie ein angenehmes Wochenende. Und nicht vergessen den Gerstensaft für das heut redlich verdiente Feierabend Bier kalt zu stellen!

P.s.: Wer noch eine kleine und günstige Aufmerksamkeit für den Administrator seines Vertrauens sucht, sollte sofort dieses PDF an den nächstgelegenen Drucker senden und mit Tesafilm in Sichtweite des Kollegen fixieren.

Nicht vergessen, in einer Woche ist der 9. jährliche System Administrator Appreciation Day!

Also, lasst euch für die lieben SysAdmin Kollegen was einfallen

Bildquelle

SSH Brute-Force Attacken sind nichts neues und gehören zum gewöhnlichen Netzrauschen. Auch gibt es bereits wirksame Methoden gegen die unerwünschten Einbruchversuche, wie z.B. fail2ban. Mit fail2ban werden häufige Anfragen einer IP erkannt und eine neue Firewall Regel für iptables erstellt, die zum Blocken der IP dient.

Eine neue Masche scheint die Nutzung von Botnetzen für die Brute-Force Attacken auf den SSH Dienst zu sein. Dadurch werden hunderte verschiedene Anfragen von ebenso vielen Hosts gestartet, die kollektiv miteinander verbunden sind. Hier versagt fail2ban. Bereits im Mai diesen Jahres wurden solche Versuche vermehrt festgestellt.

So lange der Admin und seine User sichere Passwörter nutzen und das root-Login generell verwehrt wird, haben Angriffe auf Basis von Standard Wörterbüchern auch weiterhin keine Chance. Noch sicherer ist es das Login mit Passwort komplett zu deaktivieren und nur noch die Authentifizierung via Public Key zu ermöglichen. Andere Empfehlungen raten zu dem Verstecken des SSH Dienstes auf einen ungewöhnlichen Port – Security through obscurity.

Wer sich jedoch mit dem größeren und unübersichtlichen Netzrauschen nicht abfinden will, muss wohl oder übel den Stecker ziehen oder zukünftliche Lösungsmöglichkeiten abwarten.

Nach einer missglückten MailScanner Konfiguration lief der Daemon Amok und wollte ständig seine neu startenden Kindprozesse töten. Wenigstens war die Ausgabe von htop witzig anzusehen.

Ich denke auf Kurz oder Lang werde ich um einen Wechsel zu amavisd-new nicht herumkommen, das fluppt einfach besser mit Postfix (so lautet jedenfalls der allgemeine Tenor unter Postfix Usern).

Leicht nervöse Frau am Telefon: “Frau foo hier, Firma bar, wir kennen uns nicht persönlich, tut mir leid, dass ich sie so anrufe, ich habe ihre Daten über Xing gefunden! Sie sind doch nicht böse?”
Ich: “Äh…naja…hmm, nee.” (*seltsamen Abwerbungsversuch erwartenend*)
Frau: “Ich wollte sie fragen, ob sie Fernwartungssoftware einsetzen, bzw. ob sie noch welche benötigen?”
Ich: “Hää? Ääh, nee danke, wir benutzen SSH…”
Frau: “Haben sie denn Interesse an unserer Lö..”
Ich: “…nein, SSH genügt mir, danke.”
Frau (verzweifelt): “Aber vielleicht in Zukunft, kann ich sie nochmal anrufen?”
Ich: “Nein, bestimmt nicht, tschüss!”

Xing ist wohl gut geeignet, um die passende Zielgruppen zu finden, unpassend finde ich den Anruf trotzdem – einserseits wegen der Kontaktquelle, andererseits weil man anhand meines Profils deutlich sieht, dass ich viel mit unixoide Systeme mache.

Meine Meinung ist immnoch: wer einen Fehler findet und ihn aus Faulheit nicht meldet, hat sein Recht verwirkt, sich darüber (und ggfs. andere Fehler in der Software) zu beschweren!

Ich sehe es bei Open Source schon auch als Userpflicht an, Bugs zu melden.

Wie seht ihr das Thema, soll man sich immer aktiv beteiligen und muss der Community etwas zurückgeben?

Ich halte ja gar nichts von Email Disclaimern in der Signatur und nutze solche auch selbst nicht. Die rechtliche Wirksamkeit ist auch mehr als fraglich. Aber es gibt noch weitaus schlimmere Disclaimer im Mailverkehr.

- ‘-D’: List files beginning with a dot (‘.’) even when the client doesn’t
append the ‘-a’ option to the list command. A workaround for badly
configured FTP clients. If you are a purist, don’t enable this. If you
provide hosting services and if you have lousy customers, enable this.

Im Januar wollte ich einen speziellen Server beschaffen; ich mag “Onlinekonfiguratoren” ganz gerne, da man dort immer direkt sehen kann, wieviel etwas mehr RAM, die nächstgrößere CPU usw. kostet. Kurzum: ich habe nicht wie sonst zuerst bei unserem Stammhändler telefonisch eine Anfrage gestellt und kurz darauf ein Angebot per PDF erhalten, sondern bei unserem “Alternativhänder” einfach mal wild rumgeklickt und was schönes zusammengestellt – es war nämlich kein 08/15 Server, sondern ein Gerät für einen besonderen Zweck und sowas ist bei unserem “Alternativen” manchmal 50-100€ günstiger – bei manchen Projekten muss eben mit spitzem Bleistift gerechnet werden. Ich bekam dann auch ein Angebot per Mail und es gab noch etwas zu klären – dort stand eine andere Festplattengröße als gewünscht, mir wurde jedoch schriftlich versichert, dass der Preis für 120GB gilt. Da unser “Standardhändler” einen gleichwertigen Server nur für etwa 100€ mehr liefern konnte und das Budget klein war, bestellte ich also beim “Alternativen”.

So weit so gut – die Lieferung zögerte sich allerdings immer weiter hinaus und die unfreundliche Kundenbetreuerin die wir bekamen, hat mich immer wieder vertröstet. Doch, oh Wunder! Nach nur etwa 2 Monaten Wartezeit statt der versprochenen “maximal 1-2 Wochen” kam die Ware an. Da es keinen besonderen Termindruck gab, wäre das nicht so schlimm gewesen; wenn nur der richtige Server geliefert worden wäre. Die mitgelieferten Schienen paßten nicht dran, die Festplatte war dann doch kleiner als versprochen und er war vom Aufbau anders als gewünscht. Ich habe erst noch erwogen ihn zu behalten, aber von unserem Schienenvorrate paßte keine Variante dran und ich lege aus Prinzip keine Server aufeinander.

Der Umtausch gestaltete sich schwierig: als ich sagte, dass falsch geliefert wurde, wiegelte die Kundenbetreuerin direkt ab: das könne garnicht sein. Auf der Rechnung stehe Modell soundso und das sei auch geliefert worden. Dem war aber definitiv nicht so, das Gerät sieht auch deutlich anders aus, als das Bestellte. Aber nein, das muss man mir ja nicht glauben! Auf den Hinweis, dass ich wohl kaum zu blöd zum Gucken bin, mußte sich erst drauf verständigt werden, dass ich ein Foto mache und hinschicke, bevor etwas weiteres unternommen wird. Wie lächerlich, seinen Kunden sowas zuzumuten! Nachdem die “freundliche” Kundenberaterin dann die Bilder hatte, hat sie es sogar eingesehen und war bereit den Server zurückzunehmen – wahrscheinlich auch, weil wir noch nicht überwiesen hatten. Auf die angebotene Option, mir das korrekte Gerät in “ca. 8 Wochen” zuschicken zu lassen, verzichte ich dankend, ebenso wie auf weitere geschäftliche Kontakte.

Jetzt nun meine Fragen an die (Serverbestellenden) Blogleser:
- Wo bestellt ihr? Ich nehme auch gerne volle URLs!
- Wie sucht ihr aus? Persönlicher Kontakt, Beratung? Onlinekonfigurator?
- Wie bestellt ihr? Telefon? Fax? Schneckenpost?

Da sicher irgendwer fragen wird: der Lieferant hat scheinbar Servernamen aus der griechischen Mythologie entnommen. Mehr wird dazu aber nicht verraten, denn es geht mir hier nicht darum, zu bashen.

[code language="css"]2008-04-08 08:38:05: (connections.c.1649) SSL: 5 error:00000000:lib(0):func(0):reason(0)[/code]

Durch die Fehlermeldungen wuchs die Logdatei ins Unendliche. Damit der Load wieder erträglich wurde, musste ich lighttpd stoppen und die alte Version 1.4.13-4etch6 installieren. Ein Bugreport ist gepostet.

Fazit: Lieber noch abwarten, wenn ihr SSL mit dem lighty nutzt!

1. Benutzerkonten von ausgeschiedenen Mitarbeitern zu löschen
2. Regelmäßig nach Rootkits scannen
3. Ein Trouble Ticket Tracking System zu benutzen
4. Dokumentationen zu erstellen und die Wissensdatenbank zu pflegen
5. An die Risiken von Flashspeichern zu denken
6. Eingeschränkte Root-Rechte zu vergeben
7. Freundlichkeit und Hilfestellung zu geben

Einige Punkte kann ich durchaus bestätigen. Für weitere Details verweise ich auf den lesenswerten Originalbeitrag von O’Reilly:
Top 7 Things System Administrators Forget to Do.

Über die obige Zeile bin ich heute per Zufall in einem logwatch Bericht gestolpert. Jemand versucht sich vergeblich über SSH mit dem Benutzernamen youthinkIdmakeitthateasy? einzuloggen. Warum mit solch einem Benutzernamen? Die spinnen, die Scriptkiddies …

Was passiert wenn man in hunderten Weiterleitungen eingetragen ist und mal eine gute Woche seinen Junk Ordner nicht leert? Genau – es sammeln sich ganz schnell mal über 20.000 Nachrichten an.

Heute war Aufräumtag. Zusätzlich wurden alle Spamfilter mit den gesammelten Werken gefüttert. Ein weiterer Punkt, den ich bald automatisieren möchte. Wie machen andere Postmaster das so? Werden eure Spamfilter regelmäßig trainiert oder reicht das “Autolearning” via Bayes?