Archiv

Artikel Tagged ‘Sicherheit’

Mit RFID das Rechenzentrum inventarisieren

12. April 2009 7 Kommentare

Ich bin durch Zufall auf den Artikel Server effizient verwalten, Kosten reduzieren im Rechenzentrum beim Tecchannel gestoßen. Darin auch ein Abschnitt über RFID:

Auf jeder Höheneinheit (HE) eines Racks befinden sich drei RFID-Transponder, die den Server beim Einbau in das Rack identifizieren. Der genaue Standort jedes Servers wird Auf diese Weise kontaktlos erfasst und dokumentiert. Auf den passiven RFID-Transpondern lassen sich Kenndaten der im Rack montierten Komponenten speichern.

Klingt intressant. Nur was ist mit Sicherheit? Bei RZ-Betreibern mit Kundenbetrieb wird es bestimmt sehr intressant. Ich glaube kaum, das es ein Intresse daran gibt, das Infrastrukturdaten quasi Public Domain werden. Selbst bei ansonsten geschlossenen Rechenzentren liesse bestimmt mal eine ‚Führung‘ organisieren. Eine Vorstellung die mir das kalte Grausen über den Rücken jagt.

Mal ganz davon ab stellt sich die Frage, ob RFID an dieser Stelle wirklich ein Problem löst, ausser die Faulheit der RZ-Verantwortlichen in Fragen der Inventarisierung auszubügeln.

Tags: , ,

Sicheres SSH

28. Dezember 2008 3 Kommentare

Die Secure Shell (SSH) ist heute das Maß der Dinge wenn es um einen sicheren Zugriff auf Server geht. Nichts ist allerdings so gut, das man es nicht noch ein bischen verbessern könnte. Besonders wenn man etwas mehr Kontrolle über die Dinge haben möchte, muss man ein wenig Hand anzulegen.

Kontrolle sichern

Zuallererst gilt es dem Benutzer die Kontrolle über das authorized_keys-File zu entziehen, denn die später beschriebenen Maßnahmen haben keinen Sinn, wenn der Benutzer sie einfach umgehen kann. Denn normalerweise liegt diese Datei im Home-Verzeichnis des Benutzer und er könnte sie einfach löschen und neu erstellen. Genau an dieser Stelle wird angesetzt, indem man auf den betroffenen Systeme die /etc/ssh/sshd_config ändert:

AuthorizedKeysFile /etc/ssh/authorized_keys/%u

Durch diese Änderung liegen die Key-Files in /etc/ssh/authorized_keys/ und tragen den Namen des Benutzers. Durch entsprechende Dateiberechtigungen können Änderungen nur noch durch Root vorgenommen werden:

# ls -l
insgesamt 16
-rw-r----- 1 root joern 397 25. Dez 23:13 joern
-rw------- 1 root root  396 25. Dez 16:53 root

Zugriff absichern

Nun können Restriktionen für die SSH-Session im Key-File hinterlegt werden:

from="*.aumund.org",no-port-forwarding,no-X11-forwarding,no-pty ssh-rsa AAAAB3NzaC1yc2[..]EyqAw== joern@cm-master

Dieser Benutzer darf sich also nur von Hosts der aumund.org Domäne einloggen, es gibt kein Port- und X11-Forwarding und auch keine interactive Shell. Alle Optionen finden sich in der Man-Page (man sshd im Abschnitt AUTHORIZED_KEYS FILE FORMAT)

Sicheres Automatisieren

Mit SSH lassen sich wunderbar einfach Aufgaben automatisieren. Normalerweise nimmt man dazu einen Key ohne Passphrase. Wem das nicht reicht steht vor einem Problem: Der ssh-agent funktioniert nur solange man angemeldet ist. Hier hilft KeyChain aus, denn es setzt einen SSH-Agenten pro Benutzer und nicht einen pro Session.

Die Benutzung ist sehr einfach. Nach der Installation erweitert man die .bash_profile des betroffenen Benutzers:

/usr/bin/keychain ~/.ssh/id_rsa ~/.ssh/id_dsa
source ~/.keychain/${HOSTNAME}-sh > /dev/null

Beim nächsten Anmelden wird dann die Benutzer-Session aufgesetzt

KeyChain 2.6.8; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL

 * Initializing /home/joern/.keychain/cm-master-sh file...
 * Initializing /home/joern/.keychain/cm-master-csh file...
 * Initializing /home/joern/.keychain/cm-master-fish file...
 * Starting ssh-agent
 * Warning: can't find /home/joern/.ssh/id_dsa; skipping
 * Adding 1 ssh key(s)...
Enter passphrase for /home/joern/.ssh/id_rsa:
Identity added: /home/joern/.ssh/id_rsa (/home/joern/.ssh/id_rsa)

und steht nun bis zum nächsten Reboot(!) zur Verfügung. An der Sache mit dem Reboot sollte man immer denken, wenn man Aufgaben automatisiert hat, ansonsten kann es zu ernsten Problemen kommen.

Referenzen:
Playing with OpenSSH public keys
Secure, Automated, Key based SSH

Tags: , ,

Viele Passwörter unter Linux verwalten

15. Januar 2008 6 Kommentare

Wer kennt das nicht: Je mehr Computer, Programme oder Internet-Applikationen man hat umso mehr Passwörter muss man verwalten. Vielen helfen sich damit immer das gleiche Passwort zu nutzen, wieder andere verlassen sich auf die Passwort-Verwaltung ihres Browsers. Keine schöne Lösung.

Um der Passwort-Flut her zu werden gibt es für Linux das kleine Kommandozeilen-Tool pwsafe.

Nach der Initialisierung der Datenbank

joern@kif:$ pwsafe --createdb

Kann man den ersten Eintrag machen:

joern@kif:$ pwsafe -a 
Enter passphrase for /home/joern/.pwsafe.dat: 
name: zap
group []: host
username: root
password [return for random]: 
Generate random password? [y] y
Use WGgsrjEg^3T=N$703VDlC~^=YLNhB+b%$4Y
type alpha/digit/symbol, length 36, 160 bits of entropy [y/N/ /+/-/q/?] ? -
[..]
Use ?EJL$O0fD
type alpha/digit/symbol, length 9, 40 bits of entropy [y/N/ /+/-/q/?] ? y
notes: 
Add another? [n]

Wie zu sehen ist kann pwsafe auch Passwörter generieren, die aber leider zu lang und zu schwer zu merken sind. Besser eignet sich hierfür apg. Durch die Angabe einer Gruppe kann man Einträge mit gleichen Namen haben.

Für das spätere Auffinden ist es hilfreich, das es ausreicht nur einen Teil des Namen anzugeben

joern@kif:$ pwsafe -up ki
Enter passphrase for /home/joern/.pwsafe.dat: 
username for kif: root
password for kif: ?EJL$O0fD

und wer so garnichts mehr weiss kann einfach die gesamte Datenbank dumpen:

joern@kif:$ pwsafe --exportdb
Enter passphrase for /home/joern/.pwsafe.dat: 
# passwordsafe version 2.0 database
uuid    group   name    login   passwd  notes
"402982f6-5416-fb36-d507-74956a0de12f"  "host" "kif" "root" "?EJL$O0fD" ""

Einfaches und effektives Tool wie ich finde.

Fort Knox war gestern

18. Dezember 2007 Kommentare ausgeschaltet

Früher waren es Goldbarren, heute Hardware. Ist bestimmt auch viel leichter zu Geld zu machen:

Thieves impersonating policemen stole more than $4 million in equipment from a Verizon Business data center in northern London Thursday night, according to UK papers, who are describing the incident as an „Ocean’s Eleven“ heist.
‚Ocean’s 11‘ Data Center Robbery in London

Ok, ich brauch 10 Leute. Durchgeknallte, Geeks, Nerds, Schweißer, Fahrer, Organisator und nen Zigarren-Raucher. Achne, das war das A-Team.

Links for 2007-11-4

4. November 2007 4 Kommentare

Easy Prey

13. Oktober 2007 5 Kommentare

Ich weiss hier gibt es viel Windows-Bashing, aber Windows mach es einen auch so verdammt einfach:

Der Internet Explorer wird wegen Sicherheitsrisiken automatisch von Windows geschlossen

Nachtrag: Nautilus ist auch nicht besser

Neulich in der Anleitung

12. Oktober 2007 2 Kommentare

Das immer mehr Open-Source in kommerziellen Produkten verwendet wird, darüber hatte ich schon berichtet. Die Software wird dadurch nicht unbedingt sicherer, wie man hier sehr schön sehen kann:

Offener Apache-Proxy

Achja, und Root-Passwörter für Mysql werden sowieso überschätzt.

Verbrechen von morgen schon heute

24. Mai 2007 2 Kommentare

Früher[tm] habe ich für mein Leben gerne Max Headroom geschaut. Es wurde mit der Zeit doch arg vorhersehbar und irgendwie fand ich die Vision spannend und in sich schlüssig. Doch nichts ist härter als die Realität. Mittlerweile gibt es Bombenanschläge in virtuellen Welten oder Leute taggen in Last.FM Paris Hilton als Brutal Death Metal , das nennt sich dann Social tagging vandalism und ist vergleichbar mit Graffiti im echten Leben.

Das schlimme ist: gegen diese Verbrechen geht niemand vor. Unsere schöne Online-Welt wird unsicher und in Mord und Totschlag enden. Wir brauchen nicht nur eine Online-Polizei, wir brauchen virtuelle Online-Streifen in Second Life, virtuellen Verfassungs- und Staatsschutz. Wir brauchen Online Online-Untersuchungen, Hausdurchsuchungen in virtuellen Besitztümern und Gefängnisse für straffällig gewordene Avatare. Mit den Schnüffelproben wird es schwierig, aber ich habe gehört Herr Schäuble arbeitet an den Problem.

WordPress 2.1.2 erschienen

3. März 2007 8 Kommentare

Gestern abend ist WordPress 2.1.2 erschienen und fixt hoffentlich die ganzen vor kurzen aufgetretenen Lücken. Es ist dringend angeraten die neue Version zu installieren, auch weil WordPress.org gehackt und so eine manipulierte Version von Version 2.1.1 zum Download angeboten wurde.

Das Patchen ist für mich seit dem Umstieg auf 2.1 kein Problem mehr. Dadurch, das ich keine Änderungen mehr im Source vornehme, sondern nur noch mit Plugins arbeite,brauche ich nur noch das Upgrade-Paket von WordPress-Deutschland, in dem nur die veränderten Dateien enthalten sind. Kurz eine Sicherheitskopie und dann an der richtige Stelle entpacken. Fertig – einfacher gehts kaum!

Links for 2006-02-28

28. Februar 2007 Kommentare ausgeschaltet
  • Starkstromkabel für Grafikkarten – Heute noch ein Witz, morgen Wirklichkeit (via IRC)
  • Insiderwort des Tages – ver-ITIL-t
  • Solaris Telnet Worm – Das witzige daran ist nicht der Wurm, sondern das die publizierende Firma WordPress 2.0.5 als CMS einsetzt. Da macht der Werbeslogan Security to the Core doch richtig Sinn
Tags: , ,