home » search tags
Die Suche tag = sicherheit ergab 5 Treffer:

September
6
Eigentlich sollte es nur ein Test sein, aber mittlerweile habe ich mich dazu entschlossen uselessmouse.de auch per SSL anzubieten.

Da ich die Idee eines WOT (Web Of Trust) unterstütze, ist das Zertifikat von uselessmouse.de auch auf dieser Basis von CAcert

Solltet ihr beim Zugriff per SSL erhaltet (s.a. Screenshot).



muss zuerst die passende root.ca importiert werden.

Anschließend sollte die bekannte grüne Leiste zu sehen sein.

April
8
janitor » #useless #sicherheit
Eigentlich kann man zum aktuellen OpenSSL Bug (genannt Heartbleed) nur eins sagen:

ouch
The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop communications, steal data directly from the services and users and to impersonate services and users.


Eine wirklich ausgezeichnete (technische) Erklärung des Bugs kann man hier finden.

Update 08.04.2014 - 16:00
Debian hat es mittlerweile geschafft eine neue Version zu publizieren, für Red Hat bzw. CentOS stehen diese noch aus.
April
5
Das PAM google-authenticator bietet die Möglichkeit z.B. seinen SSHd mittels TOTP zu schützen. Die Einrichtung ist relativ trivial.

Installation

Zuerst muss man sich die passenden sourcen von der Projektseite besorgen und anschließend entpacken

tar xfj libpam-google-authenticator-1.0-source.tar.bz2



um beim kompilieren das passende PAM zu erstellen, muss am Anfang der Datei Makefile folgendes hinzugefügt werden

LDFLAGS="-lpam"



Das übersetzen und installieren übernimmt

make && make install



Nun sollte die Datei /usr/local/bin/google-authenticator vorhanden sein.

Für jeden Benutzer der sich via google-authenticator am System authentifizieren soll, muss google-authenticator ausgeführt und die erscheinenden Fragen (im Normalfall sollte 'y' die passende Antwort sein) beantworten

  Do you want authentication tokens to be time-based (y/n) y
https://www.google.com/chart?....
Your new secret key is: CVQLXXXXXXX
Your verification code is 72XXX
Your emergency scratch codes are:
153XXXXX
239XXXXX
698XXXXX
232XXXXX
359XXXXX

Do you want me to update your "/home/user/.google_authenticator" file (y/n) y

Do you want to disallow multiple uses of the same authentication
token? This restricts you to one login about every 30s, but it increases
your chances to notice or even prevent man-in-the-middle attacks (y/n) y

By default, tokens are good for 30 seconds and in order to compensate for
possible time-skew between the client and the server, we allow an extra
token before and after the current time. If you experience problems with poor
time synchronization, you can increase the window from its default
size of 1:30min to about 4min. Do you want to do so (y/n) y

If the computer that you are logging into isn't hardened against brute-force
login attempts, you can enable rate-limiting for the authentication module.
By default, this limits attackers to no more than 3 login attempts every 30s.
Do you want to enable rate-limiting (y/n) y



Die angezeigte URL (https://www.google.de/....) muss nun im Browser geöffnet und der gezeigte QR-Code mit der passenden App gescannt werden.

PAM aktivieren

Durch hinzufügen von auth required pam_google_authenticator.so in /etc/pam.d/sshd wird das passende PAM für den SSHd bereitgestellt.

Das eigentliche aktivieren geschieht in /etc/ssh/sshd_config durch den Parameter ChallengeResponseAuthentication yes.

Abschließend muss nur der SSHd neugestartet werden.
Februar
26
janitor » #useless #sicherheit
Da hat ein Bekannter seinen Server unbedingt selber betreiben müssen und das ohne eine Ahnung von Linux oder wie man dieses Absichert m(

Das Ende von Lied war das sein Server von seinem Provider offline genommen wurde mit dem Hinweis das von diesem Attacken auf andere Systeme ausgeübt wurden.

Seine verzweifelten Versuche das ganze lokal mit iptables zu lösen wurde natürlich nicht von Erfolg gekrönt.
Kein Wunder, denn wenn die Pakete erstmal beim System sind ist es bereits zuspät...

Ein kurzer Anruf bei seinem Provider und der Bitte alle eingehenden Anfragen auf UDP (Port 123) zu verwerfen brachte das gewünschte Ergebnis.

Achja, wer wissen möchte was es mit dem NTP Amplification Attack aufsich hat, kann bei CloudFlare eine gute Erklärung hierzu finden.

Hier noch ein Paar Details:

  • Sourceport war (bis auf wenige Ausnahmen) immer TCP 80
  • ca. 80 beteiligte Hosts
  • knapp 1000 Requests pro Sekunde
  • die vorhandene Bandbreite von 1Gbps war kpl. ausgelastet und ein Login per SSH kaum mehr möglich


Wie immer kann ich nur empfehlen, man muss nicht immer alles selber machen...
Januar
23
... ob das nur (mehr oder minder gut) versteckte Werbung ist, oder ob der Verfasser einfach nur keine Ahnung hat.

Irgendwie ist mir heute ein alter Artikel bei SPON in die Hände gefallen bei dem beschrieben wird wie man seine Mails von nicht EU-Providern zu einem Provider in D umziehen kann... grundsätzlich wäre dagegen nichts einzuwenden, aber die Einleitung gibt einen sehr speziellen Grund dafür

Wegen der NSA-Spähaffäre haben viele Menschen das Vertrauen in US-Firmen wie Google und Microsoft verloren - und wollen ihre E-Mails lieber über deutsche Anbieter abwickeln. Hier einige Tipps, wie der Umzug zum neuen Provider klappt.


Grundsätzlich OK wenn man Anbietern wie Google, Microsoft nach den Enthüllungen der letzen Wochen/Monaten kein Vertrauen mehr schenkt.

Aber jedem der POP3 nicht für einen Lolli hält, sollte klar sein das es geradezu lächerlich ist zu denken das man so seine Mails vor neugierigen Blicken schützen kann.

Ich möchte jetzt nicht behaupten das Anbieter in der EU keine Mails ihrer Kunden lesen oder an div. Dienste weiterleiten, aber wundern würde es mich nicht.

Vielmehr sollte jedem bewusst sein das die Kommunikation via POP3/SMTP/IMAP immer unverschlüsselt und im Klartext erfolgt und somit ohne große Probleme mitgelesen werden können.

Aber was kann man dagegen tun?

Man sollte sich zuerst einen Provider suchen der IMAPS oder zumindest POP3s unterstützt, damit wäre zumindest die Kommunikation zwischen Server und Client verschlüsselt.

Grundsätzlich rate ich aber zum Einsatz von PGP! Sicherlich muss man nicht jede Mail verschlüsseln, aber selbst das signieren von Mails bringt einen massiven Zuwachs an Sicherheit.

Grund genug für mich in den kommenden Tagen eine Anleitung zu diesem Thema zu schreiben...