Alle Beiträge von Konstantin Filtschew

Über Konstantin Filtschew

Building an operation system without source code, is like buying a self assemble space shuttle without instructions. (Author unknown)

Software RAID 0/1/5 unter dem Debian Installer erstellen

Linux

Die Grundidee hinter dem Software Raid von Linux besteht darin, Partitionen zu erstellen und diese zu einem Raid zu verbinden. Mit diesem Grundgedanken wird es auch einfach das Raid einzurichten, weil nur dadurch klar wird, dass man auf jeder der Raid Festplatten die Partitionen x-fach anlegen muss.

Performance von Software Raid:
Man sollte nicht zu viel von Software Raid erwarten, da alle Informationen auf der CPU berechnet werden und das System damit nicht wenig Last erzeugt. Mein Testsystem ist ein betagter 800er Sempron mit 512 MB RAM mit Software Raid-1 Verbund. Er schafft mit FTP schreibend gerade mal 5-6 MB/s, da die CPU vollständig ausgelastet ist.

Erklärung zu Software Raid im Vergleich zu Hardware Raid:
Wer Hardware Raid Systeme konfiguriert hat und mit Software Raids nicht zu tun hatte, muss zuerst etwas umdenken. Im Hardware Raid existieren Devices in Form von Festplatten. Bei Software Raid sind diese Devices Partitionen, die als „Physical volume for RAID“ markiert werden. Diese Partitionen die als virtuelle physikalische Geräte markiert sind, werden dann zu Software RAID Arrays zusammen geschlossen.
Diese ergebenen wiederrum Partitionen und nicht virtuelle Laufwerke, die nicht mehr partitioniert werden können. Diese virtuellen Laufwerke werden mit dem jeweilig gewünschten Dateisystem formatiert und ergeben damit die benutzbaren Partitionen.

!!! Wer sich die vorhergehende Erklärung von mir, nicht durchgelesen hat, den bitte ich das noch zu tun, bevor er weiter macht und Verständnisschwierigkeiten bekommt!!!

Da die Erklärung eine Menge Verwirrung spart, schreibe ich jetzt hier die Schritte für die Durchführung der Raid Konfiguration für Raid 1 auf. Raid 5 und Raid 0 gehen analog. Auch setze ich vorraus, dass man sich wenigstens bei Wikipedia zu den einzelnen Raid-Arten schlau gemacht hat.

Diese Anleitung gilt für den Debian Installer in dem „Expert Mode“. Wie es unter generell jedem Linux geht, werde ich demnächst auch noch erläutern (die liebe Zeit fehlt mir).

Die Erklärung beginnt ab dem Punkt Partitionierung des Debian Installers:

  1. Für Raid muss unter „Partition method“ „Manuel“ gewählt werden.
  2. Hier erstellt man seine Wunschpartitionen und wählt danach in „Partition settings“ im Menüpunkt „Use as“ „physical volume RAID“ für die Partition aus. Diese Partition dient jetzt als eine Device für das spätere Raid.
  3. Jetzt wiederholt man den zweiten Schritt für jede Partition nochmal und vergisst nicht eine Swap Partition zu erstellen, weil es nicht viel Sinn macht, sie zum Raid hinzuzufügen. Wer es dennoch wünscht, kann es gerne tun.
  4. Den zweiten Schritt muss man am besten identisch zu der ersten Festplatte ausführen, so dass später die Auswahl einfacher wird.
  5. Jetzt sollten mindestens 2 Festplatten mit dem gleichen Partitionsschema vorhanden sein und oben im Menü unter der Festplattenübersicht ist ein neuer Menüpunkt „Configure software RAID“ erschienen.
  6. In dem „Configure software RAID“ Menüpunkt können nun die „physical volume RAID“ zu RAID Partitionen durch die Auswahl „Create MD device“ verbunden werden. Das muss für jede Partition wiederholt werden.
  7. Wenn man jetzt auf „Finish“ drückt und  in die Partitionsübersicht zurück kehrt, so sind ganz unten die neuen Partitionen des Software RAIDs aufgelistet. Diesen Partitionen muss jetzt das Dateisystem und der „Mount point“ hinzugefügt werden.
  8. Wenn dazwischen nicht schief gegangen ist, dann kann mit der weiteren Installation des Systems forgesetzt werden.

Hinweis:

  • Ist das Software Raid schon mal erstellt worden, so sollte man zuerst die „MD Devices“ löschen, bevor man irgend etwas an den Partitionen der wirklichen Festplatten ändert.
  • Grub und Lilo können nur von Raid 1 und nicht Raid 5 Devices booten. Aus diesem Grund sollte die Root-Partition als Raid 1 konfiguriert werden.
  • Sollte die Installation des Bootloaders einmal nicht funktionieren, so sollte man versuchen den Befehl auf einer der anderen Consolen auszuführen indem man vorher mit „chroot /target“ sich in die installierte Umgebung einklinkt und dann den Schritt der Installation durchführt.

Das wars erstmal von meiner Seite – Kritik und Verbesserungsvorschläge nehme ich gerne an.

Ich hoffe damit jemanden geholfen zu haben – mir dient es als eine gute Notiz. Ein Danke-Kommentar erfreut jeden Author! 😉

Was ist ein sicheres Passwort und wie kann ich es mir „merken“?

Sicherheit

Passwörter stellen die Basis für Zugänge zu Diensten dar. Nicht selten sind die Zugänge aber ganze Firmennetzwerke. Aus diesem Grund sollte die Wahl des Passwortes sehr gut überlegt sein und nach Möglichkeit sollten andere Methoden wie Smart Cards oder wenigstens Zertifikate benutzt werden, um die Sicherheit zu erhöhen.

Trotzdem werden auch Heutzutage sehr viele Zugänge durch Passwörter geschützt und da muss man sich raus helfen. Deswegen versuche ich im weiteren Lösungsansätze und ihre Tücken zu beschreiben.

Erster Lösungsansatz:
Heute können Passwörter mit einer Länge von 5 Zeichen in wenigen Minuten geknackt werden und mit der steigenden Rechenleistung müssen die Passwörter immer länger werden. Das hilft natürlich dem Benutzer nur wenig sich Passwörter zu merken. Wenn der Name der Frau, Tochter, Sohn, Mutter oder Schwiegermutter zu kurz wird, dann kommt oft eine Kombination der genannten Punkte zustande. Oft werden auch Geburtstage von nahen Menschen als Passwörter benutzt. Hier lässt nicht nur die Länge der Passwörter, als auch die Komplexität zu wünschen übrig. Dazu benötigt es oft nicht mal eines schneller Rechners, als ein bisschen raten und die nahe stehenden Personen kennen. Oft führen Passwortattacken zum Erfolg, da Nutzer sich einfache Begriffe als Passwörter aussuchen.
Damit fallen lange Passwörter ohne weitere Komplexitätsbedingungen als steigernde Sicherheitsmaßnahmen kaum ins Gewicht.

Zweiter Lösungsansatz:
Der zweite Ansatz besteht darin nicht nur wie im ersten Ansatz die Länge, sondern zusätzlich die Komplexität der Passwörter mit Zahlen zu erhöhen. Dadurch wird der Suchraum für Wörterbuch Attacken schwierig und für Bruteforce Attacken deutlich komplexer, weil der Suchraum sind durch die Zahlen vergrößert. Allerdings hilft es oft nicht gegen „schlechte Kombinationen“ wie z.B. Name der Frau/Freundin + Geburtstag. Nur wenige und nicht wirklich geheime Informationen helfen dem Angreifer auch dieses komplexer wirkende Passwort zu knacken.

Dritter Lösungsansatz:
Im dritten Ansatz sollten nicht nur lange Passwörter, sondern Zahlen und Sonderzeichen erzwungen werden. Zusätzlich soll eine Mindestanzahl an Zahlen und Sonderzeichen vorgeschrieben werden. Solch ein komplexes Passwort wird viele Wörterbuch und Bruteforce Attacken erschweren. Davon ausgenommen sind „glänzend“ gewählte Passwörter wie „1ch_b1n_sup3r“ oder ähnliche Kombinationen, wenn sie auch jetzt deutlich schwerer zu erraten sind.
Das größere Problem ist die große Unzufriedenheit der Benutzer, weil sie sich oft für viele verschiedene Dienste (privat und beruflich) Passwörter merken müssen. Auch der Administrator gewinnt damit keine Freunde unter den Nutzern, wenn er auch oft wenig für diese Regelungen kann.
Aber komplexe Passwörter lassen nicht nur Admins, sondern auch Nutzer ruhiger schlafen, weil sie auch die Verantwortung für ihre Handlungen tragen müssen. Damit gehen wir zum vierten und meiner Ansicht nach im Moment den vernünftigsten Weg, bis es endlich vertrauenswürdige „Signle Sign On“ Systeme existieren, die uns von dieser Komplexität befreien.

Vierter Lösungsansatz:
Da komplexe und lange Passwörter zwangsweise gefordert werden, sollte auch ein vernünftiger Kompromiss gefunden werden, der dem Benutzer das Merken der vielen langen Passwörter abnimmt und ihm damit vor allem das regelmäßige Ändern der Passwörter erleichtert. Als Basisschutz für diesen Passwortspeicher nehmen wir ein komplexes und langes Passwort, welches die anderen Passwörter schützen soll. Der Nutzer speichert die Passwörter in einem sicheren Speicher, aus dem er die Passwörter bei Bedarf mit Hilfe des Master Passwortes auslesen kann.

Sicherung des Passwortspeichers:
Der Speicher für Passwörter stellt aber gleichzeitig ein hohes Sicherheitsrisiko dar, da in ihm alle Passwörter und damit alle Zugänge gespeichert sind. Oft sind in solchen Speichern auch Kreditkarten Nummern und Zugänge zu Bankkonten hinterlegt.
Wegen Bequemlichkeit und da viele ihr Mobiltelefon fast immer bei sich tragen, gewinnt das Handy als Passwortspeicher an Bedeutung. Da das Handy klein, leicht und immer mitgeführt wird, stellt es auch ein gutes Diebesgut dar. Aber auch Implementierungsfehler in der Firmware, Software oder Betriebssystem können das Auslesen der verschlüsselten Datei mit den Passwörtern ermöglichen.
Da die Sicherheit der mobilen Geräte kaum beeinflusst werden kann, sollte bei einem Diebstahl der Daten, dem Dieb so wenig wie möglich Informationen preisgegeben werden. Auch wenn der Angreifer das Passwort nicht kennt, so wird er es versuchen zu knacken.
Ist der Inhalt einfach nur verschlüsselt, so kann davon ausgegangen werden, dass nach endlicher Zeit die Verschlüsselung geknackt werden kann und damit die Passwörter in falsche Händer geraten.
Um dieses Problem zu lösen, haben die Forscher des Fraunhofer Instituts Sichere Informationstechnologie sich eine Lösung einfallen lassen. Für den Mobile Sitter wird ein Master Passwort erstellt, welches die Passwörter gegen Angriffe schützt, in dem es bei beliebiger Eingabe Passwörter liefert. Damit ist das Raten von Passwörter kaum möglich, da der Angreifer immer ein Ergebnis erhält und dadurch nicht auf das richtige Masterpasswort schließen kann. Der Benutzer erhält bei der richtigen Eingabe aber seine Passwörter zu sehen. Ein Bild hilft ihm als Erkennungsmerkmal, dass er auch wirklich das richtige Passwort eingegeben hat.
Als einziges Manko ist die Möglichkeit des Ändern der Passwörter bei beliebiger Eingabe zu sehen. Aber auch dieser Nachteil ist wichtig für die Sicherheit, da der Angreifer unter keinen Umständen erfahren soll, dass er das richtige Passwort eingegeben hat. Allerdings sollte keiner sein Handy mit Passwörtern jemand anders geben und eine Export-Möglichkeit rettet die gespeicherten Informationen auch bei unfreiwilligen Änderungen.

Erhöhte Sicherheit mit dem Mobile Sitter:
Besonders sicherheitsbewusste Nutzer können die Sicherheit noch weiter erhöhen, in dem sie verschiedene Passwörter mit verschiedenen Master Passwörtern speichern und damit gleichzeitig eine Art „Gruppierung“ der Passwörter nach Sicherheitsstufe und Einsatz sicherstellen können. Erhält de Angreifer den verschlüsselten Speicher und ein Passwort, so bleiben wenigstens die anderen Passwörter geheim, da sie mit einem anderen Passwort verschlüsselt wurden.

Wer sich für den Mobile Sitter oder andere ähnliche Systeme interessiert, den verweise ich auf die Herstellerseiten. Dort sind auch die Verschlüsselungsverfahren und mögliche Geräte für die Nutzung aufgelistet. Der Mobile Sitter gilt hierbei als Beispiel für ein Produktklasse und verhilft zu deutlich mehr Sicherheit im Vergleich zu Passwortspeicher Systemen mit einer möglichen Eingabe für das Master Passwort.

Damit das Generieren der Passwörter auch wirklich sicher ist, empfehle ich die folgende Seite, auf der auch der Algorithmus für die Generierung erklärt ist: https://www.grc.com/passwords.htm

Quellen und Links zusammengefasst:

Über Kritik oder Anregungen zu diesem und anderen Beiträgen würde ich mich sehr freuen.

Debian OpenSSL Debakel zusammengefasst und trotzdem gelobt!

Linux, Sicherheit

Nein, ich möchte nicht lästern und mich über Debian beschweren. Ich möchte Debian und den Entwicklern für die offenen Kommunikation danken. Natürlich trug auch dieser Fehler nicht wenig Arbeit mit sich, aber besser offen diskutiert und alle gewarnt, als den Fehler unter dem Teppich zu verstecken.

Aus diesem und anderen Gründen werde ich Debian weiter nutzen, unterstützen und fördern. Das gillt generell für Linux und offene Projekte, den nur so haben wir eine Wahl in unseren Entscheidungen und müssen uns nicht von einer einzelnen Firmen diktieren und kontrollieren lassen. Dabei meine ich nicht direkt Microsoft, sondern alle Firmen die Druck auf die Kunden ausüben, weil die Kunden keine andere Wahl haben.

Allerdings sind auch die Nutzer oft dran Schuld, weil sie alles aussitzen und sich nicht um Alternativen kümmern.

Quellen und weitere Hinweise:

  • http://www.heise.de/newsticker/Schwache-Krypto-Schluessel-unter-Debian-Ubuntu-und-Co–/meldung/107808
  • http://www.heise.de/security/Der-kleine-OpenSSL-Wegweiser–/artikel/108001/0
  • http://www.securityfocus.com/archive/1/492112/30/0/threaded
  • http://metasploit.com/users/hdm/tools/debian-openssl/
  • http://www.de.debian.org/security/2008/dsa-1576
  • http://www.heise.de/newsticker/Konsequenzen-des-OpenSSL-Debakels–/meldung/107921

exim4 – Mailqueue leeren / clear mail queue

FreeBSD/NetBSD/OpenBSD, Linux, OpenSource Software

Manchmal bleiben in exim4 ein paar E-Mails hängen, die man zum Test verschickt hat. Das ist besonders nervig, wenn sie falsch sind, nicht raus gehen oder im Moment einfach nicht verschickt werden können, weil ein anderes Problem besteht.

Achtung: Die Befehle leeren die E-Mail Queue ohne ein Rücksicht auf den Inhalt zu nehmen!

Die erste Lösung besteht in dem Ausführen des folgenden Befehls:

[code]
exim -qff
[/code]

oder das Gleiche mit Debug Ausgaben

[code]
exim -qff -d
[/code]

Anmerkung: Bei älteren Versionen von exim musste noch hinter dem „-d“ ein Debug Level „-d9“ angegeben werden.

Sind die E-Mails „frozen“ oder in der „retry queue“, so hilft nur noch dieser Befehl:
[code]
exim4 -Mrm `ls /var/spool/exim4/input/ | grep — -H$ | cut -c 1-16`
[/code]

Möge der Mailserver mit dir sein! 😉

WordPress 2.5.1 und wieder Sicherheitslücke behoben

Allgemeines

Man darf den glauben an sichere Software nie verlieren und deswegen spiele ich immer brav die Aktualisierungen von Sicherheitskritischen Updates ein.

Im Vergleich zu vielen anderen Programmen läuft die Aktualisierung unter WordPress absolut ohne Probleme.

Behoben wurde eine schwerwiegende Sicherheitslücke und über 70 Fehler in der aktuellen Version 2.5.1.

Danke an das WordPress Team für dieses tolle Produkt!

Weitere Informationen zu der Lücke:

In der Version 2.5 konnten Benutzer mit speziell angelegten Benutzernamen Cookies in der Art manipulieren, so dass sie sich als ein andere Benutzer ausgeben konnten. Dies betrifft ebenfalls den Administrator Account, der sich auch zum Ausführen vom beliebigen Code auf dem Webserver einsetzen lässt.
Jedem WordPress Nutzer wird angeraten seine Version zu aktualisieren und verdächtige Benutzernamen zu löschen.

Informationen und weitere Hinweise:

Nein! Nicht Google – es ist Junk!

Spam, Malware, Viren und Würmer

Wenn auch am Anfang des Links eine Google Adresse steht, so muss es nicht bedeuten, dass die Adresse auch so von Google kommt oder direkt auf Google zeigt.

Junk Versender missbrauchen Weiterleitungsfunktionen von Google, um die Zugriffraten auf die eigenen Seiten zu erhöhen. Deshalb sollten Links in unbekannten E-Mails nicht interessehalber geöffnet werden. Im einfachsten Fall ist es nur eine Seite, die Viagra und co verkauft. Schlechter sieht es aus, wenn eine Lücke im Browser, System oder sonstigem Programm ausgenutzt wird und ein Trojaner, Wurm, Virus oder Ähnliches auf dem Rechner aufgespielt wird.

Das Problem besteht auf jeder Seite, die Weiterleitungen ohne Prüfung des Ziels der Weiterleitungsadresse anbietet. Dadurch kann jeder die Weiterleitungsfunktion auf die folgende Art und Weise zusammenstellen (diese Adresse ist nicht reell):

http://www.irgendwas.cx/redirect.php?redirect=http://www.daistviagra.cx

Die Seite „http://www.irgendwas.cx/redirect.php“ bietet über die Datei „redirect.php“ eine Weiterleitungsfunktion an. Dabei leitet Sie den Benutzer von der Seite „http://www.irgendwas.cx/redirect.php“ auf die Seite „http://www.daistviagra.cx“ um. Das bedeutet, dass der Benutzer trotz des Aufrufs der Seite „http://www.irgendwas.cx/redirect.php“ bei dem Viagra Verkäufer „http://www.daistviagra.cx“ landet

Deshalb rate ich jedem Nutzer seine Neugierde für sich zu behalten und vielleicht was sinnvolles anzuklicken: klick mich!

PS: Wer den Link klick mich! geöffnet hat, möge bitte ein Kommentar hinterlassen 😉

Dann weiterhin sicheres Surfen im unsicheren Internet!

Debian Paketkonfiguration des Systems mit dpkg sichern

Linux, OpenSource Software

Ab und zu, muss man ein identisches System z.B. für Testzwecke installieren. Dabei stellt sich das Problem ein, dass viele Pakete auf dem System installiert sind und man sie auf dem neuen System identisch haben will, ohne ein Image zu verwenden oder das laufende System irgendwie bei der Arbeit zu stören. Hier hilft dpkg mit einem Befehl.

Paketkonfiguration in eine Datei sichern:
[code]
dpkg –get-selections > package.list
[/code]
Packetkonfiguration in das System laden und mit dem zweiten Befehl die Änderungen durchführen:
[code]
dpkg –set-selections < package.list apt-get dselect-upgrade [/code] So - diese Weisheit habe ich jetzt auch hier und nicht nur in meinen Textdateien notiert!

Spammer missbrauchen meine E-Mail Adressen als Absenderadressen

Spam, Malware, Viren und Würmer

Hallo an alle Mitlesenden und Opfer,

Heute haben Spammer meine E-Mail Adresse hgf__at__filtschew.de als Absenderadresse missbraucht. Wer eine E-Mail von dieser Adresse erhält, dann kann er sich sicher sein, dass sie nicht von mir ist, da es nur eine Weiterleitungsadresse ist.

In English:

Hello,

if you’ve recieved e-mail with the sender (from-Field) hgf__at__filtschew.de, you can be sure it wasn’t me. This address is used for a site and is only a forwarder address. This address was used today by spammer for sending junk e-mails.

Greetz

Konstantin

Spammer verstecken Inhalte in Zip-Archiven vor Spamerkennungssoftware

Spam, Malware, Viren und Würmer

In den letzten Tagen hat sich das Spamaufkommen erhöht und die Anzahl der durch die Filter durchkommender Spam E-Mails hat sich ebenfalls erhöht.  Dies liegt vor allem an dem Grund, dass seit kurzem Leere E-Mails mit Anhängen verschickt werden, die für Spamasssassin und andere Anti-Spam Programme nicht als Spam zu identifizieren sind, da die E-Mails keinerlei Inhalt zum Einstufen besitzen.

Der Inhalt der Nachrichten liegt verpackt in dem Zip-Archiv und kann erst nach dem Entpacken klassifiziert  werden, was im Moment wohl kaum eine Anti-Spam Software unterstützt. In dem Archiv liegt meistens eine HTML-Datei mit wenigen Worten und ein paar Links zu altbekannten Produkten aus dem Spam E-Mails.

Früher wurden schon PDF-Dateien als Übertragsmedium verwendet, um die Nachricht von der Anti-Spam Software zu bewahren. Letzte Zeit sind ein im Zip-Archiv versteckte HTML-Seiten.

Diese Zip-Archive bedeuten natürlich ein Diskomfort für den „Spamleser“, aber die Spammer setzen auf die Neugier der Nutzer. Immer wieder wird darauf hingewiesen, dass Lesen und betätigen von Links in Spam-Nachrichten oft eure E-Mail Adresse als „genutzt“ verifiziert und ihr noch mehr Spam erhält. Zusätzlich sehen die Spammer, dass ihre illegale Werbeaktionen Leute anlocken und schicken noch mehr Spam. Also bitte sofort löschen und nicht neugierig in solchen E-Mails rum wühlen und vor allem keine Links betätigen.