Falk Husemann http://falkhusemann.de/blog Tips & Tricks, Analysen und Know-How zur IT-Sicherheit und Linux Sat, 05 Apr 2014 19:08:30 +0000 de-DE hourly 1 Studienarbeit “Verteidigung externer Rechnerresourcen” (mit Linux) http://falkhusemann.de/blog/2014/04/studienarbeit-verteidigung-externer-rechnerresourcen-mit-linux/ http://falkhusemann.de/blog/2014/04/studienarbeit-verteidigung-externer-rechnerresourcen-mit-linux/#comments Fri, 04 Apr 2014 20:36:41 +0000 http://falkhusemann.de/blog/?p=3325 Verwandte Themen:
  1. OVH Server from Scratch mit Debian und dm-crypt Verschlüsselung
  2. OpenVZ Kali Linux Template für Proxmox VE
  3. Kali Linux Colocation/Leased Server Full-Disk-Encryption
]]>
In den letzten Wochen ist es leider etwas still im Blog geworden, besonders zum Thema IT-Sicherheit. Das liegt zum einen daran, dass ich meine Diplomarbeit schreibe. Aber auch daran, dass ich im Wintersemester 2013/14 am Lehrstuhl 4 an der TU-Dortmund eine Studienarbeit im Themenbereich IT-Sicherheit schreiben durfte.

Der Titel lautet “Verteidigung externer Rechnerresourcen – Risiken durch die Aufgabe der physikalischen Kontrolle und Gegenmaßnahmen am Beispiel gemieteter Linux Server“.


Studienarbeit Verteidigung externer Rechnerressourcen (PDF)

Darin beschreibe ich ausführlich die auftretenden Probleme, sobald dem Provider nicht mehr vertraut wird. Im Anschluss wird eine Taktik basierend auf Anti-Forensik und einfacher Militärtaktik entwickelt, die einen voll-verschlüsselten gemieteten Server noch etwas besser schützt, indem der forensische Prozess behindert wird. Mit Implementierung für Debian Linux.

Die Arbeit löst ausdrücklich nicht das Problem, dass bei gemieteten Servern keine Vertrauenswurzel existiert, bietet aber einige Verbesserungen an. Zu diesem Vertrauensproblem gibt es einiges im Chaosradio 199 ab 1:37:00 bis 1:39:30 zu hören, falls Interesse besteht.

]]>
http://falkhusemann.de/blog/2014/04/studienarbeit-verteidigung-externer-rechnerresourcen-mit-linux/feed/ 1
WPA2 Enterprise mit FreeRADIUS und DD-Wrt in 5 Minuten http://falkhusemann.de/blog/2014/03/wpa2-enterprise-mit-freeradius-und-dd-wrt-in-5-minuten/ http://falkhusemann.de/blog/2014/03/wpa2-enterprise-mit-freeradius-und-dd-wrt-in-5-minuten/#comments Sat, 15 Mar 2014 10:22:53 +0000 http://falkhusemann.de/blog/?p=3290 Verwandte Themen:
  1. John the Ripper Multicore unter Ubuntu/Debian
  2. Bidirektionale IP-Benchmarks mit iperf durch NAT-Gateways
  3. Default Route für Linux User mit iptables ändern
]]>
freeradius
Wenn WPA2-PSK mit einem einzigen Kennwort nicht mehr für die WLAN-Sicherheit genügt, bietet sich der Einsatz von WPA2 Enterprise, also der Authentifikation mittels EAP und TLS an. Wie das auch im Heimnetzwerk mit einem DD-Wrt Router und einem RADIUS-Server geht, erklärt der folgende Artikel.

Installation

Zuerst wird FreeRADIUS-Server installiert. Dabei wird automatisch ein selbst-signiertes Zertifikat erzeugt, dass den Hostnamen des Servers enthält.

apt-get install freeradius 

Wird der RADIUS-Server auf der Firewall installiert, muss er an die interne Netzwerkschnittstelle gebunden werden. Aber auch wenn das nicht der Fall ist, lohnt sich diese Sicherungsmaßnahme. Dafür werden in der Datei /etc/freeradius/radiusd.conf die zwei mit listen { beginnenden Blöcke bearbeitet und die beiden folgenden Konfigurationsanweisungen einkommentiert und mit den entsprechenden Werten gefüllt.

ipaddr = IPv4Intern
interface = ethIntern

Die Angabe zur IP-Adresse befindet sich für den auth Block um Zeile 273, für den acct Block um Zeile 316. Die Angabe zur Netzwerkschnittstelle befindet sich um Zeile 293 und Zeile 320.

Benutzernamenfilter

Folgend wird in der Datei /etc/freeradius/sites-enabled/default ein Sicherheitsfilter für Benutzernamen aktiviert, der dazu führt, dass Benutzernamen die mit Leerzeichen beginnen oder nicht von FreeRADIUS unterstützte Zeichenketten enthalten, nicht an den Authentifikationsmechanismus weitergegeben werden.

Um Zeile 79 Policy-Statement filter_username einkommentieren.

Client einrichten

Im nächsten Schritt wird die Zugriffsberechtigung und Authentifikation für den DD-Wrt Router eingerichtet. Der DD-Wrt Router wird als Client eingerichtet. Ein Client besteht aus einer Quell-IP, einem Gerätetyp und einem gemeinsamen secret. Bevor dies geschieht, sollte in der Datei /etc/freeradius/clients.conf um Zeile 101 das Kennwort für den lokalen Testzugriff auf den RADIUS-Server von testing123 auf einen geheimen Wert abgeändert werden.

Ist dies geschehen, kann die Konfiguration für den DD-Wrt Router an das Ende der Datei angefügt werden. Die IP-Adresse des DD-Wrt Routers ist in der Weboberfläche im Menü Status - LAN ablesbar. Das Format lautet wie folgt:

client dd-wrt {
        ipaddr = 192.168.XXX.XXX
        netmask = 32
        secret = meinGeheimesKennwort
        require_message_authenticator = no
        nastype     = other
}

Benutzer hinzufügen

Jetzt können die Benutzer an das Ende der Datei /etc/freeradius/users hinzugefügt werden. Das Format lautet wie folgt.

# Lokale User
user1    Password = "meinGeheimesKennwort"

DD-Wrt konfigurieren

Nach Neustart des FreeRADIUS-Servers mit dem Befehl /etc/init.d/freeradius restart kann der DD-Wrt Router konfiguriert werden. Im Menü WLAN – WLAN-Sicherheit kann der Radius gemeinsam mit dem secret eingetragen werden.
Bildschirmfoto - 13.03.2014 - 17:06:04

]]>
http://falkhusemann.de/blog/2014/03/wpa2-enterprise-mit-freeradius-und-dd-wrt-in-5-minuten/feed/ 0
Proxyserver über SSH-Tunnel mit MyEnTunnel verwenden http://falkhusemann.de/blog/2014/03/proxyserver-ueber-ssh-tunnel-mit-myentunnel-verwenden/ http://falkhusemann.de/blog/2014/03/proxyserver-ueber-ssh-tunnel-mit-myentunnel-verwenden/#comments Sat, 08 Mar 2014 16:31:43 +0000 http://falkhusemann.de/blog/?p=3269 Verwandte Themen:
  1. DD-Wrt in Virtualbox verwenden
  2. Virtualbox Raw Disks direkt verwenden
  3. E-Mail mit dovecot und dsync migrieren
]]>
Wer Zugriff auf einen anonymisierenden Proxyserver (Elite-Proxy) hat, kann diesen mit einem SSH-Tunnel zum Ziel-Netzwerk sicherer benutzen, als durch direkte Verwendung des Proxys. Diese Zugangsart eignet sich zum Beispiel um auf die Proxyserver von Perfect-Privacy oder OVPN.to zuzugreifen. Aber auch an meiner Universität wird ein solcher Privatsphären Proxy betrieben. Um diesen sicher zu verwenden, bietet sich ein SSH-Tunnel an. Wie dieser unter Windows eingerichtet wird, erklärt der folgende Artikel.

Unter Windows eignet sich für die Herstellung des SSH-Tunnels besonders das Programm MyEnTunnel. MyEnTunnel ist eine einfache Systemtray-Anwendung, die mit Hilfe des mitgelieferten Programms PuTTY Link (plink.exe) einen SSH-Tunnel aufbaut und aufrecht erhält.

Bildschirmfoto - 08.03.2014 - 17:14:55

MyEnTunnel im Windows-Systemtray

Die Software kann über die Herstellerseite N2 (Download befindet sich auf der Mitte der Seite) bezogen werden. Es ist empfehlenswert, die Entwicklungsversion 3.6.1 herunterzuladen, da diese trotz dem Status sehr stabil läuft und bei komplexen Passwörtern keine Fehler hat.

Nach der Installation kann der Tunnel zum Fakultätsproxy eingerichtet werden. Der Tunnel wird in der aus ssh bekannten Notation (Lokaler-Port:Zielhostname/IP:Ziel-Port) eingegeben.

Bildschirmfoto - 08.03.2014 - 17:13:43

Eingabe der SSH-Tunnel Konfiguration

Im letzten Schritt, wird der Zielserver im Fakultätsnetzwerk eingegeben. Geeignet ist zwar jeder Server, der per SSH mit einem Fakultäts-Account erreichbar ist. Um den Maximaldurchsatz der eigenen Internetanbindung zu erreichen sollte aber einer der Compute-Server der IRB verwendet werden. Der Hostname ergibt sich, indem .cs.tu-dortmund.de an den Hostnamen angehängt wird.

Bildschirmfoto - 08.03.2014 - 17:12:43

Eingabe der SSH-Server Konfiguration

Die Konfiguration aus obiger Abbildung kann 1:1 übernommen werden. Sollen statt dem Surfen im Web regelmäßig große Daten übertragen werden, sollte die Kompression deaktiviert werden.

]]>
http://falkhusemann.de/blog/2014/03/proxyserver-ueber-ssh-tunnel-mit-myentunnel-verwenden/feed/ 0
Du bist Deutschland. Ich bin Frankreich. http://falkhusemann.de/blog/2014/02/du-bist-deutschland-ich-bin-frankreich/ http://falkhusemann.de/blog/2014/02/du-bist-deutschland-ich-bin-frankreich/#comments Sun, 16 Feb 2014 22:24:53 +0000 http://falkhusemann.de/blog/?p=3254 Verwandte Themen:
  1. rsync,ssh,tar und socat – Große Datenbestände kopieren
  2. Metasploitable 2 Kennwörter brechen
]]>
Wie bereits im Artikel zum Archiv für große Daten geschrieben, betreibe ich einen Spiegelserver für Kali Linux. Viel tat sich bis vor kurzem nicht, die Auslastung lag bei circa 3,5 MBit/sec durchschnittlich.

Das hat sich gestern um 11:30 Uhr CET geändert. Seitdem sieht die Auslastung des Mirrors wie folgt aus:

if_eth0-week

Fast durchgängig werden 100 Mbit/sec im Upload erreicht. Ist das ein Denial of Service Angriff? Nein. Der kleine 3,99 Euro Server ist jetzt zuständig für ganz Frankreich. Wow.

]]>
http://falkhusemann.de/blog/2014/02/du-bist-deutschland-ich-bin-frankreich/feed/ 0
Proxmox VE 3.2 Beta-Version – Was gibts neues? http://falkhusemann.de/blog/2014/02/proxmox-ve-3-2-beta-version-was-gibts-neues/ http://falkhusemann.de/blog/2014/02/proxmox-ve-3-2-beta-version-was-gibts-neues/#comments Thu, 13 Feb 2014 18:41:52 +0000 http://falkhusemann.de/blog/?p=3225 Verwandte Themen:
  1. Proxmox internes Host-only Netzwerk
  2. OpenVZ Kali Linux Template Download *UPDATE*
  3. OpenVZ Kali Linux Template für Proxmox VE
]]>
Wie im Forum angekündigt, ist Proxmox VE 3.2 als Beta-Version verfügbar. Was gibt es neues?

logo_prox

Neuer Kernel

Die größte Änderung besteht im Angebot des RHEL7 basierenden Kernels in Version 3.10, allerdings bisher nur mit Unterstützung von KVM-Virtualisierung und ohne OpenVZ. OpenVZ ist die in Proxmox eingesetzte Paravirtualisierungslösung. Ein Parallels-Entwickler (der Hersteller von OpenVZ) kündigt in seinem Blog die Portierung von OpenVZ für den RHEL7-Kernel an. Der neue Kernel wird darüber hinaus langfristig unterstützt werden. Zuständig für die Unterstützung ist die LTSI, oder kurz Greg Kroah-Hartman.

Die Proxmox-Entwickler haben dem Kernel für die Beta-Version einige Treiber für RAID- und Netzwerkkarten hinzugefügt.

Und natürlich enthält der neue Kernel auch deutliche Verbesserungen der Verschlüsselungs-Infrastruktur; falls der eigene Proxmox-Server verschlüsselt ist.

Neues Dateisystem

Eine weitere interessante Entwicklung ist die Einbindung von Ceph, einem verteilten Dateisystem. Die Vorteile für den Einsatz mit Proxmox finden sich hier.

Weiteres

featured-image

(Quelle: openvswitch.org)

Darüber hinaus bringt die Beta-Version von Proxmox VE 3.2 einen Ersatz für die auf Java basierende Web-Konsole: Spiceterm. Spiceterm wird seit August 2013 von Dietmar Maurer entwickelt. Die README-Datei des Entwicklungs-Repositories enthält weitere Informationen.

Auch Open vSwitch ist in der Beta enthalten, soweit ersichtlich ohne Änderungen gegenüber der Version in Debian wheezy. vSwitch könnte in Zukunft aufgrund des Funktionsumfangs und dem scheinbar besseren Maximaldurchsatz gegenüber den Linux bridge-utils interessant werden.

Danke an Tim R. für den Hinweis zur neuen Beta.

]]>
http://falkhusemann.de/blog/2014/02/proxmox-ve-3-2-beta-version-was-gibts-neues/feed/ 0
Metasploitable 2 Kennwörter brechen http://falkhusemann.de/blog/2014/02/metasploitable-2-kennwoerter-brechen/ http://falkhusemann.de/blog/2014/02/metasploitable-2-kennwoerter-brechen/#comments Sat, 01 Feb 2014 10:04:24 +0000 http://falkhusemann.de/blog/?p=3201 Verwandte Themen:
  1. BackTrack Tools – Teil 1 PBNJ
  2. PostgreSQL für Metasploit in BackTrack 5 einrichten
  3. John the Ripper Multicore unter Ubuntu/Debian
]]>
Im gestrigen Artikel wurde beschrieben, wie durch eine Hintertür in vsftpd 2.3.4, Rootrechte auf der virtuellen Maschine Metasploitable 2 erlangt werden können. Diese Rootrechte sollen verwendet werden, um die Kennwörter der virtuellen Maschine zu entnehmen und folgend zu brechen.

Mit den Befehlen cat /etc/passwd und cat /etc/shadow werden die Inhalte der entsprechenden Dateien ausgegeben. Warum gerade diese? Sie enthalten die Benutzerdaten der lokalen Systembenutzer; zumindest solange keine esoterischen Verfahren wie OpenLDAP zur Authentifikation eingesetzt werden. Der Hash des Kennworts und die Benutzerdaten werden seit Ende der 1980er Jahre in getrennten Dateien gesichert, damit normale Benutzer die Benutzerdaten lesen dürfen, nicht aber damit auch die Hashes der Kennwörter zu Gesicht bekommen.

Die aus der virtuellen Maschine entnommenen Dateien als passwd und shadow speichern. Dann werden sie mittels unshadow wie folgt zusammenfügen.

root@kalilinux:~/10.13.37.24# unshadow 
Usage: unshadow PASSWORD-FILE SHADOW-FILE
root@kalilinux:~/10.13.37.24# unshadow passwd shadow > metasploitable2_credentials.txt 

Das Ergebnis des Programms unshadow kann mit John the Ripper bearbeitet werden. Für Metasploitable sind weder Wörterbücher noch Parallelisierung notwendig, darum kann die von Kali Linux mitgelieferte Version verwendet werden. Die ersten sieben von acht Kennwörtern werden innerhalb von Sekunden gebrochen.

john metasploitable2_credentials.txt
Loaded 7 password hashes with 7 different salts (FreeBSD MD5 [128/128 SSE2 intrinsics 12x])
user             (user)
postgres         (postgres)
msfadmin         (msfadmin)
service          (service)
batman           (sys)
123456789        (klog)

Der Wert in Klammern entspricht dem Benutzernamen, der vorgestellte Wert dem Kennwort.

Benutzername Kennwort
user user
postgres postgres
msfadmin msfadmin
service service
sys batman
klog 123456789

Da john ohne Wörterbuch einen Bruteforce-Angriff gegen die Hashes durchführt (sogenannter Incremental Mode), kann es überraschen, dass bereits ein neunstelliges Kennwort gebrochen wurde.

Aufgrund der Reife der Software, arbeitet john die möglichen Kennwörter in sinnvollen Phasen ab. Begonnen wird mit dem Single Mode, dem der Benutzername und Informationen aus den weiteren Feldern der passwd zugrunde liegt. Dadurch werden bereits vier der Kennwörter gebrochen. Die weiteren beiden Kennwörter der Benutzer sys und klog werden mit Hilfe des mitgelieferten Wörterbuchs password.lst gefunden. Erst nach diesen beiden Phasen wird zu einem Bruteforce-Angriff übergegangen.

]]>
http://falkhusemann.de/blog/2014/02/metasploitable-2-kennwoerter-brechen/feed/ 0
Metasploitable 2 mittels vsftpd 2.3.4 Exploit angreifen http://falkhusemann.de/blog/2014/01/metasploitable-2-mittels-vsftpd-2-3-4-exploit-angreifen/ http://falkhusemann.de/blog/2014/01/metasploitable-2-mittels-vsftpd-2-3-4-exploit-angreifen/#comments Fri, 31 Jan 2014 09:36:37 +0000 http://falkhusemann.de/blog/?p=3176 Verwandte Themen:
  1. pptables: Perfect Privacy Remote Port Forward (RPF) automatisieren
  2. BackTrack Tools – Teil 1 PBNJ
  3. OpenVPN mit TUN/TAP in OpenVZ Instanz
]]>
Wie in einigen vorherigen Artikeln beschrieben, ist mein Heimlabor für Penetrationstests in Form eines Virtualisierungsservers endlich fertig. Trotz Klausurstress lasse ich es mir nicht nehmen, abends zur Entspannung virtuelle Maschinen anzugreifen. Den Anfang macht Metasploitable 2, von dem ich bereits viel gelesen habe, es aber noch nie selbst angefasst habe.

Wie der Name bereits andeutet, soll zum Testen Metasploit zum Einsatz kommen. Nach Installation und Einrichtung (unter Kali Linux nicht notwendig), wird Metasploit durch Eingabe des Befehls msfconsole gestartet. Metasploit erlaubt das Verwalten verschiedener Ziele in sogenannten Workspaces. Workspaces erleichtern es, den Überblick zu behalten. Darum wird einer verwendet.

Bildschirmfoto - 30.01.2014 - 22:11:25

Um einen ersten Überblick über die von Metasploitable angebotenen Dienste zu bekommen, wird der Portscanner nmap eingesetzt. Da nur ein einzelner Host zu prüfen ist und die Erkennung des Scans keine Rolle spielt, kann ein kompletter Portscan mit Test aller 65.535 Ports und Versionserkennung gestartet werden. Der Scan wird mit dem Befehl db_nmap -A -p1-65535 metasploitable-ip-adresse gestartet und dauert circa 5 Minuten. Das Ergebnis sieht wie folgt aus und wird automatisch in der an Metasploit angeschlossenen Datenbank gespeichert.

Bildschirmfoto - 30.01.2014 - 22:19:25

Eine kurze Recherche ergibt, dass auf dem Server Ubuntu 8.04 LTS läuft. Da auf vielen Servern der SSH-Port offen ist, lässt sich aus der meist angepassten SSH-Version (hier OpenSSH 4.7p1 Debian 8ubuntu1) schnell ein Ausgangspunkt für die Schwachstellen-Recherche finden.

Die Version 2.3.4 des FTP-Servers vsftpd sticht sofort ins Auge. In 2011 wurden die Projektserver des vsftpd Projekts kompromittiert und eine angepasste Version dort bereitgestellt. Bei Anhängen eines einfachen Smilies wie :) an den Benutzernamen öffnet die kompromittierte vsftpd Version eine Bind-Shell auf Port 6200 mit Rootrechten. Eine angemessene:) Schwachstelle:) um:) das:) Heimlabor:) einzuweihen.

Praktischerweise liefert Metasploit ein Modul für genau diese Schwachstelle mit. Durch Eingabe des Befehls search vsftpd wird Metasploit angewiesen, nach Modulen zu suchen, deren Beschreibung vsftpd enthält.

Bildschirmfoto - 30.01.2014 - 22:40:19

Das Modul wird mit dem Befehl use exploit/unix/ftp/vsftpd_234_backdoor aktiviert. Mit dem Befehl set ohne Argumente werden die möglichen Parameter des Moduls angezeigt. Um das Exploit auszuführen genügt es, die Zieladresse durch Eingabe des Befehls set RHOST ip.des.ziel.hosts zu setzen.

Bildschirmfoto - 31.01.2014 - 10:22:24

Folgend kann das Exploit mit dem Befehl run ausgeführt werden und liefert eine einfache nicht-interaktive Shell auf dem Zielsystem, die wie folgt aussieht.

Bildschirmfoto - 31.01.2014 - 10:21:59

Im folgenden Artikel wird beschrieben, wie durch den temporären Zugang eine permanente Hintertür installiert oder die Kennwörter gebrochen werden können.

]]>
http://falkhusemann.de/blog/2014/01/metasploitable-2-mittels-vsftpd-2-3-4-exploit-angreifen/feed/ 1
OpenVPN mit TUN/TAP in OpenVZ Instanz http://falkhusemann.de/blog/2014/01/openvpn-mit-tuntap-in-openvz-instanz/ http://falkhusemann.de/blog/2014/01/openvpn-mit-tuntap-in-openvz-instanz/#comments Wed, 22 Jan 2014 19:14:17 +0000 http://falkhusemann.de/blog/?p=3163 Verwandte Themen:
  1. Hardware für Proxmox VE Virtualisierungsserver
  2. OpenSSH Tunnel im Hintergrund (inkl. Monitoring)
  3. Ausnahmen für OpenVPN Verbindung mit iptables, ipset und Policy-based Routing
]]>
Um in einer OpenVZ Instanz das TUN/TAP Gerät /dev/net/tun verwenden zu können sind einige kurze Schritte notwendig. Da die Hersteller-Dokumentation leider nicht fehlerfrei zum gewünschten Ergebnis führt, hier die Zusammenfassung.

Zuerst wird die eindeutige Identifikatiosnummer der OpenVZ Instanz bestimmt. Dann kann wie folgt auf dem Host fortgefahren werden. Um die Befehle erfolgreich absetzen zu können, muss die VM teilweise gestartet und teilweise gestoppt werden.

# Identifikationsnummer, zum Beispiel 106
VZID=106
vzctl stop $VZID
vzctl set $VZID --devnodes net/tun:rw --save
vzctl set $VZID --devices c:10:200:rw --save
vzctl set $VZID --capability net_admin:on --save
vzctl start $VZID
vzctl exec $VZID mkdir -p /dev/net
vzctl exec $VZID mknod /dev/net/tun c 10 200
vzctl exec $VZID chmod 600 /dev/net/tun

Die Fähigkeit net_admin kann zu einer reduzierten Abschottung zwischen Host und Gast führen. Eine Schwachstelle gab es bereits (2).

]]>
http://falkhusemann.de/blog/2014/01/openvpn-mit-tuntap-in-openvz-instanz/feed/ 0
Hardware für Proxmox VE Virtualisierungsserver http://falkhusemann.de/blog/2014/01/hardware-fuer-proxmox-ve-virtualisierungsserver/ http://falkhusemann.de/blog/2014/01/hardware-fuer-proxmox-ve-virtualisierungsserver/#comments Sat, 18 Jan 2014 21:41:47 +0000 http://falkhusemann.de/blog/?p=3125 Verwandte Themen:
  1. OpenVZ Kali Linux Template Download *UPDATE*
  2. Proxmox VE mit Software-RAID und Full-Disk-Encryption
  3. Proxmox VE 3.1 “Nag Screen” abschalten und nicht-kommerzielle Paketquellen
]]>
Ein Server für mein privates Pentest-Labor zur Virtualisierung der Opfersysteme musste her. Auf Bitte eines Lesers folgt eine kurze Dokumentation der getroffenen Hardware- und Software-Entscheidungen.
fantec_front

Kurz vorweg:
Es ist erstaunlich, wie viel Rechenleistung für moderaten Geldeinsatz kaufbar ist.

Mit einer geschickten Kombination aus Desktop- und Server-Hardware ist es möglich, einen nicht für den produktiven sondern für den experimentellen Betrieb geeigneten Virtualisierungsserver zusammenzustellen, der sich nicht verstecken muss.

Da der Server in einem bewohnten Bereich betrieben wird, musste das Gehäuse mit Schalldämmung versehen werden. Schalldämmung ist bei Server-Gehäusen noch weniger üblich, als im Desktop-Bereich und erschwert die Hardwareauswahl.

Hardware

IMG_20140102_145901

  • Intel Xeon E3-1245 v3, 4x 3.40GHz, Sockel-1150, boxed (BX80646E31245V3)

Statt dem i7-4770, zum Zeitpunkt des Kaufs signifikanter Kostenvorteil. Verlust von 100Mhz Turbo. Vergleich beider CPUs hier.

Bietet Intel I217-LM Gigabit-LAN, vPro (statt IPMI bei einem Server-Mainboard) und kostet unter 100 Euro.

Passform sehr gut für 4HE Server-Gehäuse mit Schalldämmung und Montage mit Backplate (im Preissegment um 20 Euro nicht selbstverständlich).

  • Fantec NNC-4550X, 4HE (1489)

Sehr günstiges und stabiles 4HE Server-Gehäuse. Lässt sich Zwecks Schalldämmung komplett demontieren. Nachteil: Keine Rackschienen vom Hersteller.

Erfahrungsgemäß gut verarbeitbare Schalldämmmatten. Leider werden zwei Pakete benötigt.

Die Liste mit Tagespreisen ist hier abrufbar.

Zusammenbau

Der Zusammenbau gestaltet sich sehr einfach. Die Montageanleitung des CPU-Kühlers ist umfangreich.

Problematisch war die Anbringung der Schalldämmmatten. Das Fantec-Gehäuse erlaubt im Gegensatz zu einigen anderen günstigen Server-Gehäusen die Demontage des Mainboard-Trays, sodass auch unter dem Mainboard Bitumenpappe angebracht werden kann. Der Schnitt der Cooltek-Dämmmatten ermöglicht die Anbringung am kompletten Gehäusedeckel, den Seiten des Gehäuses und der Front ohne Zuschnitt.

IMG_20131230_185240

IMG_20131230_185311

IMG_20131230_190156

IMG_20131231_212829

IMG_20140101_210409

Wer viele kleine Schrauben nicht scheut, kann mit zwei Sätzen Cooltek Dämmmatten und dem Fantec NNC-4550X Gehäuse einen schallgedämmten Server bauen. Einziger Wermutstropfen des Gehäuses ist das sehr günstig gewählte Schloss, dass weder dem Einbruchsschutz dient, noch die Frontplatte bei regelmäßiger Benutzung besonders gut hält.

Software

Wenn Virtualisierungslösungen in Unternehmen eingesetzt werden sollen, wird oft VMWare ESXi eingesetzt. Leider wird entweder ein NAS oder SAN benötigt, oder ein Hardware-RAID Controller. Beides kam für mich nicht in Frage. Ein eigenes SAN/NAS ist für unwichtige Entwicklungssysteme im privaten Bereich überdimensioniert und Hardware-RAID meiner Ansicht nach nicht ökonomisch sinnvoll, wie ich vor drei Jahren erklärt habe.

Um die Zeit zu verringern, die für Einrichtung und Verwaltung nötig wird, habe ich mich für Proxmox VE entschieden. Proxmox VE basiert auf Debian und kann verschlüsselt und mit Software-RAID installiert werden. Die Installation des Servers ist in folgenden Artikeln dokumentiert.

Die anfänglichen Bedenken, dass eine so weit entfernt von den Projektvorgaben installierte Virtualisierungslösung nicht zuverlässig funktionieren kann, haben sich nicht bestätigt. Der Virtualisierungsserver läuft seit Inbetriebnahme so zuverlässig, wie man es von einem Debian erwarten darf. Ergänzend besteht die Möglichkeit bekannte Verwaltungswerkzeuge und Helferlein wie apticron einzusetzen.

]]>
http://falkhusemann.de/blog/2014/01/hardware-fuer-proxmox-ve-virtualisierungsserver/feed/ 1
Ausnahmen für OpenVPN Verbindung mit iptables, ipset und Policy-based Routing http://falkhusemann.de/blog/2014/01/ausnahmen-fuer-openvpn-verbindung-mit-iptables-ipset-und-policy-based-routing/ http://falkhusemann.de/blog/2014/01/ausnahmen-fuer-openvpn-verbindung-mit-iptables-ipset-und-policy-based-routing/#comments Thu, 16 Jan 2014 15:25:05 +0000 http://falkhusemann.de/blog/?p=3104 Verwandte Themen:
  1. IPTables DNS query limiting with burst rate
  2. DNS-Query Limits mit iptables und Burstrate
  3. KVM Gast vom angeschlossenen LAN isolieren und nur VPN erlauben
]]>
Wer auf eine permanent bestehende VPN-Verbindung angewiesen ist, oder einfach etwas paranoid, möchte einige Ziel-IPs oder Hostnamen im Internet trotzdem gern direkt ansprechen. Dazu zählt zum Beispiel der Speedtest des eigenen Internetanbieters oder Distributions-Spiegelserver. Ohne den Umweg über die VPN-Verbindung wird der Maximaldurchsatz der eigenen Internetanbindung erreicht, was bei vielen Diensten von Vorteil ist. Darüber hinaus lässt sich so zum Beispiel eine Trennung zwischen anonymisiert besuchten Webseiten und nicht anonymisiert besuchten Webseiten herstellen. Wie das geht? Mit iproute2, ipset und einer iptables-Regel.

Zwei Routing-Wege zu unterschiedlichen Zielen

Zwei Routing-Wege zu unterschiedlichen Zielen

Um das Ziel zu erreichen, wird eine zweite Routing-Tabelle angelegt, die den zur Vorgabe (default route) unterschiedlichen Router enthält. Basierend auf der Ziel-IP oder dem Ziel-Hostnamen der Ausnahme-Ziele wird der Kernel die Routing-Entscheidung abweichend treffen. Dafür wird jedes Paket zu oder von den Ausnahme-Zielen mit einer Markierung versehen.

1. Neue Routing-Tabelle in /etc/iproute2/rt_tables

Zuerst wird durch folgenden Eintrag die neue Routing-Tabelle definiert.

1       novpn

2. Regeln zu /etc/network/interfaces hinzufügen

Folgend werden zwei Regeln für die neue Routing-Tabelle novpn angelegt. Dies muss nicht in der Datei interfaces geschehen, sondern könnte auch auf die Datei /etc/rc.local angewendet werden. Die interfaces Datei bietet sich aber aufgrund des Sachzusammenhangs an. Die beiden Regeln lauten wie folgt.

ip rule add fwmark 1 table novpn
ip route add default via 192.168.178.1 dev eth0 table novpn

Die erste Regel führt dazu, dass die Routing-Entscheidung für durch die Firewall mit dem Marker 1 markierte Pakete von der Vorgabe abweicht. Es wird statt der voreingestellten Routing-Tabelle die Tabelle novpn für die Routing-Entscheidung herangezogen. Die zweite Regel fügt der Tabelle novpn ein default gateway hinzu, dass von der Vorgabe abweicht.

Werden die Regeln in der Datei interfaces ergänzt (für das externe Interface der Firewall), könnte das Ergebnis wie folgt aussehen.

# The external (DMZ) network interface
allow-hotplug eth0
iface eth0 inet static
        address 192.168.178.254
        netmask 255.255.255.0
        network 192.168.178.0
        gateway 192.168.178.1
        dns-nameservers 192.168.178.1
        # check with ip route show table novpn && ip rule
        post-up ip rule add fwmark 1 table novpn
        post-up ip route add default via 192.168.178.1 dev eth0 table novpn

iptables und ipset

Es bleibt die Erstellung einer adequaten iptables Regel. Diese lautet wie folgt.

# Setup ipset
if [ -x /etc/rc.firewall.ipset ]; then
       /etc/rc.firewall.ipset || echo "problem loading ipsets"
fi
iptables -A PREROUTING -i $LAN -t mangle -m set --match-set Direct_Hosts dst  -j MARK --set-mark 1

Die Regel muss an den PREROUTING-Chain angehängt werden, um die Routing-Entscheidung beeinflussen zu können (siehe hier). Umgangssprachlich ausgedrückt wird der Marker jedes Pakets, dessen Ziel in der Tabelle Direct_Hosts vorkommt, auf 1 gesetzt. Dieser Marker führt dazu, dass die so gekennzeichneten Pakete die alternative Routing-Tabelle verwenden.

Bleibt die Einrichtung des ipsets Direct_Hosts. Fehlt das Programm ipset, kann es mit dem Befehl apt-get install ipset installiert werden. Um einzelne Ziele in einem ipset zu verwalten, bietet sich die Datenstruktur hash:ip an, die das geforderte leistet. Abkürzend folgt das fertige Beispiel.

#!/bin/bash
#
# Direct_Hosts - Hosts to connect directly to (no VPN)
#
ipset destroy Direct_Hosts
ipset create Direct_Hosts hash:ip hashsize 4096
# Hosts 
ipset add Direct_Hosts -! '[speedtest-1.unitymedia.de]'
ipset add Direct_Hosts -! '[speedtest-2.unitymedia.de]'
ipset add Direct_Hosts -! web.de
ipset add Direct_Hosts -! 8.8.8.8

Zu beachten ist bei ipset-Einträge, dass Hostnamen bei der Erstellung des Sets aufgelöst werden und nur die IP-Adresse gespeichert werden. Hostnamen, die Bindestriche enthalten, müssen in eckige Klammern gesetzt werden. Um die Auswertung der eckigen Klammern in der Laufzeitumgebung (bash) zu verhindern, werden einfache Anführungszeichen verwendet.

]]>
http://falkhusemann.de/blog/2014/01/ausnahmen-fuer-openvpn-verbindung-mit-iptables-ipset-und-policy-based-routing/feed/ 0
Fehler in Paketnamen bei Debian in /var/lib/dpkg/available http://falkhusemann.de/blog/2014/01/fehler-in-paketnamen-bei-debian-in-varlibdpkgavailable/ http://falkhusemann.de/blog/2014/01/fehler-in-paketnamen-bei-debian-in-varlibdpkgavailable/#comments Sat, 11 Jan 2014 22:04:58 +0000 http://falkhusemann.de/blog/?p=3079 Verwandte Themen:
  1. SnapRAID unter Debian installieren
  2. John the Ripper Multicore unter Ubuntu/Debian
  3. Apache 2.2 Logfiles abschalten
]]>
Wer selbst Pakete kompiliert und das bereits vor Erscheinen von Debian wheezy getan hat, zum Beispiel mittels checkinstall, kann Fehler in Paketnamen mit der neuen dpkg Version erhalten. Folgend einige Beispiele.

dpkg: Warnung: Parsen der Datei »/var/lib/dpkg/available«, nahe Zeile 16240 Paket »libevent-2.0.14«:
 Fehler in Versionszeichenkette »stable-1«: Versionsnummer beginnt nicht mit einer Ziffer
dpkg: Warnung: Parsen der Datei »/var/lib/dpkg/available«, nahe Zeile 27980 Paket »linux-image-3.4.18sintel64.1«:
 Fehler in Versionszeichenkette »sintel64.1«: Versionsnummer beginnt nicht mit einer Ziffer

Durch Deinstallation der benannten Pakete lässt sich das Problem nicht aus der Welt schaffen. Die Fehlermeldung bleibt, bis die available Datenbank mit folgendem Befehl gelöscht wird.

dpkg --clear-avail

Um die Datenbank neu anzulegen und zu befüllen existieren zwei Möglichkeiten.

# Neuere Debian- & Ubuntu-Versionen
sync-available
# Alternative
apt-get install dselect
dselect update
]]>
http://falkhusemann.de/blog/2014/01/fehler-in-paketnamen-bei-debian-in-varlibdpkgavailable/feed/ 0
Selbstzerstörung für cryptsetup http://falkhusemann.de/blog/2014/01/selbstzerstoerung-fuer-cryptsetup/ http://falkhusemann.de/blog/2014/01/selbstzerstoerung-fuer-cryptsetup/#comments Fri, 10 Jan 2014 11:18:18 +0000 http://falkhusemann.de/blog/?p=3069 Verwandte Themen:
  1. OpenVZ Kali Linux Template für Proxmox VE
  2. Proxmox VE mit Software-RAID und Full-Disk-Encryption
  3. Proxmox VE 3.1 “Nag Screen” abschalten und nicht-kommerzielle Paketquellen
]]>
641px-Mad_scientist_transparent_background.svg
Die Verrückten Wissenschaftler von Offensive-Security haben es getan. Ab sofort kann mit einem kleinen Patch für cryptsetup eine neue Funktion hinzugefügt werden: luksAddNuke.

Mit dieser Funktion kann ein KeySlot in LUKS mit einem speziellen Schlüssel belegt werden. Wird dieser Nuke-Schlüssel eingegeben, werden alle Schlüssel in den LUKS KeySlots gelöscht. Das führt dazu, dass das dm-crypt Volume nicht mehr geöffnet werden kann.

Der Patch basiert auf einem fünf Jahre alten Beitrag von Jürgen Pabel. Wer Spaß daran hat, findet alles weitere auf der Kali Linux Webseite für den Patch.

Aber

Der Patch erzielt zwar, dass das dm-crypt Volume nicht mehr geöffnet werden kann. Abstreitbar ist dessen Existenz dadurch nicht, denn der LUKS-Header bleibt intakt.

]]>
http://falkhusemann.de/blog/2014/01/selbstzerstoerung-fuer-cryptsetup/feed/ 1
Archiv und Kali Mirror http://falkhusemann.de/blog/2014/01/archiv-und-kali-mirror/ http://falkhusemann.de/blog/2014/01/archiv-und-kali-mirror/#comments Mon, 06 Jan 2014 22:54:04 +0000 http://falkhusemann.de/blog/?p=3042 Verwandte Themen:
  1. Proxmox internes Host-only Netzwerk
  2. Back Track Day 2013 und Tauchfahrt mit Linux
  3. OpenVZ Kali Linux Template Download *UPDATE*
]]>
Große Dateien und virtuelle Maschinen befinden sich ab sofort auf einem eigenen Server. Dazu ebenso die Videos vom BDay 2013.

archiv.paketsequenz.de

Und um der Gemeinschaft rund um Penetrationstests etwas zurück zu geben, betreibe ich (scheinbar als erste Privatperson) einen Kali Linux Mirror.

kalimirror

Privater Kali Linux Mirror – Danke Offensive Security!

Bei einem Server von OVH zum Spottpreis von 3,99 Euro (echt wahr) kann niemand wiederstehen. Jetzt bekommt der Server endlich etwas zutun. Der dauerhafte Link befindet sich in der Top-Navigation.

]]>
http://falkhusemann.de/blog/2014/01/archiv-und-kali-mirror/feed/ 1
Wer liest meinen Blog? http://falkhusemann.de/blog/2014/01/wer-liest-meinen-blog/ http://falkhusemann.de/blog/2014/01/wer-liest-meinen-blog/#comments Mon, 06 Jan 2014 10:32:17 +0000 http://falkhusemann.de/blog/?p=3017 Verwandte Themen:
  1. Alternativer DNS-Server
  2. Hallo Planet Ubuntuusers!
  3. Hacking mit der Linux Zwischenablage
]]>
Manchmal möchte man als Blogger erfahren, welche Art von Leser man anzieht und ob die Ausrichtung des Blogs stimmt. Selbstzweifel nagen am Autor, der die meiste Zeit allein mit dem Texteditor und dem Blog verbringt. Wie gut, dass es Statistik-Plugins wie StatComm gibt. Dieses Plugin verrät für diesen Blog, welches Betriebssystem und Browser besonders beliebt ist.

Bildschirmfoto - 06.01.2014 - 11:19:19

Beliebtester Browser: Unbekannt.

Für diesen Blog verwenden 33% der Besucher einen unbekannten Browser auf einem unbekannten Betriebssystem. Auch IP-Adressen aus Deutschland sind weit abgeschlagen hinter der Schweiz und den Niederlanden. Besonders beliebt sind Computer in Rechenzentren mit Windows und Firefox oder Windows und unbekannten Browsern. Dabei handelt es sich höchstwahrscheinlich um Proxys.

Für mich steht damit fest, dass ich die Zielgruppe erreiche.

Und natürlich Dankeschön, dass Ihr meinen Blog lest und Anonymisierung einsetzt.

Über Fragen, Kommentare oder Themenwünsche würde ich mich trotz eurer Anonymität um so mehr freuen. Hinterlasst doch einen Kommentar!

]]>
http://falkhusemann.de/blog/2014/01/wer-liest-meinen-blog/feed/ 0
Proxmox internes Host-only Netzwerk http://falkhusemann.de/blog/2014/01/proxmox-internes-host-only-netzwerk/ http://falkhusemann.de/blog/2014/01/proxmox-internes-host-only-netzwerk/#comments Sun, 05 Jan 2014 23:09:16 +0000 http://falkhusemann.de/blog/?p=3001 Verwandte Themen:
  1. Intel I217-LM Treiber für Proxmox VE 3.1
  2. Proxmox VE mit Software-RAID und Full-Disk-Encryption
  3. Proxmox VE 3.1 “Nag Screen” abschalten und nicht-kommerzielle Paketquellen
]]>
Um komplexe Netzwerkstrukturen mit einem Proxmox VE Virtualisierungsserver abzubilden, sind interne Netzwerke Host-only notwendig. Das Vorgehen ist einfach.

Im Reiter Netzwerk wird der Menüpunkt Erstellen gewählt.

Bildschirmfoto - 05.01.2014 - 19:02:36

Beispiel Host-only Netzwerkinterface vmbr1

Es muss keine IP-Adresse für die neue Netzwerkschnittstelle gewählt werden. Nach der Einrichtung muss ein Neustart des Virtualisierungsservers durchgeführt werden. Danach kann die neue Schnittstelle zu virtuellen Maschinen hinzugefügt werden und erscheint wie folgt.

Bildschirmfoto - 05.01.2014 - 19:45:06

Erscheinungsbild vmbr1 auf Host

]]>
http://falkhusemann.de/blog/2014/01/proxmox-internes-host-only-netzwerk/feed/ 0
Proxmox VE mit Software-RAID und Full-Disk-Encryption http://falkhusemann.de/blog/2014/01/proxmox-ve-mit-software-raid-und-full-disk-encryption/ http://falkhusemann.de/blog/2014/01/proxmox-ve-mit-software-raid-und-full-disk-encryption/#comments Sun, 05 Jan 2014 11:36:37 +0000 http://falkhusemann.de/blog/?p=2969 Verwandte Themen:
  1. Intel I217-LM Treiber für Proxmox VE 3.1
  2. Proxmox VE 3.1 “Nag Screen” abschalten und nicht-kommerzielle Paketquellen
  3. OpenVZ Kali Linux Template für Proxmox VE
]]>
Wie bereits im Artikel zur voll-verschlüsselten Installation von Kali beschrieben, kann nach der Tauchfahrt-Anleitung jedes Debian basierende System voll-verschlüsselt installiert werden. Der Bare-metal Hypervisor Proxmox VE basiert auf Debian. Was liegt näher, als Virtualisierungsserver zu verschlüsseln?

proxmox_fde_swraid

Folgend wird am Beispiel eines Servers mit vier 2TB Festplatten gezeigt, wie die Partitionierung und Installation im Unterschied zur Anleitung
Debian Colocation/Leased Server Full-Disk-Encryption durchgeführt werden kann.

Es sind die Schritte 3, 5.2 und 6 wie folgt durchzuführen. Die Installation von Proxmox geschieht in Schritt 11.

3. Festplatte partitionieren

Für Proxmox VE wird empfohlen, LVM einzusetzen und in einer Volume-Group pve die zwei logischen Volumes root und data anzulegen. Daraus ergibt sich für die vier 2TB Festplatten (sda,sdb,sdc,sdd) folgendes Endschema.

  • 2x 8GB RAID1 für /boot
  • 2x 8GB RAID1 für swap
  • 4x 1992GB RAID10 für LVM

Um dieses Schema zu erreichen, müssen die Partitionsschemen der einzelnen Festplatten wie folgt hergestellt werden. Der Partitionsmanager muss für jede Festplatte einmal aufgerufen werden.

cfdisk -z /dev/sdX

Gelöscht wird automatisch das komplette Partitionsschema der vorherigen Installation.

Angelegt werden zwei Partitionen. Für die ersten beiden Festplatten muss das Bootflag gesetzt werden. Für die restlichen beiden nicht.

sdX1

  • Größe 8GB
  • Typ FD (Wird unverschlüsseltes /boot- oder swap-RAID1)
  • Bootfähig für 1. und 2. Festplatte

sdX2

  • Größe Rest (1992GB)
  • Typ 8E (wird Teil des LVM)

Folgend werden die beiden RAID1-Verbünde für die /boot Partition und die Auslagerungspartition erstellt. Das alte mdadm Metadaten-Format kommt zum Einsatz, damit der betagte Kernel von Proxmox die RAID-Verbünde beim Systemstart automatisch erkennt.

mdadm --create -e 0.9 --level=1 -n 2 /dev/md0 /dev/sda1 /dev/sdb1
mdadm --create -e 0.9 --level=1 -n 2 /dev/md1 /dev/sdc1 /dev/sdd1

Es folgt das RAID10,f2 für das verschlüsselte LVM-Volume.

mdadm --create --level=10 -p f2 -n 4 /dev/md2 /dev/sda2 /dev/sdb2 /dev/sdc2 /dev/sdd2

Dann wird das RAID10 für das LVM-Volume verschlüsselt und formatiert. Hier ist es besonders wichtig, ein Passwort auszuwählen, dass länger als 20 Zeichen ist. Je länger und zufäliger das Passwort, desto länger dauert das Brechen. Dieses Passwort ist gemeinsam mit einem folgend erstellten SSh-Schlüssel die Achillesferse des Prinzips und muss geheimgehalten werden. Es ist sehr empfehlenswert, eine Software wie PWGen zu verwenden, um ein sehr langes Passwort (zum Beispiel 200 Zeichen) zu erzeugen.

Wenn das Passwort erzeugt ist, kann wie folgt fortgefahren werden. Bei der Verschlüsselung der Partition muss zuerst die Verschlüsselung mit Eingabe von YES bestätigt werden und dann der Schlüssel zweimal eingegeben werden.

cryptsetup luksFormat /dev/md2
cryptsetup luksOpen /dev/md2 md2_crypt

Jetzt kann das LVM initialisiert und die nötigen logischen Volumes nach Proxmox-Vorgabe erstellt werden. Die Größe des logischen Volumes data ist absichtlich klein gewählt, sodass weitere logische Volumes für Backups erstellt werden können.

pvcreate /dev/mapper/md2_crypt
vgcreate pve /dev/mapper/md2_crypt
lvcreate --name root --size 60G pve
lvcreate --name data --size 500G pve

Folgend werden die Partitionen formatiert. Dabei soll nach Proxmox-Vorgabe das Dateisystem ext3 eingesetzt werden.

mkfs.ext3 /dev/mapper/pve-data
mkfs.ext3 /dev/mapper/pve-root
mkfs.ext3 /dev/md0

Jetzt werden die Partitionen eingebunden, damit im nächsten Schritt das Basis-System installiert werden kann.

mount /dev/mapper/pve-root /mnt
mkdir -p /mnt/boot /mnt/var/lib/vz
mount /dev/mapper/pve-data /mnt/var/lib/vz
mount /dev/md0 /mnt/boot

5.2 Einrichtung der /etc/crypttab,/etc/fstab, Paketquellen und lokale Einstellungen

Zuerst wird die Dateisystem-Tabelle für verschlüsselte Partitionen angelegt.

md1_crypt /dev/md1	/dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap
md2_crypt /dev/md2	none	luks

Dann die entsprechende Dateisystem-Tabelle für unverschlüsselte und aktive verschlüsselte Partitionen.

/dev/md0		/boot		ext3	relatime		0 2
/dev/mapper/md1_crypt	none		swap	sw			0 0
/dev/mapper/pve-root	/		ext3	relatime,data=ordered 	0 1
/dev/mapper/pve-data	/var/lib/vz	ext3	relatime,data=ordered	0 3
proc			/proc		prox	defaults

Jetzt werden die Paketquellen in der Datei /etc/apt/sources.list wie folgt eingetragen.

# Debian wheezy
deb http://ftp.de.debian.org/debian/ wheezy main non-free contrib
deb-src http://ftp.de.debian.org/debian/ wheezy main non-free contrib
deb http://security.debian.org/ wheezy/updates main non-free contrib
deb-src http://security.debian.org/ wheezy/updates main non-free contrib
deb http://ftp.de.debian.org/debian/ wheezy-updates main non-free contrib
deb-src http://ftp.de.debian.org/debian/ wheezy-updates main non-free contrib

Nach Aktualisierung der lokalen Caches für Pakete kann fortgefahren werden.

aptitude update && aptitude -y upgrade

Jetzt erfolgt die Konfiguration der Sprache des Systems.

aptitude -y install locales && dpkg-reconfigure locales

Hier wird de_DE.UTF-8 gewählt. Die Zeitzone muss auch gesetzt werden, in der Regel auf Europa/Berlin.

dpkg-reconfigure tzdata

6.1 Grundlegende Software installieren

aptitude install -y ssh grub-pc pciutils psmisc cryptsetup dropbear busybox mdadm lvm2

Während der Installation erscheint eine Nachfrage von grub-pc. Es wird nach dem Ort, an dem GRUB installiert werden soll gefragt. Es sind /dev/sda und /dev/sdb anzugeben. Weicht die Festplattenbenennung ab, ist es wichtig zu wissen, dass GRUB nicht in einer Partition (wie /dev/sda1) oder einem Software-RAID-Verbund, sondern auf Festplatten (wie /dev/sda) installiert werden sollte.

11. Debian in Proxmox VE umwandeln

Nach der erfolgreichen Installation von Debian nach den Proxmox-Vorgaben, kann die Installation nach der Anleitung im Proxmox VE Wiki umgewandelt werden. Es sind die Schritte ab Install Proxmox VE durchzuführen.

]]>
http://falkhusemann.de/blog/2014/01/proxmox-ve-mit-software-raid-und-full-disk-encryption/feed/ 1
Intel I217-LM Treiber für Proxmox VE 3.1 http://falkhusemann.de/blog/2014/01/intel-i217-lm-treiber-fuer-proxmox-ve-3-1/ http://falkhusemann.de/blog/2014/01/intel-i217-lm-treiber-fuer-proxmox-ve-3-1/#comments Sat, 04 Jan 2014 16:38:09 +0000 http://falkhusemann.de/blog/?p=2984 Verwandte Themen:
  1. Snapraid 5.1 erschienen und Aktualisierung von früheren Versionen
  2. rtorrent für Debian wheezy kompilieren
  3. OpenVZ Kali Linux Template für Proxmox VE
]]>
293px-Intel-logo.svg

Treiber installieren liegt nicht nahe, wenn ein Linux-Server betrieben wird. Meist werden alle nötigen Treiber mitgeliefert. Nicht so bei Proxmox VE 3.1 und dem Netzwerkchip I217-LM von Intel. Proxmox verwendet noch den angestaubten Kernel 2.6.32, Unterstützung für den Netzwerkchip der Haswell-Generation bietet aber erst Kernel 3.5.

Mit einfachen Befehlen kann der Treiber, wie folgt, nachinstalliert werden.

apt-get install pve-headers-`uname -r` build-essential
cd /usr/local/src
wget http://downloadmirror.intel.com/15817/eng/e1000e-2.5.4.tar.gz
tar xzf e1000e-2.5.4.tar.gz
cd e1000e-2.5.4
make install
modprobe e1000e
]]>
http://falkhusemann.de/blog/2014/01/intel-i217-lm-treiber-fuer-proxmox-ve-3-1/feed/ 0
dm-crypt Passwort ändern http://falkhusemann.de/blog/2014/01/dm-crypt-passwort-aendern/ http://falkhusemann.de/blog/2014/01/dm-crypt-passwort-aendern/#comments Thu, 02 Jan 2014 19:11:26 +0000 http://falkhusemann.de/blog/?p=2952 Verwandte Themen:
  1. Apache 2.2 Logfiles abschalten
  2. Postfix Header anonymisieren
  3. NetBIOS-Nameserver nmbd deaktivieren
]]>
Das Verschlüsselungs-Subsystem dm-crypt hat mehrere Slots für Passwörter und Keyfiles. Um das Passwort zu ändern, muss ein neues Passwort zu einem neuen Slot hinzugefügt werden und das alte Passwort nach erfolgreicher Änderung gelöscht werden. Vor dem Hinzufügen des neuen Passworts muss ein bereits vergebenes eingegeben werden. Das zu löschende Passwort wird durch direkte Eingabe ausgewählt.

cryptsetup luksAddKey /dev/sdX
cryptsetup luksRemoveKey /dev/sdX

Soll statt einem Passwort eine Schlüsseldatei hinzugefügt werden, geht das ebenso einfach.

cryptsetup luksAddKey /dev/sdx /pfad/zur/schluesseldatei

Weiter Informationen zu Schlüsseldateien gibt es hier und hier.

]]>
http://falkhusemann.de/blog/2014/01/dm-crypt-passwort-aendern/feed/ 0
rtorrent für Debian wheezy kompilieren http://falkhusemann.de/blog/2014/01/rtorrent-fuer-debian-wheezy-kompilieren/ http://falkhusemann.de/blog/2014/01/rtorrent-fuer-debian-wheezy-kompilieren/#comments Thu, 02 Jan 2014 12:37:44 +0000 http://falkhusemann.de/blog/?p=2836 Verwandte Themen:
  1. OVH Debian from Scratch Hacks
  2. John the Ripper Multicore unter Ubuntu/Debian
  3. SnapRAID unter Debian installieren
]]>
rtorrentlogo

Wenn es etwas aktueller sein muss, lässt sich rtorrent einfach aus den Quellen kompilieren. Das kann zum Beispiel dann der Fall sein, wenn die beliebte Weboberfläche rutorrent eingesetzt werden soll. Diese benötigt eine rtorrent Version mit Unterstützung von Umlauten in der xmlrpc Kommunikation.

Für die Integration von aus den Quellen kompilierter Software steht in den Debian Paketquellen das Programm checkinstall zur Verfügung, dass einfache Debian Pakete automatisch erzeugen kann. Checkinstall wird hier eingesetzt.

Zuerst werden die Abhängigkeiten installiert, die über die offiziellen Paketquellen verfügbar sind.

apt-get install checkinstall build-essential pkg-config libsigc++-2.0-dev libcurl4-openssl-dev libncurses5-dev

Ergänzend wird eine aktuelle Version von xmlrpc-c benötigt. Diese kann wie folgt oder per Hand von hier heruntergeladen werden.

wget -O xmlrpc.tgz "http://downloads.sourceforge.net/project/xmlrpc-c/Xmlrpc-c%20Super%20Stable/1.25.26/xmlrpc-c-1.25.26.tgz?r=http%3A%2F%2Fsourceforge.net%2Fprojects%2Fxmlrpc-c%2Ffiles%2FXmlrpc-c%2520Super%2520Stable%2F1.25.26%2F&ts=1385046127&use_mirror=heanet"

Dann wird die gewünschte Version von rtorrent und der zugehörigen libtorrent heruntergeladen.

wget http://libtorrent.rakshasa.no/downloads/libtorrent-0.13.2.tar.gz
wget http://libtorrent.rakshasa.no/downloads/rtorrent-0.9.2.tar.gz

Zuerst wird die heruntergeladene Version von xmlrpc-c entpackt und kompiliert. Nach der Installation mittels checkinstall kann das Paket mit dem Befehl apt-get remove xmlrpc-c wieder entfernt werden.

tar xzf xmlrpc.tgz
cd xmlrpc-c
./configure --with-libwww-ssl-1.25.26
make
checkinstall make install
cd ..

Dann wird die Bibliothek libtorrent kompiliert. Aufgrund einiger Randfälle im Installationsteild es Makefiles lässt sich die Bibliothek nicht als Paket installieren.

tar xzf libtorrent-0.13.2.tar.gz
cd libtorrent-0.13.2
CFLAGS="-Os -march=native" ./configure --with-posix-fallocate
make && make install
cd ..

Zuletzt wird rtorrent selbst entpackt und kompiliert. Das resultierende Paket lässt sich mit dem Befehl apt-get remove rtorrent wieder deinstallieren.

tar xzf rtorrent-0.9.2.tar.gz
cd rtorrent-0.9.2
CFLAGS="-Os -march=native" ./configure --with-xmlrpc-c --enable-ipv6
make
checkinstall make install

Um direkt nach der Installation rtorrent starten zu können, muss der Bibliotheks-Cache mit dem Befehl ldconfig aktualisiert werden. Eine Konfigurationsdatei die im Stammverzeichnis des Benutzers abgelegt werden muss, der rtorrent ausführen soll, gibt es hier.

Die Datei wird in Voreinstellung am Ort ~/.rtorrent.rc gesucht.

]]>
http://falkhusemann.de/blog/2014/01/rtorrent-fuer-debian-wheezy-kompilieren/feed/ 0
OpenVZ Kali Linux Template Download *UPDATE* http://falkhusemann.de/blog/2013/12/openvz-kali-linux-template-download-update/ http://falkhusemann.de/blog/2013/12/openvz-kali-linux-template-download-update/#comments Tue, 31 Dec 2013 12:29:06 +0000 http://falkhusemann.de/blog/?p=2938 Verwandte Themen:
  1. Hallo Planet Ubuntuusers!
  2. UPDATE: Probleme mit WLAN bei Kanalüberlappung
  3. Back Track Day 2013 und Tauchfahrt mit Linux
]]>
Um jedem interessierten Leser meines letzten Artikels über das Herstellen eines OpenVZ Templates für Kali Linux die Arbeit abzunehmen, stelle ich die Vorlage zum Download bereit.

Download Kali Linux 1.0.5 OpenVZ Template

Falls Ihr es einsetzt, würde ich mich über einen kurzen Kommentar sehr freuen.

]]>
http://falkhusemann.de/blog/2013/12/openvz-kali-linux-template-download-update/feed/ 1
OpenVZ Kali Linux Template für Proxmox VE http://falkhusemann.de/blog/2013/12/openvz-kali-linux-template-fuer-proxmox-ve/ http://falkhusemann.de/blog/2013/12/openvz-kali-linux-template-fuer-proxmox-ve/#comments Fri, 27 Dec 2013 18:34:04 +0000 http://falkhusemann.de/blog/?p=2862 Verwandte Themen:
  1. OpenSSH Tunnel im Hintergrund (inkl. Monitoring)
  2. Debian Colocation/Leased Server Full-Disk-Encryption
  3. Back Track Day 2013 und Tauchfahrt mit Linux
]]>
kali-tm

Wie bereits aus dem letzten Beitrag zu Proxmox VE zu erahnen, entsteht hier gerade ein einfaches Penetrationstest Labor mit Proxmox. Dafür wird eine virtuelle Maschine mit Kali Linux benötigt. Zusätzlich muss ein einfacher grafischer Zugang mittels Linux Werkzeugen (vergleichbar zu Windows Remote Desktop) zur Verfügung stehen. Eine solche virtuelle Maschine gibt es bislang noch nicht für Proxmox und die Herstellung erfordert einige Tricks. Das Ergebnis präsentiert sich wie folgt.

Bildschirmfoto - 21.12.2013 - 20:30:48Bildschirmfoto - 21.12.2013 - 20:29:51

Proxmox bietet sowohl Vollvirtualisierung mittels KVM, wie auch Paravirtualisierung mittels OpenVZ. Das Template wird für OpenVZ erstellt, um ohne große Verluste mehrere Instanzen gleichzeitig ausführen zu können. Der entfernte grafische Zugang wird über X2go eingerichtet. Es stehen bereits Paketquellen für Debian “wheezy” zur Verfügung, auf dem Kali Linux 1.0 aufbaut. X2go wird dafür sorgen, dass grafische Sitzungen im Hintergrund weiterlaufen, wenn der entfernte Zugang beendet wird (ähnlich zu screen).

Für Die Herstellung des Templates werden Superuser-Rechte benötigt, die zum Beispiel mittels sudo -s erlangt werden können.

1.1 Debootstrap herunterladen und anpassen

mkdir -p ~/Development/proxmox/kali-linux
cd ~/Development/proxmox/
wget http://archive.kali.org/kali/pool/main/d/debootstrap/debootstrap_1.0.48+kali1_all.deb

Sollte die debootstrap Quelle nicht mehr aktuell sein, kann der richtige Link hier eingesehen werden: http://archive.kali.org/kali/pool/main/d/debootstrap/

ar -xf debootstrap_1.0.48+kali1_all.deb
tar xzf data.tar.gz
tar xzf control.tar.gz

Jetzt muss geprüft werden, ob der Inhalt des Pakets unverändert auf dem lokalen System angekommen ist. Jedes Debian Paket liefert eine Datei md5sums mit, die Prüfsummen über die enthaltenen Dateien enthält. Mit dem folgenden Einzeiler lässt sich die Integrität des debootstrap Pakets prüfen.

cat md5sums | cut -d " " -f 3 | xargs md5sum $1 > md5sums.local; diff md5sums md5sums.local

Der Befehl darf keine Ausgabe erzeugen, sonst sind Daten verändert worden. Um jetzt per debootstrap installieren zu können, muss der Quelltext von debootstrap leicht angepasst werden.

nano usr/sbin/debootstrap

Die folgenden Zeilen entsprechend editieren

Suchen:

DEBOOTSTRAP_DIR=/usr/share/debootstrap

und ersetzen mit:

DEBOOTSTRAP_DIR=/tmp/usr/share/debootstrap

1.2 Installation durchführen

Um sicherzugehen, dass nur offizielle Pakete ohne Hintertüren auf dem neuen System installiert werden, müssen die Signaturen aller Pakete geprüft werden. Alle Debian Pakete sind durch öffentliche Schlüssel in einer Public-Key-Infrastruktur gesichert. Damit diese Signaturen geprüft werden können, muss der Hauptschlüssel des Kali Linux Archivs wie folgt importiert werden.

wget -q -O - http://archive.kali.org/archive-key.asc | gpg --import

Mit dem Befehl gpg --list-keys wird geprüft, ob der Schlüssel erfolgreich importiert wurde. Ist das der Fall, kann das Grundsystem wie folgt installiert werden.

usr/sbin/debootstrap --keyring=~/.gnupg/pubring.gpg --arch=amd64 --include=kali-archive-keyring,kali-debtags,kali-defaults,kali-linux,kali-menu,kali-root-login,gnome,openssh-server kali ./kali-linux/ http://archive.kali.org/kali

Bei der Ausführung des Befehls kann es zu einem Fehler mit der Nachricht W: Failure while installing base packages. This will be re-attempted up to five times. kommen. Dieser Fehler kann ignoriert werden. Auch kann es zu einem abschließenden Fehler im Zusammenhang mit dem Paket metasploit kommen. Auch dieser Fehler kann ignoriert werden. Er wird vor der Erstellung des Templates behandelt.

Nach der Installation des Grundsystems erfolgt die Anmeldung über den chrootBefehl, um die weitere Einrichtung durchzuführen.

mount -t proc none ./kali-linux/proc/
mount -o bind /dev ./kali-linux/dev/
mount -t tmpfs none ./kali-linux/tmp/
mount -o bind /sys ./kali-linux/sys
LANG=C chroot ./kali-linux /bin/bash

Erzeugen die Befehle keine Fehlermeldung, wurde erfolgreich in das frisch installierte Kali Linux gewechselt.

1.3 System einrichten und aktualisieren

Um die Signaturen der in Zukunft zu installierenden Pakete prüfen zu können, müssen die Schlüssel der Paketquellen auch im neuen OpenVZ Template importiert werden.

# kali
apt-key adv --recv-keys --keyserver keys.gnupg.net ED444FF07D8D0BF6
# x2go
apt-key adv --recv-keys --keyserver keys.gnupg.net E1F958385BFE2B6E

Jetzt werden die Paketquellen aktualisiert und das System auf den Stand der den neuen Paketquellen entspricht, gebracht. Neuer Inhalt der Datei /etc/apt/sources.list hat wie folgt zu lauten.

## KALI Main
deb http://http.kali.org/kali kali main non-free contrib
deb-src http://http.kali.org/kali kali main non-free contrib

## KALI Sec
deb http://security.kali.org/kali-security kali/updates main contrib non-free

## X2Go
deb http://packages.x2go.org/debian wheezy main
deb-src http://packages.x2go.org/debian wheezy main

Durchführung der Aktualisierung wie folgt.

apt-get update
apt-get upgrade -f

Jetzt kann X2go installiert werden.

apt-get install x2goserver x2goserver-extensions x2goserver-compat x2goserver-fmbindings

1.4 Anpassungen des Proxmox Templates

Damit jede virtuelle Maschine eigene SSH Host-Schlüssel hat, muss die Datei /etc/rc.local wie folgt vor dem Befehl exit 0 ergänzt werden und danach der Befehl rm /etc/ssh/ssh_host_* ausgeführt werden.

# SSH-Keys bei Erststart erzeugen
test -f /etc/ssh/ssh_host_dsa_key || dpkg-reconfigure openssh-server

Damit der SSH-Dienst im Gegensatz zur Voreinstellung von Kali Linux beim Systemstart gestartet wird, ist das Anlegen der Verknüpfungen aus den Runleveln zu SSH sowie die korrekte Ablegung des start-stop-daemon Skripts notwendig. Folgende zwei Befehle erledigen die Arbeit.

update-rc.d ssh enable 2 3
cp /sbin/start-stop-daemon.REAL /sbin/start-stop-daemon

Jetzt muss das Kennwort des Superusers der virtuellen Maschine mit dem Befehl passwd mit dem bekannten Wert toor initialisiert werden. Daraufhin werden alle lokalen Konsolen (gettys) bis auf das Erste in der Datei /etc/inittab wie folgt auskommentiert.

1:2345:respawn:/sbin/getty 38400 tty1
#2:23:respawn:/sbin/getty 38400 tty2
#3:23:respawn:/sbin/getty 38400 tty3
#4:23:respawn:/sbin/getty 38400 tty4
#5:23:respawn:/sbin/getty 38400 tty5
#6:23:respawn:/sbin/getty 38400 tty6

Danach wird die chroot-Umgebung mit dem Befehl exit verlassen. Die temporär eingehängten Systemverzeichnisse müssen jetzt ausgehängt werden.

umount ~/Development/proxmox/kali-linux/proc
umount ~/Development/proxmox/kali-linux/tmp
umount ~/Development/proxmox/kali-linux/sys
umount -l ~/Development/proxmox/kali-linux/dev

1.5 Template erstellen und speichern

Folgend kann das Template erstellt werden.

cd kali-linux
GZIP=-9 tar --numeric-owner -zcf ~/Development/proxmox/kali-1.0.5-standard_1.0.5-1_i386.tar.gz .

Im Anschluss kann das erstellte Template in den Storage-Bereich von Proxmox hochgeladen und provisioniert werden.

Bildschirmfoto - 27.12.2013 - 10:40:09

1.6 Verbindung mittels X2go

Nach der Provisionierung ist die Verbindung zur virtuellen Maschine mittels X2Go mit folgenden Einstellungen möglich (IP-Adresse anpassen!). Das verwendete Icon gibt es hier.

X2Go Kali Linux Einstellung

X2Go Kali Linux Einstellung

Um die Provisionierung abzuschließen, muss in einem Terminal der Befehl apt-get install -f eingegeben werden und ein MySQL-Kennwort vergeben werden. Zuletzt folgt die Konfiguration der lokalen Sprache.

dpkg-reconfigure locales

Hier wird de_DE.UTF-8 gewählt. Die Zeitzone muss auch gesetzt werden, in der Regel auf Europa/Berlin.

dpkg-reconfigure tzdata

Wem die Anpassungen nach der Provisionierung zuviel sind, oder wer das Template nur in einer Sprache benötigt, kann aus dem Verzeichnis /var/lib/vz/private/VZID ein neues finalisiertes Template erzeugen.

Viel Spaß!

KALI LINUX ™ is a trademark of Offensive Security.

]]>
http://falkhusemann.de/blog/2013/12/openvz-kali-linux-template-fuer-proxmox-ve/feed/ 1
Frohe Weihnachten http://falkhusemann.de/blog/2013/12/frohe-weihnachten/ http://falkhusemann.de/blog/2013/12/frohe-weihnachten/#comments Tue, 24 Dec 2013 11:32:12 +0000 http://falkhusemann.de/blog/?p=2885 Verwandte Themen:
  1. Proxmox VE 3.1 “Nag Screen” abschalten und nicht-kommerzielle Paketquellen
]]>
weihnachtsbaum

Ich wünsche allen Lesern meines Blogs frohe Weihnachten und einige ruhige Tage mit euren Familien.

PS.: Um diesen Artikel auf einigen Aggregatoren posten zu dürfen, muss ich hier (planet ubuntu) schreiben, dass ich der Meinung bin, dass ASCII Art eine viel zu geringe Rolle im heutigen Alltagsleben spielt (Verhaltenskodex Regel 8). Für das OSBN muss ich noch sagen: Man kann Proxmox VE über Debian wheezy installieren. Krass, was?

]]>
http://falkhusemann.de/blog/2013/12/frohe-weihnachten/feed/ 0
Vortrag IT-Sicherheit und Angriffsmethoden http://falkhusemann.de/blog/2013/12/vortrag-it-sicherheit-und-angriffsmethoden/ http://falkhusemann.de/blog/2013/12/vortrag-it-sicherheit-und-angriffsmethoden/#comments Wed, 18 Dec 2013 21:35:03 +0000 http://falkhusemann.de/blog/?p=2864 Verwandte Themen:
  1. Security through Obscurity – Eine Ergänzung für die IT-Sicherheit?
]]>
Am 16.12 durfte ich in der Vorlesung Rechnernetze und verteilte Systeme einige Angriffsmethoden quer über den TCP/IP Stack verteilt vorstellen. Die Vorlesung richtet sich an Bachelor-Studenten im dritten Semester.

Die Folien stehen hier zum Ansehen bereit:


Vortrag “IT-Sicherheit im Fakultätsnetz (PDF)

Je mehr Vorträge ich halte, desto mehr Spaß macht es, die Zuhörer für die Themen zu begeistern und desto weniger Stress macht es.

]]>
http://falkhusemann.de/blog/2013/12/vortrag-it-sicherheit-und-angriffsmethoden/feed/ 0
Snapraid 5.1 erschienen und Aktualisierung von früheren Versionen http://falkhusemann.de/blog/2013/12/snapraid-5-1-erschienen-und-aktualisierung-von-frueheren-versionen/ http://falkhusemann.de/blog/2013/12/snapraid-5-1-erschienen-und-aktualisierung-von-frueheren-versionen/#comments Tue, 17 Dec 2013 09:36:36 +0000 http://falkhusemann.de/blog/?p=2854 Verwandte Themen:
  1. Optimize maximum throughput of the modified Seagate Dockstar
  2. Shell Schnipsel: sambaversion
  3. John the Ripper Multicore unter Ubuntu/Debian
]]>
Version 5.1 des nicht-standardisierten Snapshot-RAIDs SnapRAID ist im Dezember erschienen. Über das grundsätzliche Verfahren von SnapRAID habe ich bereits hier berichtet.

index

Die neue Version bietet in einigen Punkten sinnvolle Verbesserungen.

 

  • Bis zu sechs Paritätsfestplatten
  • Bessere Unterstützung für ARM- und AMD-Prozessoren
  • Geringerer Speicherverbrauch

Aktualisieren

Leider stehen noch keine Debian-Pakete für SnapRAID zur Verfügung, sodass das Programm per Hand kompiliert werden muss. Das geht mit dem Werkzeug checkinstall, dass ein rudimentäres Debian-Paket erstellt, leicht von der Hand. Dir notwendigen Pakete, um SnapRAID aus den Quellen zu übersetzen, sind hier zu finden.

apt-get install build-essential checkinstall
cd /usr/local/src/
wget -O snapraid.tar.gz http://sourceforge.net/projects/snapraid/files/snapraid-5.1.tar.gz/download
tar xvzf snapraid.tar.gz
cd snapraid-5.1/
./configure && make && make check

Nach Ausführung der Tests sollte folgende Bestätigung für das erfolgreiche Durchlaufen erscheinen.

Everything OK
echo Success!
Success!
make[1]: Leaving directory `/usr/local/src/snapraid-5.1'

Jetzt muss die bereits installierte Version von SnapRAID deinstalliert werden. Zur Sicherheit wird eine Sicherungskopie der Konfigurationsdatei in /var/tmp angelegt.

1
apt-get remove snapraid
cp /etc/snapraid.conf /var/tmp/snapraid.conf.bak

Daraufhin kann SnapRAID und die SnapRAID-Konfiguration installiert werden.

checkinstall make install

Ist die Installation fehlerfrei durchgeführt, muss das Snapshot-RAID neu Synchronisiert werden.

snapraid sync
]]>
http://falkhusemann.de/blog/2013/12/snapraid-5-1-erschienen-und-aktualisierung-von-frueheren-versionen/feed/ 0
Proxmox VE 3.1 “Nag Screen” abschalten und nicht-kommerzielle Paketquellen http://falkhusemann.de/blog/2013/12/proxmox-ve-3-1-nag-screen-abschalten-und-nicht-kommerzielle-paketquellen/ http://falkhusemann.de/blog/2013/12/proxmox-ve-3-1-nag-screen-abschalten-und-nicht-kommerzielle-paketquellen/#comments Mon, 16 Dec 2013 19:13:57 +0000 http://falkhusemann.de/blog/?p=2844 Verwandte Themen:
  1. Kali Linux Colocation/Leased Server Full-Disk-Encryption
  2. Bidirektionale IP-Benchmarks mit iperf durch NAT-Gateways
  3. Laufenden Prozess in screen Sitzung verschieben
]]>
Wenn es um Virtualisierung für kleinere Umgebungen oder zuhause für Experimente und wenige virtuelle Server geht, dazu noch freie Software und bestenfalls auf Debian basierend sein soll, führt kaum ein Weg an Proxmox VE vorbei. Die Distribution basiert auf Debian und erlaubt es dem Nutzer virtuelle Server mittels OpenVZ und KVM zu betreiben. Alles in einem schönen Webinterface.

Aus finanziellen Gründen haben sich die Betreiber seit Version 3 dazu entschlossen, einen “Nag screen” (engl. Nerv-Anzeige) anzuzeigen.

Proxmox VE 3.1 "Nag Screen"

Proxmox VE 3.1 “Nag Screen”

Darüber hinaus sind in Voreinstellung die kostenpflichtigen Paketrepositories vorkonfiguriert. Beides soll geändert werden.

Zuerst wird die folgende Datei geöffnet und die Paketquelle auskommentiert.

nano /etc/apt/sources.list.d/pve-enterprise.list

Dann wird eine neue Datei im selben Verzeichnis mit den Paketquellen für Nutzer ohne Abo angelegt. Die Paketquelle ist im Proxmox VE Wiki hinterlegt.

nano /etc/apt/sources.list.d/pve-no-subscription.list

Die Aktualisierungen aus diesem Repository lassen sich jetzt einfach installieren.

apt-get update && apt-get dist-upgrade

Und auch gegen die Nerv-Anzeige lässt sich etwas tun. Der folgende absichtlich minimal gehaltene Patch von Tyler J. Wagner deaktiviert sie und wird wie darauffolgt angewendet.

--- /usr/share/pve-manager/ext4/pvemanagerlib.js.orig	2013-08-28 10:33:15.000000000 +0100
+++ /usr/share/pve-manager/ext4/pvemanagerlib.js	2013-08-28 10:37:52.000000000 +0100
@@ -447,7 +447,7 @@
 	    success: function(response, opts) {
 		var data = response.result.data;
 
-		if (data.status !== 'Active') {
+		if (false && data.status !== 'Active') {
 		    Ext.Msg.show({
 			title: 'No valid subscription',
 			icon: Ext.Msg.WARNING,

Anwendung wie folgt.

cd /usr/share/pve-manager/ext4/
wget http://www.tolaris.com/blog/wp-content/uploads/2013/08/no_subscription_popup_pvemanagerlib.js-3.1.patch -O - | patch -p0

Es bleibt abzuwarten, ob die Proxmox Server Solutions GmbH, Hersteller von Proxmox VE, es bei diesen kleinen Einschränkungen belässt. Falls nein, wird sich wie üblich sicher ein Fork finden der einen Aktualisierungspfad eröffnet.

]]>
http://falkhusemann.de/blog/2013/12/proxmox-ve-3-1-nag-screen-abschalten-und-nicht-kommerzielle-paketquellen/feed/ 1
Linux Software-RAID löschen/auflösen http://falkhusemann.de/blog/2013/11/linux-software-raid-loeschenaufloesen/ http://falkhusemann.de/blog/2013/11/linux-software-raid-loeschenaufloesen/#comments Tue, 26 Nov 2013 18:06:54 +0000 http://falkhusemann.de/blog/?p=2832 Verwandte Themen:
  1. Linux Software-RAID für unternehmenskritische Anwendungen
  2. Linux Software-RAID Konvertierung
]]>
Es geschieht nicht oft, dass ein RAID-Verbund in funktionierendem Zustand aufgelöst werden muss. Aber wenn es nötig wird und die Festplatten einer neuen Verwendung zugeführt werden sollen, hilft das folgende Vorgehen.

Zuerst werden die Paritionsnamen des RAID-Verbunds (hier md1) erfasst.

mdadm --detail /dev/md1 | grep -A 256 RaidDevice | grep '/dev/' | awk '{print $7}' | xargs echo

Dann wird das RAID gestoppt.

mdadm --stop /dev/md1

Zuletzt werden die Superblöcke der Partitionen geleert.

mdadm --zero-superblock /dev/sdf2 /dev/sdc2 /dev/sde2 /dev/sdb2 /dev/sda2

Durch Eingabe des Befehls cat /proc/mdstat kann abschließend geprüft werden, dass das Software-RAID erfolgreich aufgelöst wurde.

]]>
http://falkhusemann.de/blog/2013/11/linux-software-raid-loeschenaufloesen/feed/ 0
Debian Colocation/Leased Server Full-Disk-Encryption http://falkhusemann.de/blog/2013/10/debian-colocationleased-server-full-disk-encryption/ http://falkhusemann.de/blog/2013/10/debian-colocationleased-server-full-disk-encryption/#comments Tue, 08 Oct 2013 11:37:54 +0000 http://falkhusemann.de/blog/?p=1838 Verwandte Themen:
  1. Ein 20 Euro Server mit Debian: Seagate FreeAgent Dockstar
  2. OVH Debian from Scratch Hacks
  3. Debian per USB-Stick installieren
]]>
1. Grundsätzliches

Diese Anleitung beschreibt die Installationen von Debian Wheezy auf einem Server mittels Rettungssystem. Der Server ist nach der Installation weder gegen Angriffe aus dem Netzwerk abgesichert noch entspricht er dem Standard-Image des Providers. Durch den Einsatz einer Debian Basis-Installation fallen Überwachungsskripte und gepatchte Kernel des Providers weg. Das ist kein Zufall.

Das Ergebnis ist ein Minimalsystem für einen voll-verschlüsselten Server, der folgende Eigenschaften hat.

  • Möglichst unabhängig von der Provider-Infrastruktur
  • Minimalsystem
  • Full-Disk-Encryption (FDE) mit Entsperrung per SSH

Die Anleitung basiert auf dem Squeeze from Scratch HowTo von Sven Richter und stellt das Vorgehen zur Installation nach den Prinzipien meines Vortrags “Tauchfahrt mit Linux – Colocation Anti-Forensik” dar. Die Folien führen in die Problemsituation und meinen Lösungsansatz ein und sind hier zu finden. Es wird davon ausgegangen, dass die Installation von einem Linux-System aus durchgeführt wird.

2. Sicherung der Netzwerkdaten

Diese Daten sind für die Fortführung der manuellen Installation erforderlich. Am besten ist es, sie werden in einer Textdatei gesichert. Die Inhalte folgender Dateien/Programmausgaben werden benötigt.

cat /etc/resolv.conf
hostname
cat /etc/network/interfaces
route -n

Der Server muss für die folgenden Schritte über das Rettungssystems des Providers gestartet werden. Alle Schritte sind im Rettungssystem auszuführen.

3. Festplatte partitionieren

Partionsmanager aufrufen

cfdisk -z

Gelöscht wird automatisch das komplette Partitionsschema der vorherigen Installation.

Angelegt werden drei Partitionen.
sda1

  • Größe 1GB
  • Typ 83 (Wird unverschlüsselte /boot Partition)
  • Bootfähig

sda2

  • Größe 512MB
  • Typ 83 (wird später verschlüsselter Linux Swap)

sda3

  • Größe Rest (wird von cfdisk automatisch vorgeschlagen)
  • Typ 83 (wird später verschlüsselter Linux Datenbereich)

Die neuen Partitionen werden formatiert und folgend eingebunden.

Zuerst die /boot Partition

mkfs.ext4 /dev/sda1

Dann wird die Systempartition / verschlüsselt und formatiert. Hier ist es besonders wichtig, ein Passwort auszuwählen, dass länger als 20 Zeichen ist. Je länger und zufäliger das Passwort, desto länger dauert das Brechen. Dieses Passwort ist gemeinsam mit einem folgend erstellten SSh-Schlüssel die Achillesferse des Prinzips und muss geheimgehalten werden. Es ist sehr empfehlenswert, eine Software wie PWGen zu verwenden, um ein sehr langes Passwort (zum Beispiel 200 Zeichen) zu erzeugen.

Wenn das Passwort erzeugt ist, kann wie folgt fortgefahren werden. Bei der Verschlüsselung der Partition muss zuerst die Verschlüsselung mit Eingabe von YES bestätigt werden und dann der Schlüssel zweimal eingegeben werden.

cryptsetup luksFormat /dev/sda3
cryptsetup luksOpen /dev/sda3 sda3_crypt
mkfs.ext4 /dev/mapper/sda3_crypt

Jetzt werden die Partitionen eingebunden, damit im nächsten Schritt das Basis-System installiert werden kann.

mount /dev/mapper/sda3_crypt /mnt
mkdir /mnt/boot
mount /dev/sda1 /mnt/boot

4. Debian GNU/Linux 7 “wheezy” installieren und einrichten

Um sicherzugehen, dass keine unnötigen Spuren der Debian Installation auf dem Rettungsystem zurückbleiben, wird ein kleiner Teil des Arbeitsspeichers als temporäres Verzeichnis verwendet, um die Installationspakete herunterzuladen. Aus diesem heraus wird Debian per debootstrap installiert. Anschließend wird per chroot in das frisch installierten System gewechselt.

4.1 Debootstrap herunterladen und anpassen

mount -t tmpfs none /tmp
cd /tmp
wget http://ftp.de.debian.org/debian/pool/main/d/debootstrap/debootstrap_1.0.55_all.deb

Sollte die debootstrap Quelle nicht mehr aktuell sein, kann der richtige Link hier eingesehen werden: http://ftp.de.debian.org/debian/pool/main/d/debootstrap/

ar -xf debootstrap_1.0.55_all.deb
tar xJf data.tar.xz
tar xzf control.tar.gz

Jetzt muss geprüft werden, ob der Inhalt des Pakets unverändert im Rettungssystem angekommen ist. Jedes Debian Paket liefert eine Datei md5sums mit, die Prüfsummen über die enthaltenen Dateien enthält. Mit dem folgenden Einzeiler lässt sich die Integrität des debootstrap Pakets prüfen.

cat md5sums | cut -d " " -f 3 | xargs md5sum $1 > md5sums.local; diff md5sums md5sums.local

Der Befehl darf keine Ausgabe erzeugen, sonst sind Daten verändert worden.

Um jetzt per debootstrap installieren zu können, muss der Quelltext von debootstrap leicht angepasst werden.

nano usr/sbin/debootstrap

Die folgenden Zeilen entsprechend editieren

Suchen:

DEBOOTSTRAP_DIR=/usr/share/debootstrap

und ersetzen mit:

DEBOOTSTRAP_DIR=/tmp/usr/share/debootstrap

4.2 Installation durchführen

Um sicherzugehen, dass nur offizielle Pakete ohne Hintertüren auf dem neuen System installiert werden, müssen die Signaturen aller Pakete geprüft werden. Alle Debian Pakete sind durch öffentliche Schlüssel in einer Public-Key-Infrastruktur gesichert. Damit diese Signaturen geprüft werden können, muss der Hauptschlüssel des Debian Archivs wie folgt importiert werden.

wget --no-check-certificate https://ftp-master.debian.org/keys/archive-key-6.0.asc
gpg --import archive-key-6.0.asc

Mit dem Befehl gpg --list-keys wird geprüft, ob der Schlüssel erfolgreich importiert wurde. Ist das der Fall, kann das Grundsystem installiert werden.

usr/sbin/debootstrap --keyring=/root/.gnupg/pubring.gpg --arch amd64 wheezy /mnt/ http://ftp2.de.debian.org/debian

Nach der Installation des Grundsystems erfolgt die Anmeldung über den chroot-Befehl, um die weitere Einrichtung durchzuführen.

mount -t proc none /mnt/proc
mount -o bind /dev /mnt/dev
mount -t tmpfs none /mnt/tmp
mount -o bind /sys /mnt/sys
LANG=C chroot /mnt /bin/bash

Erzeugen die Befehle keine Fehlermeldung, wurde erfolgreich in das frisch installierte Debian gewechselt.

4.3 Rootpasswort und User erstellen

Als erstes wird im Grundsystem ein Passwort für den Superuser root gesetzt.

passwd

5. System und Netzwerk konfigurieren

Jetzt werden die gesicherten Netzwerkdaten benötigt. Entweder die Daten liegen in einer Textdatei vor, oder sie werden live durch die entsprechenden Befehle in der chroot Umgebung abgerufen.

Diese werden sinngemäß eingetragen:

echo $euerHostname > /etc/hostname
echo "$eureIP $euerHostname >> /etc/hosts

 

 cat > /etc/resolv.conf << "EOF"
nameserver 127.0.0.1
nameserver 123.123.123.123
nameserver 213.186.33.99
EOF

Auch hier muss 123.123.123.123 entsprechend der gesicherten Daten angepasst werden. Sollen statt der Nameserver des Providers anonyme nicht-loggende Nameserver eingesetzt werden, können hier einige eingesehen werden.

5.1 Netzwerk

Anhand dieses Beispiels wird das Netzwerk konfiguriert. Es müssen unbedingt die Daten für die eigene IP-Adresse ersetzt werden.

cat > /etc/network/interfaces << "EOF"
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 123.123.123.123
netmask 255.255.255.0
broadcast 123.123.123.255
network 123.123.123.0
gateway 123.123.123.254
EOF 
echo 'BOOTLOGD_ENABLE=Yes' > /etc/default/bootlogd

5.2 Einrichtung der /etc/crypttab,/etc/fstab, Paketquellen und lokale Einstellungen

Zuerst wird die Dateisystem-Tabelle für verschlüsselte Partitionen angelegt.

sda2_crypt /dev/sda2 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap
sda3_crypt /dev/sda3 none luks

Dann die entsprechende Dateisystem-Tabelle für unverschlüsselte und aktive verschlüsselte Partitionen.

/dev/sda1               /boot   ext4    noatime 0       2
/dev/mapper/sda2_crypt  none    swap    sw      0       0
/dev/mapper/sda3_crypt  /       ext4    noatime,defaults,errors=remount-ro 0 1
proc /proc proc defaults

Jetzt werden die Paketquellen in der Datei /etc/apt/sources.list wie folgt eingetragen.

deb http://ftp.de.debian.org/debian/ wheezy main non-free contrib
deb-src http://ftp.de.debian.org/debian/ wheezy main non-free contrib
deb http://security.debian.org/ wheezy/updates main non-free contrib
deb-src http://security.debian.org/ wheezy/updates main non-free contrib
deb http://ftp.de.debian.org/debian/ wheezy-updates main non-free contrib
deb-src http://ftp.de.debian.org/debian/ wheezy-updates main non-free contrib

Nach Aktualisierung der lokalen Caches für Pakete kann fortgefahren werden.

aptitude update && aptitude -y upgrade

Jetzt erfolgt die Konfiguration der Sprache des Systems.

aptitude -y install locales && dpkg-reconfigure locales

Hier wird de_DE.UTF-8 gewählt. Die Zeitzone muss auch gesetzt werden, in der Regel auf Europa/Berlin.

dpkg-reconfigure tzdata

6. Bootmanager, Kernel und Basis-Software installieren

Der Kernel wird wie folgt installiert.

aptitude -y install linux-image-amd64

6.1 Grundlegende Software installieren

aptitude install -y ssh grub-pc pciutils psmisc cryptsetup dropbear busybox

Während der Installation erscheint eine Nachfrage von grub-pc. Dort einfach bestätigen. Wird nach dem Ort, an dem GRUB installiert werden soll gefragt, ist /dev/sda anzugeben. Weicht die Festplattenbenennung ab, ist es wichtig zu wissen, dass GRUB nicht in einer Partition (wie /dev/sda1), sondern auf der Festplatten (wie /dev/sda) installiert werden sollte.

7. Remote unlock einrichten

/etc/initramfs-tools/initramfs.conf mit nano öffnen. Die Zeile DEVICE= suchen und folgende Ergänzungen exakt eintragen. Der Hostname sollte keine Punkte enthalten und wird nur in der Bootumgebung benötigt. Achtet unbedingt auf die Anzahl der Doppelpunkte, im Zweifelsfall ist hier das Format nachzulesen.

DEVICE=eth0
IP=$eureServerIP::$routerIP:255.255.255.0:$euerHostname:eth0:off
DROPBEAR=y

Jetzt werden die Änderungen an der initrd Konfiguration übernommen und die bestehende initrd aktualisiert.

update-initramfs -u -k all

Jetzt muss der eigene öffentliche Schlüssel für die initialen Bootumgebung der Datei /etc/initramfs-tools/root/.ssh/authorized_keys hinzugefügt werden. Als nächstes müssen die Dateien id_rsa und id_rsa.pub auf dem Server gelöscht werden, sie könnten von einem Angreifer entwendet werden um sich in der Bootumgebung anzumelden.

rm /etc/initramfs-tools/root/.ssh/id_rsa
rm /etc/initramfs-tools/root/.ssh/id_rsa.pub

8. Reboot des Systems

Wir gehen wieder zurück zum Kundenmenü, stellen unter Netboot HD ein und startet den Serve wie folgt neu.

update-grub
exit
reboot

Jetzt wird der Server hochgefahren und sollte nach maximal drei Minuten wieder verfügbar sein.

9. Server entsperren

Mit Putty und der unter Punkt 8 erzeugten .ppk Datei als Schlüssel mit dem Server verbinden. Das Passwort wie folgt eingeben.

echo -n "$meinPasswort" > /lib/cryptsetup/passfifo

Hint: Alle Zeichen innerhalb eures Schlüssels die nicht 0-9,a-z und A-Z sind müssen mit einer Escape-Sequenz versehen werden. Aus 09a67Z*p; wird 09a67Z\*p\;.

10. Erweiterungen

Soll dgetty zur Abwehr von lokalen Eingaben eingesetzt werden, oder die /boot Partition automatisch auf Änderungen überwacht werden, finden sich die Werkzeuge dgetty und scout an dieser Stelle. Weitere Maßnahmen zur Anonymisierung finden sich im Artikel OVH Debian from Scratch Hacks.

]]>
http://falkhusemann.de/blog/2013/10/debian-colocationleased-server-full-disk-encryption/feed/ 9
Back Track Day 2013 und Tauchfahrt mit Linux http://falkhusemann.de/blog/2013/10/back-track-day-2013-und-tauchfahrt-mit-linux/ http://falkhusemann.de/blog/2013/10/back-track-day-2013-und-tauchfahrt-mit-linux/#comments Sun, 06 Oct 2013 17:59:41 +0000 http://falkhusemann.de/blog/?p=2785 Verwandte Themen:
  1. Auskunftsbeschränkung in hippokratischen Datenbanken
  2. Linux-Magazin Artikel zu Elite Proxies und Perfect Privacy
  3. Kali Linux Colocation/Leased Server Full-Disk-Encryption
]]>
logo_transparent_320x288

Um das Chaos der Benachrichtigungen, die einige Blog-Leser jetzt bekommen könnten, aufzuklären ein paar kurze Hinweise. Auf dem Back Track Day 2013 habe ich einen Vortrag gehalten. Zu diesem Vortrag gehört ein Sammelsurium an Unterlagen, Skripten und virtueller Maschine.

Alles was dazu gehört, gibt es unter folgendem Link:

Tauchfahrt mit Linux

Server mieten ist günstig. Dem Provider muss man aber vertrauen. Unter obigem Link versuche ich Ansätze für Antworten auf die Frage: Was, wenn nicht? zu geben.

Über Kommentare, Korrekturen oder Feedback würde ich mich sehr freuen.

Der Back Track Day ist eine jährliche Veranstaltung für Penetrationstester und Nutzer der dafür bestimmten Linux Distribution Kali Linux, die früher Back-Track Linux hieß.

]]>
http://falkhusemann.de/blog/2013/10/back-track-day-2013-und-tauchfahrt-mit-linux/feed/ 0
Kali Linux Colocation/Leased Server Full-Disk-Encryption http://falkhusemann.de/blog/2013/10/kali-linux-colocationleased-server-full-disk-encryption/ http://falkhusemann.de/blog/2013/10/kali-linux-colocationleased-server-full-disk-encryption/#comments Sun, 06 Oct 2013 17:32:45 +0000 http://falkhusemann.de/blog/?p=2697 Verwandte Themen:
  1. Hacking mit der Linux Zwischenablage
  2. Alternativer DNS Server
  3. Ein 20 Euro Server mit Debian: Seagate FreeAgent Dockstar
]]>
Übersicht

Natürlich lässt sich jede Debian basierte Distribution nach dem im Artikel Debian Colocation/Leased Server Full-Disk-Encrytion vorgestellten Prinzip installieren. Dafür sind nur sehr wenige Änderungen notwendig. Hier die Anpassungen, um statt Debian Kali Linux zu installieren.

Es sind die Abschnitte 4.1 und 4.2 der Anleitung wie hier gezeigt zu ersetzen und die veränderten Paketquellen in Schritt 5.2 zu verwenden.

4.1 Debootstrap herunterladen und anpassen

mount -t tmpfs none /tmp
cd /tmp
wget http://archive.kali.org/kali/pool/main/d/debootstrap/debootstrap_1.0.48+kali1_all.deb

Sollte die debootstrap Quelle nicht mehr aktuell sein, kann der richtige Link hier eingesehen werden: http://archive.kali.org/kali/pool/main/d/debootstrap/

ar -xf debootstrap_1.0.48+kali1_all.deb
tar xzf data.tar.gz
tar xzf control.tar.gz

Jetzt muss geprüft werden, ob der Inhalt des Pakets unverändert im Rettungssystem angekommen ist. Jedes Debian Paket liefert eine Datei md5sums mit, die Prüfsummen über die enthaltenen Dateien enthält. Mit dem folgenden Einzeiler lässt sich die Integrität des debootstrap Pakets prüfen.

cat md5sums | cut -d " " -f 3 | xargs md5sum $1 > md5sums.local; diff md5sums md5sums.local

Der Befehl darf keine Ausgabe erzeugen, sonst sind Daten verändert worden.

Um jetzt per debootstrap installieren zu können, muss der Quelltext von debootstrap leicht angepasst werden.

nano usr/sbin/debootstrap

Die folgenden Zeilen entsprechend editieren

Suchen:

DEBOOTSTRAP_DIR=/usr/share/debootstrap

und ersetzen mit:

DEBOOTSTRAP_DIR=/tmp/usr/share/debootstrap

4.2 Installation durchführen

Um sicherzugehen, dass nur offizielle Pakete ohne Hintertüren auf dem neuen System installiert werden, müssen die Signaturen aller Pakete geprüft werden. Alle Debian Pakete sind durch öffentliche Schlüssel in einer Public-Key-Infrastruktur gesichert. Damit diese Signaturen geprüft werden können, muss der Hauptschlüssel des Debian Archivs wie folgt importiert werden.

wget -q -O - http://archive.kali.org/archive-key.asc | gpg --import

Mit dem Befehl gpg --list-keys wird geprüft, ob der Schlüssel erfolgreich importiert wurde. Ist das der Fall, kann das Grundsystem installiert werden.

usr/sbin/debootstrap --keyring=/root/.gnupg/pubring.gpg --arch=amd64 kali /mnt/ http://archive.kali.org/kali

Nach der Installation des Grundsystems erfolgt die Anmeldung über den chrootBefehl, um die weitere Einrichtung durchzuführen.

mount -t proc none /mnt/proc
mount -o bind /dev /mnt/dev
mount -t tmpfs none /mnt/tmp
mount -o bind /sys /mnt/sys
LANG=C chroot /mnt /bin/bash

Erzeugen die Befehle keine Fehlermeldung, wurde erfolgreich in das frisch installierte Debian gewechselt.

5.2 Ergänzung für Kali

Hier wird statt der angegebenen Quellen für Debian folgender Inhalt in die Datei /etc/apt/sources.list hinzugefügt.

deb http://http.kali.org/kali kali main non-free contrib
deb http://security.kali.org/kali-security kali/updates main contrib non-free
deb-src http://http.kali.org/kali kali main non-free contrib
deb-src http://security.kali.org/kali-security kali/updates main contrib non-free
]]>
http://falkhusemann.de/blog/2013/10/kali-linux-colocationleased-server-full-disk-encryption/feed/ 1
Ein Jahr mit NbIServ für das OpenNIC Projekt http://falkhusemann.de/blog/2013/09/ein-jahr-mit-nbiserv-fuer-das-opennic-projekt/ http://falkhusemann.de/blog/2013/09/ein-jahr-mit-nbiserv-fuer-das-opennic-projekt/#comments Fri, 20 Sep 2013 23:19:09 +0000 http://falkhusemann.de/blog/?p=2626 Verwandte Themen:
  1. Alternativer DNS Server
  2. Alternativer DNS-Server
  3. Ein Vierteljahr mit NbIServer für OpenNIC
]]>
Seit über einem Jahr betreibe ich für das OpenNIC-Projekt einen zensurfreien alternativen Nameserver unter der IP-Adresse 46.182.18.228. Berichtet habe ich bereits hier und nach einem vierteljahr hier darüber.

In dem vollen Jahr gab es mehrere Probleme mit Denial of Service Angriffen auf den offenen Nameserver, bei denen der Server nicht durch NbIServ abgeschaltet wurde, sodass eine Intervention möglich war. Der virtuelle Server lief bisher so stabil und zuverlässig, dass der Dienst bis auf die regelmäßigen Mail zu Sicherheitsupdates völlig unauffällig nebenher mitlief.

Sehr unspektakulär.

Auch wurde ich nicht aufgefordert Gastbeiträge zuzulassen, oder ohne Testmöglichkeit Artikel über Produkte zu schreiben.

nbiserv

Und genau diese Art des Serverbetriebs und Projekt-Sponsorings ist nicht mehr selbstverständlich, wie ich seit Juni am eigenen Leib erfahren durfte.

Skrupellose SEO-Agenturen, die für Backlinks Leistungsbeschreibungen gegen geringes Honorar von Bloggern abschreiben lassen, scheinen Gang und Gäbe zu sein. Darum kann ich den Anbieter NbIServ nur ausdrücklich für klassisch unspektakuläre Serverdienste empfehlen.

Wenn es laufen soll, ist langweilig eben doch besser.

Technische Argumente gibt es im Artikel zum vierteljährlichen mit NbIServ.

]]>
http://falkhusemann.de/blog/2013/09/ein-jahr-mit-nbiserv-fuer-das-opennic-projekt/feed/ 0