Roomba: geplante Software-Obsoleszenz?

Im Log mei­nes Home Assi­stant taucht sowas auf, end­los:

2019-12-24 07:17:58 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:02 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:08 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:11 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:13 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)
2019-12-24 07:18:16 ERROR (Thread-2) [roomba.roomba] Error: [SSL: DH_KEY_TOO_SMALL] dh key too small (_ssl.c:1056)

Ein tcp­dump zeig­te, daß Home Assi­stant und der Staub­sauger mit­ein­an­der mqtts spre­chen — also immer­hin SSL ver­wen­den, schein­bar mit einem kur­zen (1024 Bits? Sieht man das im TLS-Hand­shake?) DH-Key. Fin­de ich jetzt nicht dra­ma­tisch, wenn die Gat­tin den Traf­fic zwi­schen dem Raspi und dem Staub­sauger knackt…
Nur: was mache ich nach dem 21. Dezem­ber 2028?

~$ openssl s_client -connect 192.168.1.93:8883 </dev/null 2>/dev/null | openssl x509 -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 3596268874817615816 (0x31e8837ce04c37c8)
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = MA, L = Bedford, O = iRobot, OU = HBU, CN = Roomba CA
        Validity
            Not Before: Dec 21 05:42:19 2018 GMT
            Not After : Dec 21 05:42:19 2028 GMT
        Subject: C = US, O = iRobot, L = Bedford, ST = MA, CN = Roomba-69B8860C70539630
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                RSA Public-Key: (2048 bit)

😉

0

Was LaTeX/Metafont mit den Nazis zu tun hat.

Vor Jah­ren (Jahr­zehn­ten?) such­te ich für LaTeX eine Frak­tur­schrift (als Initia­le) und hat­te kei­ne Ahnung. Bei den Recher­chen — das war sicher prä-Goog­le — stieß ich auf die­ses PDF. Ich hat­te eigent­lich nach Instal­la­ti­ons- und Benut­zungs­an­wei­sun­gen gesucht — und bekam eine ein­präg­sa­me Geschich­te der deut­schen Frak­tur. Von einem Grie­chen aus Frank­reich. Der sowas unsterb­li­ches schreibt:

Thanks to D. E. Knuth’s work, typeset­ting beco­mes an inter­pre­ta­ti­ve art wit­hin the reach of ever­yo­ne. You can belie­ve me, it is the same plea­su­re to read (esp. typeset) Goethe’s poems in Breitkopf’s Frak­tur as to hear (esp. play) Mozart’s Sona­tas on a Stein’s Pia­no­for­te.

Und ich hat­te doch nur nach einem README gesucht…

Jeden­falls lern­te ich in die­sem Text. daß Frak­tur anfäng­lich von den Nazis als “alt­deut­sche Schrift” ver­wen­det wur­de, aber schon 1941 wie­der abge­schafft wur­de.

Also falls ihr mal einem stol­zen Toit­schen mit Fak­tur auf dem T‑Shirt begeg­net, drückt ihm ein­fach “Typeset­ting Old Ger­man: Frak­tur, Schwa­ba­cher, Gotisch and Initi­als” von Yan­nis Har­al­am­bous in die Hand…

0

DMARC beim BSI

hm, der Über­tö­ter Emo­tet ist ja wie­der angeb­lich ganz fürch­ter­lich unter­wegs, angeb­lich mit Absen­dern aus $BUNDESBEHÖRDE.

Was macht denn das BSI gegen Fäl­schun­gen?

SPF kön­nen sie:

~$ host -t txt bsi.bund.de.
bsi.bund.de descriptive text "v=spf1 mx ip4:77.87.228.72/29 ip4:77.87.224.104/29 ip4:217.6.125.154 ip4:194.95.66.8 ip4:77.87.229.56 ip4:93.190.68.25 -all"
~$

DMARC?

~$ host -t txt _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has no TXT record
~$

Äh… Man beach­te: “no TXT record” und nicht etwa NXDOMAIN

~$ host -t any _dmarc.bsi.bund.de.
_dmarc.bsi.bund.de has RRSIG record MX 8 3 900 20191230103401 20191220103401 51858 bund.de. kuoQ+exINaIT5x11aNmdnl+XTXsVSmZ6jzugcM3w89zOP0gjLvnPakPT 8ITeezOESdMuGpXHeCPMZaTLeHgGT5on2e4+1cu6fxV1+qyjurmBw9bx ilRBHSN2wwGytUkGwQ4uJDEfCt3tvPweCx08yBZ6Jk1Faf0EaL0Lm4EA 13E=
_dmarc.bsi.bund.de mail is handled by 10 mx1.bund.de.
_dmarc.bsi.bund.de mail is handled by 10 mx2.bund.de.
~$

Ob man any-Anfra­gen wirk­lich beant­wor­ten möch­te? So im Alter von DNS-reflec­tions? Aber war­um zum Gei­er hat man MX-RRs für _dmarc? Aber eben kei­nen TXT-RR?

Das DNSSEC machts wohl auch nicht bes­ser…

0

Die Justizministerin (SPD)

möch­te bewei­sen, daß sie eine gute Par­tei­bon­zin ist, also sprich: kei­ne Ahnung hat, davon aber jede Men­ge.
Wor­um gehts? Whats­App, Gmail & Co. sol­len Pass­wör­ter her­aus­ge­ben müs­sen Ja, ver­fickt noch mal: Die haben die Paß­wör­ter gar nicht! Hört sich komisch an (für Frau Lam­brecht jeden­falls), ist aber so.

Dabei könn­te man es bewen­den las­sen: Die Frau ist halt dumm und/oder bera­tungs­re­sis­tent. Also dumm.

Soll man es dabei bewen­den las­sen? Ich glau­be nicht. Denn: Nie­mand braucht die SPD! Und da sind sol­che dumm­fre­chen Appa­rat­schiks über­flüs­sig.
Wählt die ab!

Von Din­gen wie 2FA, FIDO2… wol­len wir nicht reden, das wer­den die SPD-Fach­kräf­te erst 50 Jah­re nach ihrem Able­ben mög­li­cher­wei­se im Ansatz ver­stan­den haben.

0

Updaten reicht nicht,

man muß auch die Release Notes lesen…
Ich hab’ mal ein nmap --script ssl-enum-ciphers -p 993 mailserver gegen mein dovecot ren­nen las­sen, und, oh: da wird auch TLS1.0 ange­bo­ten!

Wie­so das denn? in 10-ssl.conf steht ein­deu­tig:

ssl_protocols = !SSLv2 !SSLv3 !TLSv1

Ja, und im error-Log des dovecot steht:

config: Error: Could not find a minimum ssl_min_protocol setting from ssl_protocols = !SSLv2 !SSLv3 !TLSv1: Unrecognized protocol 'SSLv2'

Irgend­wann wur­de ssl_protocols durch ssl_min_protocol ersetzt.

Mit

ssl_min_protocol = TLSv1.2

tut es dann auch rich­tig.

Und was mich beson­ders anfrißt: Open­VAS hat an TLS1.0 nichts aus­zu­set­zen gehabt 🙁

0

Ach Mensch Google 😡

In Kodi geht mein You­tube-Account nicht mehr. War­um auch immer.

App im Goog­le-Account (https://myaccount.google.com/permissions) gelöscht und neu ange­legt via google.com/device. Es braucht zwei Durch­läu­fe, der ers­te funk­tio­niert, der zwei­te wird quit­tiert damit:

Und zwar sowohl auf dem Raspi als auch auf dem Mac.

Der Account ist zwar da:

Aber man kann ihn nicht benut­zen, da die Anmel­dung in Kodi eben nicht durch­läuft.

Natür­lich gibt es kei­ner­lei Unter­stüt­zung durch Goog­le. Sieht aus wie ein API Chan­ge? Kodi aktiv raus­ge­wor­fen?

0

Ja dürfen die das?

aus /var/log/auth.log:

Dec 7 21:25:35 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:25:40 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:26:00 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:26:02 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:26:24 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:26:46 big wordpress(rainer.sokoll.com)[4778]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:27:18 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for rainer from 85.204.246.240
Dec 7 21:27:58 big wordpress(rainer.sokoll.com)[4373]: XML-RPC authentication failure for moritz from 85.204.246.240
Dec 7 21:28:19 big wordpress(rainer.sokoll.com)[3981]: XML-RPC authentication failure for rainer from 85.204.246.240

Das ist natür­lich ziem­lich gemein. Nun ja:

root@big:/etc/fail2ban# tail -8 jail.local
[wordpress]
enabled = true
port = http,https
logpath = /var/log/auth.log
bantime = 600
findtime = 60
maxretry = 1
filter = wordpress

in Ver­bin­dung mit

root@big:/etc/fail2ban# cat filter.d/wordpress.conf
[Definition]

failregex = ^.*wordpress.*authentication failure for.* from <HOST>$
root@big:/etc/fail2ban#

regelt:

root@big:/etc/fail2ban# grep wordpress /var/log/fail2ban.log
2019-12-07 21:28:24,934 fail2ban.jail [23280]: INFO Creating new jail 'wordpress'
2019-12-07 21:28:24,936 fail2ban.jail [23280]: INFO Jail 'wordpress' uses poller {}
2019-12-07 21:28:24,965 fail2ban.jail [23280]: INFO Jail 'wordpress' started
2019-12-07 21:28:24,982 fail2ban.filter [23280]: INFO [wordpress] Found 85.204.246.240 - 2019-12-07 21:27:58
2019-12-07 21:28:24,983 fail2ban.filter [23280]: INFO [wordpress] Found 85.204.246.240 - 2019-12-07 21:28:19
2019-12-07 21:28:25,166 fail2ban.actions [23280]: NOTICE [wordpress] Ban 85.204.246.240
2019-12-07 21:38:19,996 fail2ban.actions [23280]: NOTICE [wordpress] Unban 85.204.246.240
root@big:/etc/fail2ban#

🙂

0