Schlagwort: Sicherheit

Microsoft Outlook

TIL: Out­look (zumin­dest die Mac-Vari­an­te) zeigt Email-Adres­sen in den Adreß­fel­dern nicht an.
Also "Harry Potter" <lord.voldemort@example.com>" wird nur als “Har­ry Pot­ter” ange­zeigt — und auch wenn man ant­wor­tet, ant­wor­tet man an “Har­ry Pot­ter”. Jeden­falls im Default, kei­ne Ahnung, ob sich das ändern läßt.
Ich hal­te das für unver­ant­wort­lich. Arbeits­schutz ist wich­tig! Jede Band­sä­ge, jede Abrich­te ist so kon­stru­iert, daß sie das Bedien­per­so­nal mög­lichst gut vor Schä­den oder gar Tod durch Fehl­be­die­nung schützt — aber Mail­pro­gram­me, die Phis­her gera­de­zu ein­la­den, dür­fen ver­kauft wer­den?

Unver­ant­wort­lich!

0

Juchu! Wieder in den Fuß geschossen!

Habe mal sshd mit 2FA (Goog­le authen­ti­ca­tor) ver­knüp­pert, das geht nach die­ser Anlei­tung ein­fach und schnell. Hübsch fand ich den QR Code im Ter­mi­nal:

Kei­ne Sor­ge, ich habe abge­bro­chen und ein neu­es Geheim­nis erzeugt 🙂

Und in echt sieht das dann so aus:

Kurz auf der Uhr nach­se­hen:

Code ein­tip­pen, drin sein, freu­en.

Aller­dings: Da läuft ja noch ein git­lab!

Grr.

Also wie­der zurück­bau­en. git über https will ich nicht, das ist unan­stän­dig. Oder läßt sich da was mit Cli­ent-Zer­ti­fi­ka­ten machen?

0

Google macht DNSSEC

zumin­dest für die public name­ser­ver:

~$ dig +dnssec dns.google.

; <<>> DiG 9.14.6 <<>> +dnssec dns.google.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46663
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 14, ADDITIONAL: 17

(ad-Flag gesetzt)
Damit habe ich wirk­lich nicht gerech­net.

0

systemd-resolved

Ich habe bei Net­cup seit Jah­ren einen Root-Ser­ver (Ubun­tu 18.04), der ein­fach funk­tio­niert, und bei dem ich mir nie Gedan­ken über Namens­auf­lö­sung gemacht habe.

Weil die näm­lich auch funk­tio­niert.

Bis auf eben, da woll­te ich ein Open­VAS in einem Docker mit neu­en Signa­tu­ren beglü­cken.

Aller­dings:

root@9b12cf26b36e:/# greenbone-nvt-sync

rsync: getaddrinfo: feed.openvas.org 873: Temporary failure in name resolution
rsync error: error in socket IO (code 10) at clientserver.c(128) [Receiver=3.1.1]
root@9b12cf26b36e:/# openvasmd --rebuild --progress
Rebuilding NVT cache... done.
root@9b12cf26b36e:/# greenbone-certdata-sync
rsync: getaddrinfo: feed.openvas.org 873: Temporary failure in name resolution
rsync error: error in socket IO (code 10) at clientserver.c(128) [Receiver=3.1.1]
root@9b12cf26b36e:/# greenbone-scapdata-sync
rsync: getaddrinfo: feed.openvas.org 873: Temporary failure in name resolution
rsync error: error in socket IO (code 10) at clientserver.c(128) [Receiver=3.1.1]

Da sah ich dann doch mal nach, wel­che Name­ser­ver ich ver­wen­de, aber resolv.conf sag­te mir: Nada!

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
# 127.0.0.53 is the systemd-resolved stub resolver.
# run "systemd-resolve --status" to see details about the actual nameservers.

nameserver 127.0.0.53

Nun denn:

Global
         DNS Servers: 46.38.225.230
                      46.38.252.230
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Ich habe kei­ne Ahnung, woher die bei­den Name­ser­ver kom­men — ihr? Irgend­wo müs­sen die ja fest­ge­tackert sein?¹
Die DNS­SEC-NTAs sehen auch ziem­lich will­kür­lich aus — wo sind die denn defi­niert?

Wahr­schein­lich will man den gan­zen Quatsch sowie­so raus­wer­fen und einen klas­si­schen loka­len Resol­ver ver­wen­den.


¹ Ich sehe gera­de, daß ich DHCP ver­wen­de. Das erklärt es wohl.

0

EdgeOS, Stolperfalle

Ich hab’ im Kel­ler ja einen ER‑X, der mir außer­or­dent­lich gut gefällt (man hät­te ihm aller­dings mehr Sto­rage geben sol­len, 256 MB sind arg weni­g¹)
Auf dem ist port for­war­ding ein­ge­rich­tet für

ssh soll natür­lich von über­all funk­tio­nie­ren, Home Assi­stant aller­dings nur von einer bestimm­ten IP²
Doch egal was ich mache: Es funk­tio­niert von über­all. WTF?
Weil es außer­mensch­li­che Intel­li­genz gibt, und die in die­sem Fal­le hieß:

port-forward {
    auto-firewall enable
    hairpin-nat enable

Oder in bunt grau:

Das sieht man erst, wenn man “Show advan­ced opti­ons” ange­tickt hat 🙁
Jeden­falls: Sobald die “auto-fire­wall” akti­viert ist, kann man zwar in den Fire­wall-Regeln erlaub­te Source-Adres­sen kon­fi­gu­rie­ren, aber das wird nicht berück­sich­tigt. auto-fire­wall heißt: “source: any”.

Also habe ich den Quatsch aus­ge­schal­tet, die gewünsch­te Source-Adres­se bei den Fire­wall-Regeln ein­ge­tra­gen, und bämm!, nur noch die eine IP darf 🙂
Mer­ke: Bes­ser die con­fig lesen als der GUI ver­trau­en.


¹ eigent­lich  ist es genug, nur wird bei einem Update das alte Sys­tem behal­ten, so daß sich der ver­füg­ba­re Platz fak­tisch halbiert.Auch das reicht, solan­ge man nicht zusätz­li­che Soft­ware instal­liert hat. Ich habe zum Bei­spiel noch tcp­dump, screen und rsync nach­in­stal­liert.

² Ist ne län­ge­re Geschich­te, und die geht so: Wir haben iPho­nes. HA kann IOS push noti­fi­ca­ti­ons, das ist schon ziem­lich geil (ich nut­ze es zum Bei­spiel für den Staub­sauger). Nur braucht dann HA ein von Apple akzep­tier­tes Zer­ti­fi­kat, also kein selbst­si­gnier­tes. Da bie­tet sich mein LE-Wild­card an für *.sokoll.com — aber wie bekom­me ich das auf den Pi, auf dem HA läuft? Da es ein Wild­card ist, muß man ja zwin­gend die DNS-Chal­len­ge neh­men. Klar könn­te man wil­de Skrip­te klöp­peln — ich habe mich für eine ein­fa­che­re Vari­an­te ent­schie­den: Auf mei­nem Root-Ser­ver läuft ein Apa­che mit mod_proxy:

SSLEngine on
SSLCertificateFile /etc/dehydrated/certs/wildcard_sokoll.com/fullchain.pem
SSLCertificateKeyFile /etc/dehydrated/certs/wildcard_sokoll.com/privkey.pem
ProxyRequests off
ProxyPreserveHost On
ProxyPass /api/websocket wss://91.66.58.188/api/websocket
ProxyPassReverse /api/websocket wss://91.66.58.188/api/websocket
ProxyPass / https://91.66.58.188/
ProxyPassReverse / https://91.66.58.188/
SSLProxyEngine on
SSLProxyCheckPeerCN off
SSLProxyCheckPeerExpire off
SSLProxyCheckPeerName off

SSLProxyCheckPeerExpire off hät­te ich mir spa­ren kön­nen 🙂

~$ openssl s_client -showcerts -servername hass.sokoll.com -connect raspberrypi.local:443 < /dev/null 2>/dev/null | openssl x509 -noout -dates
notBefore=May 17 17:17:07 2019 GMT
notAfter=Apr 12 17:17:07 4757 GMT
~$

Im April des Jah­res 4757 ist viel­leicht der Raspi nicht tot, aber wahr­schein­lich ich.

Jeden­falls auf die­ses Wei­se habe ich kei­nen Streß mit Zer­ti­fi­ka­ten.

 

0

Ubuntu, docker

Habe gera­de neben­bei mit­be­kom­men, daß das mit Ubun­tu (in mei­nem Fal­le 18.04 LTS) mit­ge­lie­fer­te docker stein­alt ist,

deb [arch=amd64] https://download.docker.com/linux/ubuntu bionic stable

regelt das:

root@big:~# docker --version
Docker version 19.03.0, build aeac949
root@big:~#

Eine Stun­de alt 🙂

Was mich kir­re macht: Ich habe kein Pro­blem damit, daß Cano­ni­cal nicht jede vola­ti­le Soft­ware mit­lie­fert. Aber dann sol­len sie es bit­te ganz blei­ben las­sen und nicht schimm­li­ges Zeug per default aus­lie­fern!

0