Korrekt-Pferd-Batterie-Stapel

Saturday, July 18. 2015

 In Correct Horse Battery Staple macht xkcd den Punkt, dass wir in 20 Jahren Training allen beigebracht haben, Passwörter zu benutzen, die Menschen sich schwer merken können, Computer aber leicht knacken.

Und macht einen konkreten Gegenvorschlag: 4 Wörter aus dem Lexikon, zufällig ausgewählt. 
Fein, fehlt nur noch ein passender Generator. Google findet mir, von John Van Der Loo programmiert und unter MIT-Lizenz veröffentlicht, correcthorsebatterystaple.net/

Sehr fein, und jetzt noch auf Deutsch? Korrekt-Pferd-Batterie-Stapel

 

Alles deutsche Wörter, aber auch sehr ausgefallene. Und mit maximal 7 Zeichen Länge, um das furchtbare Verwaltungsdeutsch und PolitikSprech auszublenden, das die gängigen Wortlisten dominiert.


gratis SSL - Zertifikate

Tuesday, July 14. 2015

startssl /startcom machen das, für die domain und 1 host, also dreckhaen.de und www.dreckhaen.de
die eff und mozilla brüten einen neuen Service aus und dort nachlesend fand ich den Hinweis auf wosign.com als Quelle kostenloser SSL-Zertificate.

Ok, shishikan. (Mal ausprobieren: es ist ein chinesischer Anbieter).

Die Beschränkungen des Angebots sehen soweit recht verlockend aus, bitte je domain eine neue Zeile im Formular (hosts kommasepariert folgend), max 100 Domains. Laufzeit 1-3 Jahre nach Wunsch. Sha1/Sha2 zur Wahl, bequem und unsicher den Key generieren lassen oder eigenes Certificate Request mit Key einpasten, Domain-Validierung per HTML oder per Mail mit Token. Die Mail-Option ist nichts für Leute mit schwachem Herzen, was dann kommt isterstmal eine freundliche verständliche Textnachricht, knallt aber dennoch im Spamassassin 6.95 Punkte (was bei mir Quarantäne bedeutet). Whitelisting empfohlen, from=<autovalidation@wosign.com>.

Die Webseite macht etwas Stress mit einem Counter, der sekündlich von 60 runterzählt. Wenn man aber, wie ich, erstmal 10 min die Mail im Quarantäneordner suchen und entzippen muss, wird doch alles fein akzeptiert.

Eine Verwirrug bei dem Formular ist, ob man nun die Domain selbst immer vorne angeben muss oder ob es reicht, die Hosts einzutragen. In der ersten Zeile kann man sich die Domain sparen, in allen weiteren muss Sie mit dabei stehen.
Also:
www.beispiel.de, mail.beispiel.de
beispiel.at, www.beispiel.at, mail.beispiel.at
beispiel.ch, www.beispiel.ch,mail.beispiel.ch
macht ein Zertifikat, das für beispiel.de,beispiel.at und beispiel.ch mit je www. und mail. gültig ist.

Beispiel.de is i diesem Fall die Hauptdomain, alles adere steht in X509v3 Subject Alternative Name

Soweit so gut, nach einer Stunde kommt eine Mail mit einem Link, sich das Zertifikat (liebevoll in Versionen für Apache, Nginx,IIS und andere sortiert) als ZIP herunterzuladen. 
Diese Mail kommt From: "WoSign CMSmaster" <cmsmaster@wosign.com> und 

 

X-Priority: 1
Priority: urgent
Importance: high
Date: 14 Jul 2015 08:04:45 +0800
Subject: =?utf-8?B?WW91ciBXb1NpZ24gU1NMIENlcnRpZmljYXRlICByZWFkeSBmb3IgY29sbGVjdGlvbiEgIDIwMTUtMDctMTQgMDg6MDQoR01UKzA4OjAwKQ==?=
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: base64

Base64 liest sich nicht mehr so leicht von der Kommandozeile, entweder vorher whitelisten oder rumtricksen. 
 
 
Die Zertifikate werden in Chrome und ff kommetarlos akzeptiert und lesen sich in den Details wie erwartet. der MSIE 8 auf dem Dienstrechner hatte noch eine Überraschung, der behauptet, dass Startcom seinerseits Zertifikatsgeber für die Wosign CA sei. Ich kann das hier nicht weiter qualifizieren, in der Hauptsache bleibt: die Zertifikate funktionieren wie erhofft.
 
Und wenn man einen Fehler gemacht hat und etwa eine subdomain fehlt: macht nix, einfach nochmal neu. Zumindest, wenn die resultierende "Hauptdomain" eine andere ist, stellt der Automat ungerührt ein neues Zertifikat aus. 
 
 
 


 

TOR Exit-Node. Eine Zeitleiste.

Tuesday, January 6. 2015

Es gibt da den Satz, einen TOR-Exitnode zu betreiben gehöre zu den letzten verbliebenen Abenteuern in Deutschland. Als ich den las, steckte ich schon mittendrin in meinem. Eine Zeitleiste:

 
2010 im Sommer ca. einen Monat lang einen TOR-Knoten als Exitnode betrieben. Laut Ermittlungsakte hat irgendwer in der Zeit eine kp-Datei von dort auf einen anderen Server des Nürnberger Rechenzentrums hochgeladen.
 
2010 Anfang Dezember morgens um 6h 3 LKA-Beamte in Ritterrüstung und Abtransport fast(*) aller Datenträger und Rechner (inklusive 5 1/4" und 3,5" und ZIP-Disketten, uralt-Kamera-Speicherkarten, mp3-Player).
* headless laufende Server in unkonventionellen Gehäusen werden nicht unbedingt als Computer erkannt.
 
2011 Für 60€ bei 30GB kopiert mir das LKA als Dienstleistung (Werkvertrag) ein bestimmtes Verzeichnis auf eine externe HD, das geht nach rd. zwei Monaten über die Bühne. Läuft natürlich nur mit unverschlüsselten Daten und man muss exakt sagen können, wo/wie benannt die Daten liegen. USB-Sticks und iPod bekomme ich gleich mit zurück. Der Kommissar erklärt am Rande mit gewissem Stolz, dass er gar keine Ahnung von Computern und Netzwerken hat, also TOR und so...
 
2011 im Juli ist mein Kommissar mit den Hunderten von Backup-DVDs und Master-CDs fertig und ich darf zwei Ikea-Taschen an Datenträgern abholen. 
 
2013 ein Vierteljahr nach Verstreichen eines avisierten Abschlusstermins berichtet der Kommissar von katastrophal vielen Neuzugängen, er knetet die Hände, ihm ist das peinlich. Eigentlich ist er ein netter Kerl, aber halt Beamter.
 
2014 Anfang März bekomme ich die Hardware bis auf 2 HD, auf denen angeblich Kopien einer beanstandeten Datei seien, zurück. Weder Dateiname noch Abbild der monierten Datei werden genannt. Kann man glauben oder es für das absolute Minimum von Gesicht-wahren nach rd. 40 Monaten Prüfung halten. 
 
Vor der Übergabe klagt mein Kommissar, da seien ja mehrere Partitionen und ganze Festplatten verschlüsselt, ob ich nicht die Schlüssel angeben wolle. Nun ja, Nein. Da haben Sie jetzt die richtige Antwort gegeben, findet der Kommissar, denn der Staatsanwalt habe entschieden, dass mir die Platten auch in diesem Falle zurückzugeben seien.
 
Die Hardware war erstaunlich wohl behalten, auch der Mac mini ohne Kratzspuren geöffnet. Nur alles mit ekligen Aufklebern bepappt. Aber nach dreieinhalb Jahren kann man die Sachen ohnehin kaum noch gebrauchen.
 
Kurz vor dem 4. Jahrestag wird das Verfahren schliesslich wegen Geringfügigkeit und gegen die Dreingabe der beiden Festplatten eingestellt. Ein Verhör, inhaltliche Anhörung zum Thema TOR etc. gab es in den 47 Monaten nicht.
 
Zu den Kollateralschäden zählt meine vorige freiberufliche Existenz und ein kostspieliger Streit mit dem Finanzamt. Auf der Habenseite bleibt neben einem Lehrstück zu Inkompetenz und Überforderung, zum Stand der Achtung der Grundrechte und dem Wert des Richtervorbealtes die Erkenntnis, dass LUKS und truecrypt bislang offenbar polizeisicher sind. Dass extern gelagertes Backup wirklich nützlich sein kann. Und dass man zwar viel Nerven und Geduld braucht, sich aber nicht einschüchtern lassen muss.
 
 
 
 

ipv6 bei hetzner

Tuesday, December 30. 2014

 schon schräg. IPv6 humpelt immer noch.

Neuen root server bei hetzner bestellt (EX40 im RZ 21), Debian-77-wheezy-64-minimal drauf. Erste Aktion die neuen IPs auf dns.he.net eingetragen, host erkennt sie sofort, also als naechstes ein ssh auf den neuen Vogel. Dauert, und dauert, und .. Ok, ssh -4 neuerVogel.domain.tld: zap ist er da.

Gleich ein ping6 heise.de und 

PING heise.de(redirector.heise.de) 56 data bytes
From Debian-77-wheezy-64-minimal icmp_seq=1 Destination unreachable: Address unreachable
From Debian-77-wheezy-64-minimal icmp_seq=2 Destination unreachable: Address unreachable
From Debian-77-wheezy-64-minimal icmp_seq=3 Destination unreachable: Address unreachable
^C
--- heise.de ping statistics ---
6 packets transmitted, 0 received, +3 errors, 100% packet loss, time 5030ms
 
Na fein, Tante Google findet mir serverfault.com/questions/477471/ipv6-only-works-after-pinging-the-default-gateway mit einer Problembeschreibung, die ich voll nachvollziehen kann. Nur die dort beschriebene Lösung bleibt hier wirkungslos.
Zahllose google/test/reboot - Zyklen später bleibt als Ergebnis meiner Recherche:
- verblüffend wenige Fundstellen. IPv6 scheint wirklich kaum jemanden zu interessieren.
- der einzige auf meinem Rechner funktionierende Weg ist, den im obigen Link beschriebenen Workaround
  ping6 -I eth0 -c3  fe80::1
mit etwas sleep davor und danach in /etc/rc.local zu packen. slep 1 war zu wenig, sleep 10 tuts scheinbar.
 
Das ist doch kaum zu glauben, dass das Hetzner/debian - Image IPv6 nicht auf Anhieb klaglos hinbekommt sondern ich eine solche Krücke einsetzen muss! 
Vor gefühlt 10+ Jahren habe ich mir IPv6-Tunnel von sixxs und später he.net auf Hetzner-Server gelegt und die waren schneller benutzbar konfiguriert als das 'native' heute ...
 
 

ssh mit chroot für ausgewählte Benutzer

Saturday, December 27. 2014

 Es gibt da eine aufmunternd kurze und im ersten test auch prompt funktionierende Anleitung, wie man für bestimmte user den ssh - Zugang in einen chroot jail lenken kann.

allanfeid.com/content/creating-chroot-jail-ssh-access

Einen Mangel sehe ich derzeit:

cd ~
#: cd: /var/jail/home/test-ssh: No such file or directory
 
Lösung: Das Problem war hier, dass für den user test_ssh als home-verzeichnis eben der absolute Pfad eingetragen war. auf /home/tet_ssh verkürzt klappt es wie erwartet.
 
Dass nächste Problem war, dass nach dem Kopieren von .bashrc und .bash_profile der Prompt  PS1="[\u@\h:\l \W]\\$ "  zu dieser Ausgabe führte:
[I have no name!@server:tty ~]$
Den Grund, weshalb \u nicht aufgelöst wird, habe ich nicht gefunden, aber den Workaround, stattdessen $USER einzutragen.
 
mc liess sich aufrufen, fand aber seine default - Skin nicht und verstand die Pfeiltasten der Tastur nicht. Ich musste im jail /usr/hare/mc und /usr/share/terminfo ergänzen. 
 
Damit auch scp gelingt, musste ausser /usr/bin/scp und den libs, die l2chroot kopiert, noch /lib64/libnss_files.so.2 kopiert werden, und ein symlink von /bin/bash auf /bin/sh war auch nötig. 
 
Ich habe anschliessend www.little-idiot.de/ChrootEntkommen.pdf nachzuvollziehen versucht, aber weder mit direktem scp noch verpackt in ein tar ist es mir gelungen, eine Datei mit root als owner in den jail zu kopieren. 
 
 
 
« previous page   (Page 4 of 35, totaling 175 entries) » next page