Archiv der Kategorie: unbezahlte IT-Spielereien

Hardware durchtauschen

Ich habe mir kürzlich einen neuen Rechner besorgt – so ein Tuxedo Laptop. Macht durchaus Spaß, das dürfte so der schnellste* Rechner sein, den ich nutzte. Tuxedo ist zwar nur eine Marke von Schenker, die dann wiederum Barebones von Clevo verkaufen – aber ich mag den Linux-freundlichen Ansatz und das Entfallen der Microsoft-Steuer. Also alles in allem eine feine Angelegenheit.

Kam dann auch gerade rechtzeitig, mein 15+ Jahre alter FSC-Laptop mit dem Tor-Relay drauf starb letzte Woche eine gar schröcklichen Tod – jetzt übernimmt dein mein voriger Tuxedo-Laptop die Funktion vom Server (also DHCP-, DNS-, Media- und Tor-; eine BackupPC o.ä. soll auch noch drauf). Dabei ging dann leider auch mein Tor-Zertifikat flöten, damit wird der Relay seinen vierten Geburtstag doch nicht sehen sondern ich startete mit einer neuen Identität. Aber irgendwas ist ja immer.

*) also, mit GUI. Die von mir betreuten Server haben dann doch noch etwas mehr Rumms.

OpenSSL 1.0.2 vs OpenSSL 1.1.0

Sollte auch irgendwer (wie ich) OpenSSL 1.0.2 verwendet haben, um einfach und schnell Kleinigkeiten zu verschlüsseln (so was wie openssl aes-256-cbc -e -in geheimedatei -out geheimedateiauchwirklichgeheim) und dann, nach dem Update auf OpenSSL 1.1.0, schockiert merken, dass es sich plötzlich nicht mehr entschlüsseln lässt (etwa openssl aes-256-cbc -d -in geheimedateiauchwirklichgeheim mit dem Ergebnis „bad decrypt“ rund um „digital envelope routines“):

Der Default-Digest-Algorithmus wurde gedreht – statt MD5 jetzt SHA-256. Um mit 1.1 die alten Dateien entschlüsseln zu können ist noch „-md md5“ zu ergänzen.

Glück gehabt. Ich habe nicht alle meine Kennwörter verloren :)

Die Vergangenheit holt mich ein

Vor ein paar Jahren hat Dropbox Daten „verloren“, runde 68 Millionen Mailadressen und gehashte Passwörter.

Meine Daten waren mit drin.

Weiter nicht wild, ich nutze grundsätzlich Kennwörter nicht doppelt und konnte mich nach der Kennwortänderung weitestgehend beruhigt zurücklehnen.

Bis vor zwei Wochen oder so.

Da fing es an mit Spams auf die Dropbox-Konto-Adresse – sonst nirgendwo genutzt und von mir auch niemals weitergegeben.

Das nervte mich dann so, dass ich die Mailadresse zur Seite legte, Mails mit diesem Empfänger gehen jetzt direkt in den Spamordner. Glücklicherweise ist Dropbox einer der Anbieter, die es zulassen die Adresse zu ändern – sonst hätte ich das ganze Konto dort still legen müssen…

Twenty Two

Gestern habe ich dann mal meinen Server auf das aktuelle Fedora-Release hochgezogen – ich scheute etwas zurück, weil der doch etwas kaputt gespielt ist mir all den doch recht individuellen Einstellungen.

Klappte aber eigentlich super: Trotz BackupPC-Pool auf einem anderen Mount-Punkt haben alle SELinux-Policies sauber gegriffen und den Backupservice nicht zerstört und ich musste nur an zwei Stellen nachpfrickeln. Aus irgendwelchen Gründen war der DHCP-Daemon nach dem Upgrade deaktiviert und beim Tor-Paket wurden wieder die Verzeichnisrechte in /var/lib/ und /var/log/ falsch gesetzt.

Fedora 23 kann kommen, ich bin mal wieder auf dem Laufenden :)

Twenty Two

Die Fedora-Codenamen sind seit neuerem eher langweilig (Twenty One war der Vorgänger), warum es so eine Kursänderung nach dem (mir nicht begreiflichen) Stunk über die vorigen Community-gewählten Namen gab verstehe ich nicht. Ansonsten gefällt es – der Upgradeprozess mit fedup läuft sehr stabil und im LXDE-Spin funktioniert die Suche im Dateimanager wieder sowie das Abmelden (zweiteres verursacht durch systemd, ersteres habe ich im Red-Hat-Bugtracker nie gefunden).

Jetzt noch die restlichen beiden Rechner aktualisieren und ich bin wieder auf dem Laufenden.

Irgendwer leidet :)

Tor ist durch das Zwiebelschalen-Modell sowieso nicht performant. Und jetzt hat sich noch ein(?) Client darauf eingeschossen, meinen Knoten in den Circuit aufzunehmen – nun, viel Performance kriegt er da nicht, knapp 40 kByte pro Sekunde Upload dürften quälend sein :)

Traffic

in eigener Sache

Irgendwie ist Akismet gerade kaputt – auf jeden Fall rutschen gerade ständig Spamkommentare durch, üblich ist einer alle paar Wochen. Daher ist gerade die Kommentarfunktion aus, wer was beitragen möchte kann mir ja eine eMail schreiben.

Der blöde Server ist auch noch langsamer als sonst, ob ich geDOSt werde habe ich weiter noch nicht nachgeschaut – so wirklich wichtig ist mir das Blog nicht. Mal schauen, vielleicht lese ich heute Abend ja zur Abwechslung mal eigene Apache-Logs :)

Fedora 19->20

Gestern habe ich meine Rechner aktualisiert, und weil ich mir Downtime sparen wollte* nutze ich nicht FedUp, welches im großen und ganzen ein Offline-Upgrade ist: Es werden alle notwendigen Pakete geladen und anschließend aus einem Minimalsystem heraus installiert.

Stattdessen verwendete ich yum, dabei wird der ganz normale Paketmanager verwendet und zieht das System im laufenden Betrieb hoch – anschließend ein schneller Reboot und alles ist gut. Im Debian-Umfeld ist dies mit „apt-get dist-upgrade“ auch der reguläre Weg, bei RedHat und Abkömmlingen gilt dies aber als nicht empfohlen.

Eigentlich lief alles super: Keine kaputten Dependencies, der neue Kernel wurde sauber gezogen, so weit sah alles gut aus. Wäre da nicht SELinux gewesen – das Filesystem wird wohl beim Upgradepfad über yum nicht sauber neu gelabelt (z.B. #1052317 oder #1004786), wodurch ssh spackelte und auch die Backup-Software** nicht wollte – und viel weiter habe ich dann nicht gesucht; auf wochenlang AVCs nachziehen hatte ich wirklich keine Lust.

Es lief dann auf touch /.autorelabel ; reboot hinaus, was bei meinem Server (im weitesten Sinne…) über 4 Stunden brauchte, dann war es halb eins und ich bin ins Bett gegangen.

Kurz: Ich bin fed up von Upgrades mit yum, beim nächsten Mal nutze ich wieder FedUp ;)

Schneller wäre es natürlich mit dem Abschalten von SELinux gegangen – aber ausgerechnet jetzt die Sicherheit meiner Systeme runterschrauben***?

*) Ich mag den Flag „stable“ meines Tor-Knotens :)
**) BackupPC, das ist so ein dermaßen großartiges Produkt
***) SELinux ist zwar ursprünglich von der NSA entwickelt worden – aber ich traue der Software implizit, da der Aufnahmeprozess in den Linux-Kernel von sehr vielen sehr guten Programmierern unterschiedlichster Nationalität begleitet wird

Beeindruckend

Laut diesem Dokument (lokale Kopie (CC BY-ND)) läuft auf DSL-Routern der British Telecom eine Abhörschnittstelle mit – und zwar in einer deutlich aufwendigeren Form als das simple „Provider kennt das Konfigurationskennwort“.

Prinzipiell hat sich der Firmware-Bauer beeindruckend viel Arbeit gemacht: Beim Booten fährt ein logische Interface auf VLAN 301 hoch, das über DHCP eine weitere öffentliche IP-Adresse erhält. Auf dieser Adresse lauschen dann Telnet und SSH, zusätzlich kann wohl Traffic aus- bzw umgeleitet werden, zu einem System, das die Autoren des Papers dem NSA oder GCHQ zuordnen.

Überprüfen kann ich es nicht, aber die Daten aus dem PDF klingen plausibel – kennt wer einen BT-Kunden, der seinen Router mal aufschrauben kann?

edit to add Kommt wohl ursprünglich von Cryptome, den Link habe ich getauscht. Dort gibt es auch bereits minimal Kommentierung.

2ter Nachtrag fefe hält’s für bullshit, wobei mich das Argument „dünnste Stelle“ nicht gänzlich überzeugt: Ein Zugriff ins LAN kann für Geheimdienste interessanter sein als hohe Bandbreiten