Das längste Thema

  • sollte man nicht grundsätzlich DNSSEC Signaturen - wenn vorhanden - validieren,

    ist ja sonst wie das Übergehen der Browser-Meldung: "Seite ist nicht sicher"

    (wer da jetzt DNS-over-TLS od. DNS-over-HTTPS als Lsg. vorschlägt hat was übersehen)

  • Ich denke jetzt aber, das kann ich in den Griff bekommen, indem ich ModSec erstmal längere Zeit auf "Detection only" laufen lasse und mir die Logfiles ein wenig übersichtlich aufbereite.

    Hab mir mal ein kleines Progrämmli dafür gestrickt:

    ./pamsel /var/log/apache2/error.log simt | sort | uniq -c | sort -nr

    64 WARNING,920350,"Host header is a numeric IP address",OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST,-

    4 WARNING,920280,"Request Missing a Host Header",OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_HOST,-

    1 WARNING,920100,"Invalid HTTP Request Line",OWASP_CRS/PROTOCOL_VIOLATION/INVALID_REQ,-

    1 CRITICAL,942100,"SQL Injection Attack Detected via libinjection",OWASP_CRS/WEB_ATTACK/SQL_INJECTION,-

    1 CRITICAL,933150,"PHP Injection Attack: High-Risk PHP Function Name Found",OWASP_CRS/WEB_ATTACK/PHP_INJECTION,-

    1 CRITICAL,933100,"PHP Injection Attack: PHP Open Tag Found",OWASP_CRS/WEB_ATTACK/PHP_INJECTION,-

    1 CRITICAL,932105,"Remote Command Execution: Unix Command Injection",OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION,-

    ...


    Dabei ist mir wieder klargeworden, dass ich den ganzen IT-Krempel nur deshalb mache, weil ich dabei rumcoden darf. ^^

  • tab Unterstützen beide Resolver DNSSEC oder gibt es da Unterschiede?


    Würde mich nicht wundern, wenn es nur deshalb über den anderen Resolver klappt. ;)

    Weiss ich jetzt ehrlich gesagt nicht, müsste ich nachprüfen. Es ist aber jedenfalls so, dass die öffentlichen Google Resolver das bis gestern Nachmittag noch problemlos aufgelöst haben und der andere auch. Weder die Domain noch die Resolver sind unter meiner Kontrolle, hat aber seither immer funktioniert, bis eben auf den mehr oder minder regelmäßigen Ausfall der DNS-Servers des Internet-Providers. Sieht für mich auf den ersten Blick so aus, als ob weder wavecdn.net noch die Subdomain DNSSEC nutzen.

  • Ich habe derzeit Probleme, die ausgegebenen sha256-Prüfsummen unten einzuordnen (und mittlerweile leichte Kopfschmerzen, was nicht hilfreich ist).

    Hintergrund: Die Metadaten/Label der Abbilder sollen unter anderem org.opencontainers.image.base.digest erhalten; diese Prüsumme ist in den beiden Abschnitten hier und hier erläutert.

    Wenn man nur lange genug darüber brütet, fällt der Groschen. Die ausgegebenen Prüfsummen im Log sind abhängig vom ver­wen­de­ten Aus­ga­be­for­mat der Schich­ten (im Ma­ni­fest fin­den sich Angaben mit/ohne Kompression), und zu org.opencontainers.image.base.digest findet sich hier die zielführende Anmerkung.

  • Kann es sein, dass in Powershell sowas wie hier in C

    nicht möglich ist;

    Bash
    $nResult = switch( $nVal ) {
      3, 7 { 17; break }                         # <--- hier kracht es ... bzw. wie sieht die syntax wirklich aus?
      57 { 44; break }
      default { 0; break }
    }
  • Hat jemand einen Tip wie ich den Password Reset von Maschinen im SCP unterbinden kann? Außer die Platte mit Luks zu verschlüsseln.

    Du kannst entweder den qemu-guest-agent deinstallieren, der u.a. dafür verwendet wird,

    oder nur den Password Reset verbieten:

    Code
    qemu-ga --blacklist=guest-set-user-password


    Weitere Optionen wie "guest-exec", ... kann man so auch verbieten. Siehe https://www.systutorials.com/docs/linux/man/8-qemu-ga/


    P.S.: Das verschlüsseln der Platte bringt in dem Fall nichts, da das SCP nicht direkt auf die Platte schreibt, sondern mit dem qemu-guest-agent kommuniziert.

  • mal was anderes, es ist ja eh schon x 1000 Jahre bekannt,

    dass IPv4-Adressen knapp sind/werden;


    wenn man zu einer IP-Adresse im WHOIS nachsieht, sieht man wie sie aktuell zugeordnet ist;

    wo würde man denn nachsehen können wie sie in der Vergangenheit zugeordnet war?

  • Danke. Den Parameter hab ich gesucht, der kommt mit in die bereits existierende Liste:


    Code
    ExecStart=-/usr/sbin/qemu-ga --blacklist==guest-file-open,guest-file-close,guest-file-read,guest-file-write,guest-file-seek,guest-file-flush,guest-exec,guest-exec-status


    xattr write lock auf die shadow?

    Das war zu naheliegend, Danke für den Tipp ;)

  • Danke. Den Parameter hab ich gesucht, der kommt mit in die bereits existierende Liste:

    Code
    ExecStart=-/usr/sbin/qemu-ga --blacklist==guest-file-open,guest-file-close,guest-file-read,guest-file-write,guest-file-seek,guest-file-flush,guest-exec,guest-exec-status

    SSH-Keys kommen nicht zum Einsatz? :S (Und Nutzer- und Betriebssysteminformationen teile ich auch nicht gern…)

    Code
    ExecStart=-/usr/sbin/qemu-ga --blacklist=guest-exec,guest-exec-status,guest-set-user-password,guest-file-close,guest-file-flush,guest-file-open,guest-file-read,guest-file-seek,guest-file-write,guest-get-users,guest-get-osinfo,guest-ssh-get-authorized-keys,guest-ssh-add-authorized-keys,guest-ssh-remove-authorized-keys
  • SSH-Keys kommen nicht zum Einsatz? :S (Und Nutzer- und Betriebssysteminformationen teile ich auch nicht gern…)

    Code
    ExecStart=-/usr/sbin/qemu-ga --blacklist=guest-exec,guest-exec-status,guest-set-user-password,guest-file-close,guest-file-flush,guest-file-open,guest-file-read,guest-file-seek,guest-file-write,guest-get-users,guest-get-osinfo,guest-ssh-get-authorized-keys,guest-ssh-add-authorized-keys,guest-ssh-remove-authorized-keys

    Immer diese neumodischen Erfindungen... *ironie* ;)

    Das jag ich direkt mal als nächsten Change mit durch die CI, Danke.


    EDIT: Der CI gefällts. Falls jemand was Ansible Code haben möchte, der wurde mit Debian 10/11, Ubuntu 18.04/20.04 getestet. Ubuntu 18.04 verwendet allerdings das Init.d Skript für Qemu, dort erfolgt keine Anpassung:


  • wenn man zu einer IP-Adresse im WHOIS nachsieht, sieht man wie sie aktuell zugeordnet ist;

    wo würde man denn nachsehen können wie sie in der Vergangenheit zugeordnet war?

    Kostenlos bzw. öffentlich afaik gar nicht. Aber das Routing History Tool bei der RIPE ist immer ganz praktisch, um ein paar Rückschlüsse ziehen zu können: https://stat.ripe.net/widget/routing-history


    Edit:Bei Shodan bekommt man auch ein paar historische Details. Vollständiges Whois ist es aber auch nicht.

  • Für alle die Composer für ihre Projekte nutzen, mag das hier recht interessant sein:

    https://github.com/composer/composer/discussions/10276

    Es sieht so aus, als ob Composer nach der ersten großen Verbesserung mit Composer 2.0 in Version 2.2 für viele typische Anwendungsfälle mit vielen Abhängigkeiten nochmals deutlich schneller und schlanker werden wird. Unter der verlinkten Diskussion findet man eine Anleitung zum Test der neuesten Version, womit man auch die Entwicklung und die Suche nach eventuellen Bugs unterstützen kann.

  • Aber wie so oft in der IT: Was die Zukunft bringt, ist schwer vorherzusehen…

    ja hat wer eine Glaskugel, und kann eine Empfehlung f. folgendes geben::)


    es soll eine VM (bei mir zu Hause lokal) installiert werden, welche folgende Bedingungen erfüllen soll:

    - ein schlankes OS: max. 8 GByte virtuelle Platte, davon mind. 3-4 GByte frei (damit scheidet Windows sehr wahrscheinlich aus)

    - ein regelmäßig aktualisiertes Paket f. den Browser: bevorzugt Mozilla Firefox

    - ein Zugriff mittels CIFS/SMB von WIndows aus

    - es muss f. mind. 72 Monate beständig sein (bezieht sich hier auf die Pflege des Paketes f. den Browser)


    der Hintergrund: es soll meine bisher verwendete VM, mit der ich mein Electronic Banking gemacht habe, ersetzen;