Das längste Thema

Quote from aRaphael

Ich denke jetzt aber, das kann ich in den Griff bekommen, indem ich ModSec erstmal längere Zeit auf "Detection only" laufen lasse und mir die Logfiles ein wenig übersichtlich aufbereite.

Hab mir mal ein kleines Progrämmli dafür gestrickt:

./pamsel /var/log/apache2/error.log simt | sort | uniq -c | sort -nr

64 WARNING,920350,"Host header is a numeric IP address",OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST,-

4 WARNING,920280,"Request Missing a Host Header",OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_HOST,-

1 WARNING,920100,"Invalid HTTP Request Line",OWASP_CRS/PROTOCOL_VIOLATION/INVALID_REQ,-

1 CRITICAL,942100,"SQL Injection Attack Detected via libinjection",OWASP_CRS/WEB_ATTACK/SQL_INJECTION,-

1 CRITICAL,933150,"PHP Injection Attack: High-Risk PHP Function Name Found",OWASP_CRS/WEB_ATTACK/PHP_INJECTION,-

1 CRITICAL,933100,"PHP Injection Attack: PHP Open Tag Found",OWASP_CRS/WEB_ATTACK/PHP_INJECTION,-

1 CRITICAL,932105,"Remote Command Execution: Unix Command Injection",OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION,-

...

Dabei ist mir wieder klargeworden, dass ich den ganzen IT-Krempel nur deshalb mache, weil ich dabei rumcoden darf.

Quote from KB19

tab Unterstützen beide Resolver DNSSEC oder gibt es da Unterschiede?

Würde mich nicht wundern, wenn es nur deshalb über den anderen Resolver klappt.

Weiss ich jetzt ehrlich gesagt nicht, müsste ich nachprüfen. Es ist aber jedenfalls so, dass die öffentlichen Google Resolver das bis gestern Nachmittag noch problemlos aufgelöst haben und der andere auch. Weder die Domain noch die Resolver sind unter meiner Kontrolle, hat aber seither immer funktioniert, bis eben auf den mehr oder minder regelmäßigen Ausfall der DNS-Servers des Internet-Providers. Sieht für mich auf den ersten Blick so aus, als ob weder wavecdn.net noch die Subdomain DNSSEC nutzen.

Falls noch nicht bekannt – ob der verwendete Resolver DNSSEC unterstützt kann man mit der Seite sehr schön testen: https://dnssec.vs.uni-due.de/

Quote from m_ueberall

Ich habe derzeit Probleme, die ausgegebenen sha256-Prüfsummen unten einzuordnen (und mittlerweile leichte Kopfschmerzen, was nicht hilfreich ist).

Hintergrund: Die Metadaten/Label der Abbilder sollen unter anderem org.opencontainers.image.base.digest erhalten; diese Prüsumme ist in den beiden Abschnitten hier und hier erläutert.

Wenn man nur lange genug darüber brütet, fällt der Groschen. Die ausgegebenen Prüfsummen im Log sind abhängig vom ver­wen­de­ten Aus­ga­be­for­mat der Schich­ten (im Ma­ni­fest fin­den sich Angaben mit/ohne Kompression), und zu org.opencontainers.image.base.digest findet sich hier die zielführende Anmerkung.

Kann es sein, dass in Powershell sowas wie hier in C

int func( int nVal )
{
  int nResult;
  switch ( nVal )
  {
    case 3 : case 7 : nResult = 17; break;
    case 57 : nResult = 44; break;
    default : nResult = 0; break;
  }
  return nResult;
}

nicht möglich ist;

$nResult = switch( $nVal ) {
  3, 7 { 17; break }                         # <--- hier kracht es ... bzw. wie sieht die syntax wirklich aus?
  57 { 44; break }
  default { 0; break }
}

Quote from mainziman

Kann es sein, dass in Powershell sowas wie hier in C

[...]

nicht möglich ist;

https://stackoverflow.com/ques…ues-in-a-switch-statement

Einen Schönheitspreis bekommt aber keine der Lösungen

Immer wieder spannend, diese eine DB auf localhost im Webhosting. Die läuft seit dem Upgrade von OS/Plesk sogar mit MariaDB

mariadb-mysql.png

Da Rainloop im Moment kaum weiterentwickelt wird, wurde SnappyMail ins Leben gerufen. Ist ein Fork von Rainloop.

Ich möchte euch das nicht vorenthalten.

Hat jemand einen Tip wie ich den Password Reset von Maschinen im SCP unterbinden kann? Außer die Platte mit Luks zu verschlüsseln.

xattr write lock auf die shadow?

Quote from michaeleifel

Hat jemand einen Tip wie ich den Password Reset von Maschinen im SCP unterbinden kann? Außer die Platte mit Luks zu verschlüsseln.

Du kannst entweder den qemu-guest-agent deinstallieren, der u.a. dafür verwendet wird,

oder nur den Password Reset verbieten:

qemu-ga --blacklist=guest-set-user-password

Weitere Optionen wie "guest-exec", ... kann man so auch verbieten. Siehe https://www.systutorials.com/docs/linux/man/8-qemu-ga/

P.S.: Das verschlüsseln der Platte bringt in dem Fall nichts, da das SCP nicht direkt auf die Platte schreibt, sondern mit dem qemu-guest-agent kommuniziert.

mal was anderes, es ist ja eh schon x 1000 Jahre bekannt,

dass IPv4-Adressen knapp sind/werden;

wenn man zu einer IP-Adresse im WHOIS nachsieht, sieht man wie sie aktuell zugeordnet ist;

wo würde man denn nachsehen können wie sie in der Vergangenheit zugeordnet war?

Quote from Andi22

Du kannst entweder den qemu-guest-agent deinstallieren, der u.a. dafür verwendet wird,

oder nur den Password Reset verbieten:

Code

qemu-ga --blacklist=guest-set-user-password

Weitere Optionen wie "guest-exec", ... kann man so auch verbieten. Siehe https://www.systutorials.com/docs/linux/man/8-qemu-ga/

P.S.: Das verschlüsseln der Platte bringt in dem Fall nichts, da das SCP nicht direkt auf die Platte schreibt, sondern mit dem qemu-guest-agent kommuniziert.

Display More

Danke. Den Parameter hab ich gesucht, der kommt mit in die bereits existierende Liste:

ExecStart=-/usr/sbin/qemu-ga --blacklist==guest-file-open,guest-file-close,guest-file-read,guest-file-write,guest-file-seek,guest-file-flush,guest-exec,guest-exec-status

Quote from perryflynn

xattr write lock auf die shadow?

Das war zu naheliegend, Danke für den Tipp

Quote from michaeleifel

Danke. Den Parameter hab ich gesucht, der kommt mit in die bereits existierende Liste:

Code

ExecStart=-/usr/sbin/qemu-ga --blacklist==guest-file-open,guest-file-close,guest-file-read,guest-file-write,guest-file-seek,guest-file-flush,guest-exec,guest-exec-status

SSH-Keys kommen nicht zum Einsatz? (Und Nutzer- und Betriebssysteminformationen teile ich auch nicht gern…)

ExecStart=-/usr/sbin/qemu-ga --blacklist=guest-exec,guest-exec-status,guest-set-user-password,guest-file-close,guest-file-flush,guest-file-open,guest-file-read,guest-file-seek,guest-file-write,guest-get-users,guest-get-osinfo,guest-ssh-get-authorized-keys,guest-ssh-add-authorized-keys,guest-ssh-remove-authorized-keys

Quote from m_ueberall

SSH-Keys kommen nicht zum Einsatz? (Und Nutzer- und Betriebssysteminformationen teile ich auch nicht gern…)

Code

ExecStart=-/usr/sbin/qemu-ga --blacklist=guest-exec,guest-exec-status,guest-set-user-password,guest-file-close,guest-file-flush,guest-file-open,guest-file-read,guest-file-seek,guest-file-write,guest-get-users,guest-get-osinfo,guest-ssh-get-authorized-keys,guest-ssh-add-authorized-keys,guest-ssh-remove-authorized-keys

Immer diese neumodischen Erfindungen... *ironie*

Das jag ich direkt mal als nächsten Change mit durch die CI, Danke.

EDIT: Der CI gefällts. Falls jemand was Ansible Code haben möchte, der wurde mit Debian 10/11, Ubuntu 18.04/20.04 getestet. Ubuntu 18.04 verwendet allerdings das Init.d Skript für Qemu, dort erfolgt keine Anpassung:

- name: install qemu-guest-agent
  ansible.builtin.package:
    name: "{{ item }}"
    state: present
  with_items:
    - qemu-guest-agent
  when: ansible_virtualization_role == 'guest' and ansible_chassis_vendor == 'QEMU'

- name: Check if we can restrict QEMU guest agent via SystemD
  ansible.builtin.stat:
    path: /usr/lib/systemd/system/qemu-guest-agent.service
  register: qemu_guest_agent

- name: restrict qemu-guest-agent
  ansible.builtin.lineinfile:
    path: /usr/lib/systemd/system/qemu-guest-agent.service
    regexp: '^ExecStart=-/usr/sbin/qemu-ga'
    line: ExecStart=-/usr/sbin/qemu-ga --blacklist=guest-exec,guest-exec-status,guest-set-user-password,guest-file-close,guest-file-flush,guest-file-open,guest-file-read,guest-file-seek,guest-file-write,guest-get-users,guest-get-osinfo,guest-ssh-get-authorized-keys,guest-ssh-add-authorized-keys,guest-ssh-remove-authorized-keys
  notify: restart qemu-guest-agent
  when: qemu_guest_agent.stat.exists and ansible_virtualization_role == 'guest' and ansible_chassis_vendor == 'QEMU'

Quote from mainziman

wenn man zu einer IP-Adresse im WHOIS nachsieht, sieht man wie sie aktuell zugeordnet ist;

wo würde man denn nachsehen können wie sie in der Vergangenheit zugeordnet war?

Kostenlos bzw. öffentlich afaik gar nicht. Aber das Routing History Tool bei der RIPE ist immer ganz praktisch, um ein paar Rückschlüsse ziehen zu können: https://stat.ripe.net/widget/routing-history

Edit:Bei Shodan bekommt man auch ein paar historische Details. Vollständiges Whois ist es aber auch nicht.

Für alle die Composer für ihre Projekte nutzen, mag das hier recht interessant sein:

https://github.com/composer/composer/discussions/10276

Es sieht so aus, als ob Composer nach der ersten großen Verbesserung mit Composer 2.0 in Version 2.2 für viele typische Anwendungsfälle mit vielen Abhängigkeiten nochmals deutlich schneller und schlanker werden wird. Unter der verlinkten Diskussion findet man eine Anleitung zum Test der neuesten Version, womit man auch die Entwicklung und die Suche nach eventuellen Bugs unterstützen kann.

Quote from mainziman

wo würde man denn nachsehen können wie sie in der Vergangenheit zugeordnet war?

Wenn dir ein Ländercode und der Status (allocated, assigned, reserved oder available) genügt: ftp://ftp.ripe.net/pub/stats/

Quote from KB19

Aber wie so oft in der IT: Was die Zukunft bringt, ist schwer vorherzusehen…

ja hat wer eine Glaskugel, und kann eine Empfehlung f. folgendes geben:

es soll eine VM (bei mir zu Hause lokal) installiert werden, welche folgende Bedingungen erfüllen soll:

- ein schlankes OS: max. 8 GByte virtuelle Platte, davon mind. 3-4 GByte frei (damit scheidet Windows sehr wahrscheinlich aus)

- ein regelmäßig aktualisiertes Paket f. den Browser: bevorzugt Mozilla Firefox

- ein Zugriff mittels CIFS/SMB von WIndows aus

- es muss f. mind. 72 Monate beständig sein (bezieht sich hier auf die Pflege des Paketes f. den Browser)

der Hintergrund: es soll meine bisher verwendete VM, mit der ich mein Electronic Banking gemacht habe, ersetzen;

Hatte noch jemand gerade Schluckauf bei den Failover IPs? Bei mir wars zwischen 9:50 und 9:56, dort hat auch nicht die Netwerkseite im SCP geladen, sondern es kam ein schöner roter Hinweis mitten auf dem Bildschirm.