Beiträge von customer

Der Eintrag ist schon lange drin. Verwende drill -x <ipv6> und siehe da, es funktioniert doch. Ein web tool hat hingegen einen Fehler ausgespuckt, deswegen dachte ich, dass es nicht (mehr) funktioniert.

VPS 500 G8

fio --randrepeat=1 --ioengine=libaio --direct=1 --gtod_reduce=1 --name=test1 --filename=test1 --bs=4k --iodepth=64 --size=8G --readwrite=randrw --rwmixread=75

test1: (g=0): rw=randrw, bs=(R) 4096B-4096B, (W) 4096B-4096B, (T) 4096B-4096B, ioengine=libaio, iodepth=64
fio-3.19
Starting 1 process
test1: Laying out IO file (1 file / 8192MiB)
Jobs: 1 (f=1): [m(1)][100.0%][r=79.5MiB/s,w=26.8MiB/s][r=20.3k,w=6856 IOPS][eta 00m:00s]
test1: (groupid=0, jobs=1): err= 0: pid=1025: Sun Jun  7 21:31:00 2020
  read: IOPS=19.4k, BW=75.8MiB/s (79.5MB/s)(6141MiB/80988msec)
   bw (  KiB/s): min=55616, max=86890, per=100.00%, avg=77727.85, stdev=5807.80, samples=160
   iops        : min=13904, max=21722, avg=19431.69, stdev=1451.97, samples=160
  write: IOPS=6482, BW=25.3MiB/s (26.6MB/s)(2051MiB/80988msec); 0 zone resets
   bw (  KiB/s): min=18648, max=29373, per=100.00%, avg=25957.78, stdev=1969.49, samples=160
   iops        : min= 4662, max= 7343, avg=6489.15, stdev=492.35, samples=160
  cpu          : usr=7.94%, sys=34.05%, ctx=138693, majf=0, minf=10
  IO depths    : 1=0.1%, 2=0.1%, 4=0.1%, 8=0.1%, 16=0.1%, 32=0.1%, >=64=100.0%
     submit    : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.0%, >=64=0.0%
     complete  : 0=0.0%, 4=100.0%, 8=0.0%, 16=0.0%, 32=0.0%, 64=0.1%, >=64=0.0%
     issued rwts: total=1572145,525007,0,0 short=0,0,0,0 dropped=0,0,0,0
     latency   : target=0, window=0, percentile=100.00%, depth=64

Run status group 0 (all jobs):
   READ: bw=75.8MiB/s (79.5MB/s), 75.8MiB/s-75.8MiB/s (79.5MB/s-79.5MB/s), io=6141MiB (6440MB), run=80988-80988msec
  WRITE: bw=25.3MiB/s (26.6MB/s), 25.3MiB/s-25.3MiB/s (26.6MB/s-26.6MB/s), io=2051MiB (2150MB), run=80988-80988msec

Disk stats (read/write):
  sda: ios=1569936/524583, merge=62/114, ticks=3210122/1129708, in_queue=1276420, util=73.35%

Hallo,

die Frage steht eigentlich schon im Thread-Titel: funktioniert rDNS nicht mit IPv6?

Ich habe im CCP für meine IPv6 Adresse genauso einen Hostnamen angegeben wie für meine IPv4 Adresse, aber die DNS-Server liefern mir nur einen PTR Eintrag für die IPv4-Adresse.

Zitat von Steini

Ist das so? "klarerweise"??

Ja, bei sicherheitsbewussten Admins schon. Das ist best practice seit vielen Jahren wie du selbst zitierst hast.

Root user ist der erste Account den ich sperre, u.a. aus den von dir zitierten Gründen.

Alles was mit root-Rechten ausgeführt wird auf meinen Systemen auch fein säuberlich mitgeloggt und das nicht nur aus Sicherheitsgründen.

Das mit dem 3000+ bits RSA oder Ed25519 Schlüssel sollte auch selbstverständlich sein, denn damit hat man eine Sicherheit von 256+ bits. Auch schon seit Jahren Empfehlung.

Natürlich kann man auch ein entsprechend langes und komplexes Passwort verwenden, aber da man sich das wahrscheinlich nicht merken kann und auch nicht händisch eintippen will, kann man auch gleich pubkeys verwenden.

Zitat

Ich sehe sudo also zusätzliche Software und damit zusätzlichen Angriffsvektor der (mir) keinen Sicherheitsgewinn bringt.

Ich sehe es gegenteilig.
Der root user ist der zusätzliche Angriffsvektor. Über den login. Ebenso über su...

sudo verwendet auch nur pam und wenn da eine Lücke ist, dann ist sowieso schon alles egal.

sudo ermöglicht auch noch zusätzliche Einschränkungen, die sonst nicht möglich sind bzw. mit root einfach umgangen werden könnten. Wie du richtig schreibst, ist das z. B. bei mehreren Admins äußerst nützlich.

sudo zieht auch noch eine zusätzliche Sicherheitsschicht ein: Selbst wenn jemand Zugriff auf meinen Server mit meinem Admin-User hätte, dann bringt ihm das nichts, denn er müsste immer noch das Benutzerpasswort erraten ... und dank pam_faillock sind Brute-Force-Attacken hier ebenso unmöglich.
Das wird natürlich auch geloggt.

Zitat

So denken viele User/Freizeitadmins "Hey, ich habe den Port geändert, nutze (irgendwelche) Keys und habe den Rootzugang deaktiviert, ich bin ultimativ safe".

Aber von irgendwelchen Keys war auch nie die Rede.

Den Port zu ändern ist nur security through obscurity, also kein echter Sicherheitsgewinn. Ich verwende den Standardport, nur ist dieser halt nur für mich offen.

Was aber auf jeden Fall hilft, ist den Rootzugang zu deaktivieren.

Best Practice ist klarerweise kein Root-Login, kein Passwort-Login, Login nur über 3000+ bit RSA oder besser noch Ed25519 pubkey.

Seit knapp 4 Jahren (Linux 4.4) sollte der synproxy überflüssig sein, weil der Kernel in dem Bereich verbessert wurde und mit Millionen von SYN-Paketen pro Kern umgehen kann.

Selbst Debian oldstable/9/stretch hat da schon einen viel aktuelleren Kernel, deswegen verstehe ich nicht warum das hier empfohlen wird?

Tracepath:

 2:  ae3-4018.bbr01.anx84.nue.de.anexia-it.net (144.208.211.30)   0.639ms
 3:  ae2-0.bbr02.anx25.fra.de.anexia-it.net (144.208.208.141)   4.022ms
 4:  xe-1-2-0.mpr1.fra4.de.above.net (80.81.194.26)       10.490ms
 5:  ae8.mpr1.fra3.de.zip.zayo.com (64.125.26.233)         4.349ms
 6:  ae27.cs1.fra6.de.eth.zayo.com (64.125.31.216)        80.998ms asymm 19
 7:  ae2.cs1.ams17.nl.eth.zayo.com (64.125.29.59)         81.160ms asymm 18
 8:  ae0.cs1.ams10.nl.eth.zayo.com (64.125.29.80)         81.342ms asymm 17
 9:  ae2.cs1.lhr15.uk.eth.zayo.com (64.125.29.17)         81.180ms asymm 16
10:  ae0.cs1.lhr11.uk.eth.zayo.com (64.125.29.118)        81.104ms asymm 15
11:  ae5.cs1.lga5.us.eth.zayo.com (64.125.29.126)         82.227ms asymm 14
12:  ae15.er1.lga5.us.zip.zayo.com (64.125.29.221)        81.021ms
13:  64.125.54.26.available.above.net (64.125.54.26)      81.153ms
14:  39.ae32.bbr2.ewr1.packet.net (192.80.8.98)           81.956ms
15:  no reply
16:  147.75.98.105 (147.75.98.105)                       104.518ms
17:  monewr1.ntppool.net (139.178.64.42)                  81.853ms reached
     Resume: pmtu 1500 hops 17 back 18

 2:  ae3-4018.bbr01.anx84.nue.de.anexia-it.net (144.208.211.30)   0.461ms
 3:  ae2-0.bbr02.anx25.fra.de.anexia-it.net (144.208.208.141)   3.906ms
 4:  xe-1-2-0.mpr1.fra4.de.above.net (80.81.194.26)        4.237ms
 5:  ae8.mpr1.fra3.de.zip.zayo.com (64.125.26.233)         4.216ms
 6:  ae27.cs1.fra6.de.eth.zayo.com (64.125.31.216)        81.212ms asymm 19
 7:  ae2.cs1.ams17.nl.eth.zayo.com (64.125.29.59)         81.363ms asymm 18
 8:  ae0.cs1.ams10.nl.eth.zayo.com (64.125.29.80)         89.179ms asymm 17
 9:  ae2.cs1.lhr15.uk.eth.zayo.com (64.125.29.17)         81.112ms asymm 16
10:  ae0.cs1.lhr11.uk.eth.zayo.com (64.125.29.118)        81.217ms asymm 15
11:  no reply
12:  ae15.er1.lga5.us.zip.zayo.com (64.125.29.221)        81.223ms
13:  64.125.54.26.available.above.net (64.125.54.26)      81.021ms
14:  39.ae32.bbr2.ewr1.packet.net (192.80.8.98)           81.809ms
15:  no reply
16:  147.75.98.105 (147.75.98.105)                        96.564ms
17:  monewr1.ntppool.net (139.178.64.42)                  81.975ms reached
     Resume: pmtu 1500 hops 17 back 18

Sieht für mich nach schrägem Routing bei Zayo.com aus.

Dragon Sorry aber da muss ich bei beiden Aussagen widersprechen.

Ein "Ping" pro Hop aber dafür hunderte solcher Aufrufe mit Zeitstempel enthält mehr Informationen als ein Aufruf mit hunderten "Pings". (Es sind eigentlich keine Pings sondern UDP Pakete mit begrenzter TTL.)

Zitat

Die Verbindung sieht tendenziell aber in Ordnung aus, am letzten antwortenden Hop scheint nie ein Paket verloren gegangen zu sein. Was dazwischen passiert ist dann egal.

Leider nicht.

Wir wissen ja, dass es an keinen der jeweils beteiligten Server liegt, also MUSS der Fehler auf einem Hop dazwischen passieren.

Es liegt hier klarerweise auch kein temporärer oder gar permanenter Paketverlust vor wo ab einem Hop alles verworfen wird,n ein scheinbar ganz sporadischer und vereinzelter.

Logs von der anderen Seite:

trace_rev_139.178.64.42.txt

Noch ein Log von über einer Stunde mit je einem Messergebnis circa alle 30s:

trace_ 139.178.64.42.txt

Logs von der anderen Richtung folgen.

Mit Ziel-IP 139.178.64.4 über Zayo gibt es ebenfalls Probleme:

Start: 2019-10-11T20:06:54+0200
HOST: localhost                                                   Loss%   Snt   Rcv  Drop   Last
  1.|-- 188.68.xxx.xxx                                              0.0%     1     1     0    3.7
  2.|-- ae3-4018.bbr01.anx84.nue.de.anexia-it.net (144.208.211.30)  0.0%     1     1     0    0.6
  3.|-- ae2-0.bbr02.anx25.fra.de.anexia-it.net (144.208.208.141)    0.0%     1     1     0    4.5
  4.|-- xe-1-2-0.mpr1.fra4.de.above.net (80.81.194.26)              0.0%     1     1     0    9.6
  5.|-- ae27.cs1.fra9.de.eth.zayo.com (64.125.30.254)               0.0%     1     1     0   81.1
  6.|-- ae0.cs1.fra6.de.eth.zayo.com (64.125.29.54)                 0.0%     1     1     0   81.1
  7.|-- ae2.cs1.ams17.nl.eth.zayo.com (64.125.29.59)                0.0%     1     1     0   81.4
  8.|-- ae0.cs1.ams10.nl.eth.zayo.com (64.125.29.80)                0.0%     1     1     0   81.9
  9.|-- ae2.cs1.lhr15.uk.eth.zayo.com (64.125.29.17)                0.0%     1     1     0   81.1
 10.|-- ae0.cs1.lhr11.uk.eth.zayo.com (64.125.29.118)               0.0%     1     1     0   81.0
 11.|-- ???                                                        100.0     1     0     1    0.0
 12.|-- ae15.er1.lga5.us.zip.zayo.com (64.125.29.221)               0.0%     1     1     0   81.0
 13.|-- 64.125.54.26.available.above.net (64.125.54.26)             0.0%     1     1     0   81.5
 14.|-- 39.ae32.bbr2.ewr1.packet.net (192.80.8.98)                  0.0%     1     1     0   83.6
 15.|-- ???                                                        100.0     1     0     1    0.0

Start: 2019-10-11T20:07:12+0200
HOST: localhost                                                   Loss%   Snt   Rcv  Drop   Last
  1.|-- 188.68.xxx.xxx                                              0.0%     1     1     0    3.7
  2.|-- ae3-4018.bbr01.anx84.nue.de.anexia-it.net (144.208.211.30)  0.0%     1     1     0    0.6
  3.|-- ae2-0.bbr02.anx25.fra.de.anexia-it.net (144.208.208.141)    0.0%     1     1     0    3.9
  4.|-- xe-1-2-0.mpr1.fra4.de.above.net (80.81.194.26)              0.0%     1     1     0    3.9
  5.|-- ae27.cs1.fra9.de.eth.zayo.com (64.125.30.254)               0.0%     1     1     0   81.2
  6.|-- ae0.cs1.fra6.de.eth.zayo.com (64.125.29.54)                 0.0%     1     1     0   81.2
  7.|-- ???                                                        100.0     1     0     1    0.0
  8.|-- ae0.cs1.ams10.nl.eth.zayo.com (64.125.29.80)                0.0%     1     1     0   81.2
  9.|-- ae2.cs1.lhr15.uk.eth.zayo.com (64.125.29.17)                0.0%     1     1     0   81.3
 10.|-- ae0.cs1.lhr11.uk.eth.zayo.com (64.125.29.118)               0.0%     1     1     0   81.3
 11.|-- ???                                                        100.0     1     0     1    0.0
 12.|-- ???                                                        100.0     1     0     1    0.0
 13.|-- 64.125.54.26.available.above.net (64.125.54.26)             0.0%     1     1     0   80.9
 14.|-- 39.ae32.bbr2.ewr1.packet.net (192.80.8.98)                  0.0%     1     1     0  110.4
 15.|-- ???                                                        100.0     1     0     1    0.0

Start: 2019-10-11T20:07:12+0200
HOST: localhost                                                   Loss%   Snt   Rcv  Drop   Last
  1.|-- 188.68.xxx.xxx                                              0.0%     1     1     0    3.7
  2.|-- ae3-4018.bbr01.anx84.nue.de.anexia-it.net (144.208.211.30)  0.0%     1     1     0    0.4
  3.|-- ae2-0.bbr02.anx25.fra.de.anexia-it.net (144.208.208.141)    0.0%     1     1     0   22.8
  4.|-- xe-1-2-0.mpr1.fra4.de.above.net (80.81.194.26)              0.0%     1     1     0    4.2
  5.|-- ae27.cs1.fra9.de.eth.zayo.com (64.125.30.254)               0.0%     1     1     0   83.0
  6.|-- ae0.cs1.fra6.de.eth.zayo.com (64.125.29.54)                 0.0%     1     1     0   81.9
  7.|-- ae2.cs1.ams17.nl.eth.zayo.com (64.125.29.59)                0.0%     1     1     0   81.2
  8.|-- ae0.cs1.ams10.nl.eth.zayo.com (64.125.29.80)                0.0%     1     1     0   81.1
  9.|-- ae2.cs1.lhr15.uk.eth.zayo.com (64.125.29.17)                0.0%     1     1     0   80.9
 10.|-- ae0.cs1.lhr11.uk.eth.zayo.com (64.125.29.118)               0.0%     1     1     0  104.0
 11.|-- ae5.cs1.lga5.us.eth.zayo.com (64.125.29.126)                0.0%     1     1     0   80.9
 12.|-- ae15.er1.lga5.us.zip.zayo.com (64.125.29.221)               0.0%     1     1     0   80.9
 13.|-- 64.125.54.26.available.above.net (64.125.54.26)             0.0%     1     1     0   80.9
 14.|-- 39.ae32.bbr2.ewr1.packet.net (192.80.8.98)                  0.0%     1     1     0   81.8
 15.|-- ???                                                        100.0     1     0     1    0.0

5. 62.115.14.116       63.8%  2606   942 (ffm-b4-link.telia.net.)
6. 62.115.114.90        1.8%  2606  2560 (ffm-bb2-link.telia.net.)
   62.115.114.88                         (ffm-bb3-link.telia.net.)
7. 62.115.123.13        1.3%  2606  2571 (prs-bb3-link.telia.net.)
   62.115.122.138                        (prs-bb4-link.telia.net.)
   62.115.114.98                         (prs-bb4-link.telia.net.)
8. 62.115.114.228       5.3%  2606  2468 (ldn-bb4-link.telia.net.)
   62.115.134.93                         (ldn-bb3-link.telia.net.)
9. 62.115.113.20       24.8%  2606  1961 (nyk-bb4-link.telia.net.)

Angabe Packet-Loss %, # gesendete Pakete, # Antworten.

Zitat von BrotherJ

Ich habe es zumindest im CCP mit den Pefixen ::2 und ::3 hinbekommen. Schade, dass das so wenig dokumentiert ist bei Netcup.

Meinst du das SCP? Das CCP ist eher für Leistungen und Vertragliches...

Im SCP siehst du ziemlich schön die deiner VM zugeteilsten IPv4 und v6 Addressen bzw. Netze.

Wie du deine Netzwerkschnittstellen konfigurierst, hängt von deiner Distribution und Konfiguration ab. Selbst wenn netcup alle Möglichkeiten dokumentieren würde - was Unsinn ist - dann müsstest du als Administrator immer noch wissen, was zu deinem System passt.

Weiters sehe ich ipconfig schon seit vielen Jahren als deprecated an. Da wundert es mich auch nicht, wenn das eine defekte DHCP Client Implementierung hat.

Zu den Unterschieden aus deinen Mitschnitten:

ipconfig setzt scheinbar keine UDP checksum.

ipconfig setzt auch nicht DHCP Option 61 oder Option 57 (maximum dhcp message size) fordert aber 5 zusätzliche Parameter gegenüber udhcpc an.

Mal eine blöde Frage, wieso überhaupt DHCP? Sowohl IPv4 als auch IPv6 Addressen/Netze sind doch statisch den VMs zugewiesen, also sollte auch die Konfiguration entsprechender Adressen statisch sein.

Ich habe noch nie DHCP in diesem Anwendungsfall verwendet und es wäre mir auch neu, dass Netcup oder andere Server Hoster DHCP Server betreiben. Wozu auch?

Und wenn Debian/Ubuntu das von sich aus macht, dann ist das entweder ein Konfigurationsfehler des Administrators oder ein grober Bug.

Sorry, das habe ich tatsächlich überlesen. Natürlich sind public keys nicht vertraulich.

Was man jedoch braucht ist Integrität und Authentizität.

Ach ja, Anwender, die sich wie Schimpansen verhalten würde ich erst gar nicht auf meine Server lassen.

Fehlt nur noch ein Admin, der sich genauso verhält und jeden unsicher übertragenen PubKey blind akzeptiert.

Ja ich meine, wenn man Keys initial nicht über einen sicheren Kanal austauscht, dann hat man auch keine Authentifizierung.

In den meisten Fällen wird es gut gehen, aber wenn dann mal was schiefläuft heißt es nur SSKM: selber schuld, kein Mitleid.

Ist ein bisschen so, wie wenn man auf einen Link in einer Mail klickt und dann vermeintlich auf einer Webseite seiner Bank landet und sich dort dann direkt einloggt...

Zitat von killerbees19

Nicht zwangsläufig. Ein Angreifer könnte sich auch als MITM einklinken und sich als der Zielserver ausgeben, indem er alle Pakete zur Ziel-IP abfängt und beantwortet. Wenn er die Kontrolle über den Netzwerkverkehr hat, braucht er dir gar keinen falschen RR unterzujubeln. Letzteres alleine würde eventuell gar nichts bringen, weil das Opfer vielleicht einen eigenen Resolver am Client betreibt und diesen speziell geschützt hat. (DNSSEC, DNSCrypt, DoT, …)

Das Unterjubeln eines falschen RR würde ja eine neue Lücke öffnen, die es vorher gar nicht gab, weil der Client dann theoretisch den SSH-Server des Angreifers (mit anderem Server-Key) blind akzeptieren könnte/würde. Aber wie danach erwähnt ergibt der RR eh nur dann Sinn, wenn der Kanal auch sicher ist - also DNSSEC.

MITM auf IP Ebene hilft dem Angreifer bei SSH relativ wenig, eben weil die Keys zuvor durch einen sicheren Kanal ausgetauscht wurden.

Zitat von gunnarh

So schräg ist das nicht.

1. lässt man nicht den Benutzern "Zugangsdaten zukommen", sondern man berechtigt die PubKeys der User sich dort anmelden zu dürfen. Somit ist da kein "sicherer Kanal" im Sinne von Vertraulichkeit nötig.

Und die PubKeys der User bekommst du über unsichere Kanäle zugesandt, die du dann blind akzeptierst? Ich denke nicht.

Bei SSH MUSS ein sicherer Kanal initial für den Austausch der Schlüssel verwendet werden. Sowohl von Client- als auch Server-Keys.

Da führt kein Weg daran vorbei.

Zitat

2. hat das Hinterlegen von Server-Keys im DNS vor allem dann große Vorteile, wenn man sehr viele Server betreibt und / oder diese häufig (z.B. automatisiert) neu initialisiert - z.B. weil es sich um VMs, Container etc handelt.

Wenn man viele VMs, Container, etc. wartet, dann wird man das vernünftigerweise automatisiert und über sichere Kanäle machen.

Entsprechend kann man mit selbigen Automatisierungstools über selbige sichere Kanäle auch Keys austauschen. Musst du sowieso, wenn du dich mit PubKey einloggen willst. Entsprechend kannst du so auch die Server-Key-Fingerprints rausschreiben.

Aber ja, wenn man stattdessen immer die DNS-RR Einträge alle aktualisiert, das richtig konfiguriert ist (DNSSEC ist hierfür eine Voraussetzung und eine hohe TTL wäre wahrscheinlich schlecht) und der Client/Resolver das auch unterstützt, dann muss man bei den Clients theoretisch nichts mehr machen.

Ok, kurz im RFC gestöbert: dieser RR ist so gedacht, dass er über DNSSEC verifiziert wird. Ansonsten hätte man genau die Lücke geöffnet, die ich angeführt habe.

Es wird übrigens beschrieben, dass der Client bei Übereinstimmung dann *automatisch* neue Server Keys annehmen kann.

Schräg.

Wenn ich schon regelmäßig neue User habe, die sich alle immer wieder zum ersten Mal auf den Server verbinden, dann kann ich ihnen den Server-Key-Fingerprint über den gleichen sicheren Kanal zukommen lassen wie die Serverdaten selbst...