Es sieht so aus, als wäre auch dein DNS im Eimer. Was sagt z.B. dig google.de?
Beiträge von engine
-
-
Digitales Community Event. Los los los!
-
Der : zwischen den Verzeichnissen muss schon sein, die Zeitzone is eh diesselbe wie Deutschland
Ansonsten würd ich dir empfehlen, dir Docker Tutorials zu Gemüte zu führen, damit du überhaupt verstehst was die Commands machen.
-
Gegen einen Brute Force Angriff - wie langsam oder schnell auch immer - bringt eine regelmäßige Änderung des Passworts m.E. sowieso nichts. Letztlich kann es sogar passieren, dass durch die Änderung des Passworts dieses früher gefunden wird. Natürlich kann es dadurch auch erst später gefunden werden, oder mit einer Wahrscheinlichkeit von 0.0 überhaupt nie (Das ist dann in etwa so wahrscheinlich, wie dass beim Roulette niemals Rot oder niemals eine bestimmte Zahl kommt.)
Es würde nur dann was bringen, wenn man die Angreifer überwachen würde und diese stumpfsinnig nach einem erkennbaren Schema alle möglichen Kombinationen durchprobieren. Dann könnte man natürlich z.B. feststellen "Oh, Angreifer xy wird morgen um 13:29 Uhr mein Passwort erraten, also ändere ich es vorher noch". In der Praxis hat man aber in der Regel mehrere oder gar viele Angreifer, man weiss auch nie, wann neue dazukommen werden. Oder sie raten mit Zufallskombinationen, dann klappt das sowieso nicht.
Im Endeffekt würde dich ja nur ein Whitelisting von IPs, ein weiterer Faktor (2FA) oder Biometrie/Smartcard etc. besser schützen, oder? Ich mein okay, Brute Force könnte man durch Anmeldebeschränkungen oder IP Blacklisting ETWAS mitigieren. Was gibt's sonst noch für Möglichkeiten?
-
Alles anzeigen
Bei uns in der Arbeit wurde vor ein paar Jahren von der IT eingestellt, das alle 3 Monate das Passwort aus Sicherheitsgründen geändert werden muss. Mindestens 10 Zeichen, Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen.
Januar2023!April2023!
...
Ach ja, und das Passwort hängt übrigens mit einem Post-It am Monitor
Leider haben wir nicht jeder einen eigenen Zugang...
Genau aus solchen Gründen bringt Passwort regelmässig ändern gar nichts und ist soweit ich informiert bin auch nicht mehr Best-Practice
-
Interessant wäre auch, ob iptables selbst überhaupt irgendwas ausgibt, also irgendwelche Regeln etc:
Codesudo iptables -L -
Ist ja nicht so, dass es dafür keine Tools geben würde...
-
mnt/vrising/server ist der Pfad IM DOCKERIMAGE. Du musst davor den Pfad auf dem Host definieren, wo die Daten abgelegt werden sollen (der Pfad muss existieren). In diesem Fall musst du zwei Ordner anlegen auf deinem Server und unten die Pfade anpassen. Das dahinter sind nur die Ordner die im Dockerimage dann deine Ordner mounten, die findest auf deinem System nicht.
docker run -d --name=vrising --net=bridge' -e TZ="Europe/Paris" -e SERVERNAME="trueosiris-V" -v /pfad/zum/ordner:/mnt/vrising/server -v /pfad/zum/persistentdata-ordner:/mnt/vrising/persistentdata -p 9876:9876/udp -p 9877:9877/udp 'trueosiris/vrising'
-
Ich wusste jetzt nicht ob ich den
oder den 
Smiley als Reaktion auswählen sollte. Ist irgendwie beides. Aber eigentlich wäre der richtige Smiley: 
Warum rege ich mich überhaupt auf? Ist was Persönliches, ich dachte immer ich wäre zu schlecht für einen 2nd Level oder reinen Sysadmin Job, aber heute hab ich erfahren, dass ich eigentlich mehr weiß als ich mir oft selbst zugestehe bzw. halt lernwillig bin. Deshalb hab ich vor der neuen Jobherausforderung nicht mehr so viel Angst
-
engine das hört sich ja grausam an.
Ich hoffe nur, dass wir keine Kunden bei deinem ehemaligen Arbeitgeber sind und den MSP nicht auch beauftragt haben 😂
Wohl kaum!
-
Kopf -> Tisch. Excel....
Zum Glueck nicht mehr in deiner Verantwortung.
Es wurd‘ ja noch besser. Ich hab in der Firma einen Root Server älterer Generation von netcup laufen. Also ihm auch hier das wichtigste gezeigt, wobei Linux naja…nicht seine Stärke sein dürfte. Egal, not my problem. Dann meint er wieviel Traffic is da dabei? Sag ich 80 TB, das reicht dicke. Waaas? Mit dem kommst du aus? Ich verwalte 40 Kundendomains, damit komm ich nicht mal eine Woche aus.
Okay. Hostest du Pornosites? Zeig mir die Statistik, machen wir eine Wette draus. Du verbrauchst nicht mehr als 1 TB, vielleicht sogar nur 500 GB.
Never! Er macht die Statistik auf zeigt sie mir. Da, siehst du! Er zeigt auf die grosse Zahl. Sag ich doch: 65.000!
Sag ich ja, MB. Das sind 65 GB bei deinem stärksten Kunden, die anderen zusammen ergeben im letzten Monat ca 400 GB. Das Gesicht vergesse ich so schnell nicht.
Dann hatte ich ihm noch Termius gezeigt für SSH Work, weil‘s mit Private Key Verwaltung etc. einfach komfortabel ist mit mehreren Hosts bzw Terminals. Ne, ich arbeite nur mit Putty. Sag ich wieviele Kunden? Ja so um die 100. Krass, da würde ich den Überblick verlieren ohne Tags etc. Hab eh meine Excel, wo auch die Private Keys etc drinn sind.
Ich wunder mich schon, dass solche MSPs überhaupt zu Kunden kommen. Und nein, ich hab den nicht ausgesucht.
Bei Windows deaktiviert er nicht mal das lokale Admin Konto, weil eh nur er das PW kennt…
-
Ich weiß grad nicht ob lachen oder weinen soll, hab‘ heute bei meinem alten Job die IT an einen MSP übergeben.
Also ihm Zugriff gegeben zu einem 1Password Vault. Wusste er nicht, was das ist. Erklär ich‘s ihm, sagt er das ist ja voll unsicher! Sag ich naja, das Whitepaper von 1Password ist durchdacht, was wäre denn deine Alternative?
Er öffnet Excel und speichert alles. Frag ich, ob das sein Ernst ist…ja, mein Laptop ist eh mit Bitlocker verschlüsselt. Sag ich ja, wenn du ihn ausgeschalten hast. Was ist in der übrigen Zeit, wenn du dir was einfängst? Dann ist eh alles zu spät.
-
Man darf nicht vergessen: Anexia ist in Österreich und die Gehälter da sind tatsächlich niedriger. Leider. Deshalb fehlt in AT auch so viel IT Personal.
Was man aber auch nicht ausser Acht lassen darf: Dafür gibt‘s 14 Gehälter, in Deutschland nur 12. Wobei das beim Jahresgehalt ja keinen Unterschied macht.
Bei meinem neuen Job als 2nd Level Support war auch relativ wenig angegeben und ich hab gesagt unter 45.000/Jahr brauchen wir gar nicht reden, war kein Problem.
Diese Angaben des MINDESTGEHALTS sind in Österreich verpflichtend vom Gesetz her. Dabei handelt es sich um das Mindestbruttogehalt. Das einige nur genau auch das zahlen gibt‘s natürlich auch…
-
Ich finde es ehrlich gesagt immer wieder erschreckend, mit welchem Vorwissen manche Leute hier ihre VPS/Rootserver betreiben.
"IP-Adresse meiner Domain".
Wie die anderen schon geschrieben haben, nimm mal alle EInträge, die du "=Domain" zugeordnet hast, raus.
Und da ich selbst Anfänger bin: Was soll ein Iperf3 test von localhost zu localhost jetzt genau aussagen zu deinem Problem?
Oder hattest du dabei noch ein VPN/SSH-Tunnel o.ä. benutzt?Naja, mit den Konsequenzen muss OP dann eh selbst leben. Aber dieses Fingerzeigen gibt‘s halt auch nur in deutschen Foren…
-
Naja, die Personalabteilung bei Anexia wird schon auch ein wenig Mitschuld tragen. Das will ich auch so einfach mal aus Erfahrung in den Raum werfen. Hatte mich tatsächlich kürzlich beworben, wurde nach 3 oder 4 Wochen erst (!) kontaktiert und zum Gespräch eingeladen, musste das kurzfristig leider absagen, hab danach - wie gewünscht - um einen neuen angefragt per Mail und keine Antwort erhalten. Mal per Telefon nachfragen wollen, ging leider keiner ans Telefon. Nun hat mich jemand anderes eingestellt.
Bei allen anderen Firmen hatte ich innerhalb von zwei Tagen eine Rückmeldung.
Und wenn man Kununu aufruft, scheint das öfters der Fall zu sein, dass es genau so abläuft.
-
und wie sicherst du das bestmöglich ab wenn ich fragen darf?
1. nur Zuhause onPrem und dann am Handy etc. mit dem Cache der App rumlaufen?2. auf einem extra VPS mit ordentlichen IPTables?
3. oder vorm VPS wo Bitwarden läuft eine Firewall mit WAF davor?Das ist persönlich meine größte Krux. Ich denke/hoffe aktuell, dass Bitwarden die Infrastruktur besser absichert als ich es jemals könnte.
3. mit deaktiviertem Adminbereich, Server selbst ist per SSH auch nur über Tailscale erreichbar und hat ausser Tailscale keine offenen Ports. Alles hinter Cloudflare mit WAF und Nginx Proxy in nem eigenen Dockernetzwerk. Ja! Aber wieso dann nicht auch Bitwarden über Tailscale? Weil andere Mitnutzer, denen will ich kein Tailscale etc eineichten.
-
Diese Argumentation ist aber trotzdem leider komplett sinnfrei - denn man arbeitet halt mit dem was man zur Verfügung hat und optimieren kann man sein Sicherheitskonzept ja trotzdem - insbesondere indem man z.b. seine etwaigen Sicherheitsrelevanten Daten keinen gewinnorientierten Amerikanischen Unternehmen (MS, Google, Authy etc. pp) anvertraut sondern lieber auf selbst gehostete (Bitwarden) oder lokale open source Software setzt und sich finanziell an der Weiterentwicklung beteiligt.
Natürlich, Bitwarden hoste ist eh selbst. Nur 2FA nutze ich bislang von Authy. Wer weiß, eventuell steige ich auch da um. Bin da ja ähnlicher Meinung wie du. Dass das Argument sinnfrei ist, mag schon sein - ein Funken Wahrheit steckt halt dennoch dahinter, dann du kannst immer von einer Lücke/Hack/whatever betroffen sein, selbst wenn du dein bestes Getan hast. Das meine ich damit.
-
Ist aber prinzipiell nicht wirklich so.
Wenn ich heute meinen Passwort Manager mit Passwort und 2fa absichere und die verschlüsselung tatsächlich existiert, ist jeder login mit passwort und den totp gesichert welches beides wiederum via Passwort und 2FA (im besten Fall Hardwarekey) gesichert ist.
In einem Szenario wo ich bitwarden per Passwort und totp über einen totp safe speichere, muss ein Angreifer lediglich 2 Passwörter hacken und hat damit Zugriff auf alles.
Bei einer closed source app kannst du dir außerdem nicht sicher sein was tatsächlich läuft, siehe LastPass.
Logisch, das weiss ich. Aber prinzipiell ist nichts in der IT zu 100% sicher, ausser das nichts 100% sicher ist.
-
Ich nutze den MS Authenticator für einige wenige 2FA-Codes wie z.B. Bitwarden.
Der Rest der TOTPs ist dank Premium feature direkt im Bitwarden gespeichert.
Es ist unglaublich praktisch, beim Login ins Beispielsweise Netcup-Kundenportal das Passwort ausfüllen zu lassen und den 2FA Token direkt in der Zwischenablage zu haben und nur noch einfügen zu müssen.
Das wollte ich auch machen, aber irgendwie sträubt sich in mir was dagegen. Nämlich dies: Wird mein Bitwarden gehackt, dann hat der Angreifer wirklich gleich Zugriff auf alles. Habe ich die 2FA Codes woanders, dann hilft ihm das Passwort bei den wichtigen Accounts wenig, da er nicht die 2FA Codes aus der anderen App hat.
-
Ich halte #2 für relativ unsicher. Bei der Diceware Methode erstellt man zwar auch Passphrasen aus regulären Wörtern, wichtig ist jedoch, dass diese in keinem Zusammenhang stehen. Nach etwas Social Engineering hat dein Passwort quasi nur noch 4 Zeichen.
Möglich, aber da kommt eben der "Social Engineering" Faktor hinzu und da ist dann wieder die Frage, wer ist Bud und interessiert sich jemand für seinen Bitwarden Account. Gehen wir mal tiefer.
Szenario 1:
"Hacker X" findet https://bitwarden.bud.de im Internet und versucht es zu hacken. Eventuell gelingt es ihm durch eine Sicherheitslücke, dann ist das Passwort irrelevant. Ansonsten versucht er Bruteforcing/whatever Methoden. Vermutlich in beiden Fällen wenig vielversprechend, weil zu zeitaufwändig, ausser er ist ein "relevantes" Target. Gehen wir davon aus, er ist relevant. Hacker versucht die IP herauszufinden, Bud hat die Bitwarden-Instanz nicht hinter einem Proxy (wie bspw. Cloudflare) oder hat auf dem selben Server einen Mailserver laufen. Hacker findet die IP, weiss nun das die Website bei Netcup gehosted ist. Er nimmt netcup in seine Wordlist auf. Gleichzeitig nimmt er bitwarden und bud in die Wordlist auch noch mit auf, weil das aus dem Domainnamen hervorgeht. Dann fügt er auch noch Server, Webhosting in die Wordlist hinzu und alle Jahreszahlen, zudem sucht er nach Bud und netcup bei Google, stösst hier im Forum auf sein Profil und fängt sich mit ihm anzufreunden. Wird es möglicher Passwort #2 mit viel Energie zu knacken? VIELLEICHT! Hat er 2FA aktiviert? Eher weniger, ausser Sicherheitslücke in Bitwarden. Aber der Aufwand ist hier schon sehr hoch.
Szenario 2:
"Hacker X" stösst auf Buds bitwarden, gehostet unter safe.xyzcom.de. Nichts unter dieser Domain deutet auf einen "Bud" hin, die Website hängt hinter Cloudflare, es läuft kein Mailserver, Firewalls gut abgedichted, PTR ist nicht gesetzt, Hacker findet eher schlecht überhaupt den Provider raus, wo die Website gehosted ist. Das heisst er kennt weder das Wort "Bud", noch "netcup". Es sei denn es ist per Zufall in seiner Wordlist. Aber er braucht ja auch noch den Loginnamen. Also man sieht hier schon, da sind die Anlaufschwierigkeiten schon deutlich höher, als in Szenario 1 um überhaupt an Infos zu kommen.
In beiden Szenarien ist man natürlich im Arsch, wenn Bitwarden eine Lücke hat und es nicht gepatcht ist.
EDIT: Wenn jemand Anmerkungen zu diesen Ideen hat, immer her damit!
