Ach ja, wer es auf der verlinkten Seite vom BSI nicht gesehen hat, die haben auch ein Howto zu Portmapper (bzw. auch zu allen anderen Diensten zu denen sie E-Mails verschicken:
https://www.bsi.bund.de/EN/Top…mapper-services_node.html
Unter Further Information sind zumindest für Debian/Ubuntu auch Anleitungen zum Deaktivieren.
Ja, gerade wenn man so Sachen wie einen Domain Controller (AD) ins Internet stellen will, sollte man schon sehr genau wissen was man tut.
Es gibt relativ wenige Szenarien wo dies sinnvoll ist, da der Domain Controller der sicherheitsrelevanteste Server einer Firma ist und normal ins Intranet gehört und dort mit Firewall entsprechend gegen Zugriffe aus dem Internet abgeschirmt wird.
Wenn du sagst, die Clients sollen sich WSUS vom deinem AD Server bei Netcup ziehen können, soll dieser Server dann auch alle AD-Dienste (Authentication, Trust ...) und damit auch alle Ports (LDAP/LDAPS, RPC; SMB) direkt über das Internet anbieten? Ganz schlechte Idee, da gehört mindestens ein (externer) VPN Tunntel zwischen Firma und AD-Server dazwischen.
Das dürfte der Grund für dein Problem sein:
Ubuntu 16.04 LTS User: “Out of memory” errors after upgrade to kernel v4.4.0-59"
Bug #1655842 ""Out of memory” errors after upgrade to 4.4.0-59” : Bugs : linux package : Ubuntu
Scheint aktuell mehrere zu betreffen, egal wie viel RAM die Maschine hat. Ein Nutzer meldet dort, dass es auch bei ihm passiert ist, obwohl nur 4GB von 18 GB RAM genutzt wurden.
Nach dem Thread auf Launchpad kommt der Patch angeblich erst am 20.02., zwischenzeitlich hilft wohl ein Downgrade auf Kernel v4.4.0-57.
Um sicherzugehen bleibt eigentlich nur das Neuaufsetzen, inkl. Änderung aller Passwörter & SSH Keys.
Fail2Ban schützt dich nur davor, dass jemand einen Brute Force Angriff auf den SSH Login durchführt. Wenn du ein schwaches Standardpasswort wählst oder der Angreifer über eine Schwachstelle auf dein System kommt, nützt dir das gar nichts.
Die Konfiguration muss ja nicht so sein, dass sich nur ein winziger Bruchteil von Besuchern noch verbinden kann (bspw. TLSv1.2-only).
Eher umgedreht. TLS 1.2 wird von dem Groß der Besucher bereits unterstützt. Aber anscheinend fürchten sich einige, die paar Prozent mit älteren Browsern (XP Clients, alte Androids) auszusperren. Verstehen kann ich das höchstens bei Webseiten die Gewinn erwirtschaften sollen, bei Projektseiten würde ich eher auf Sicherheit setzen.
Chrome - v30 supports TLS 1.2. Previous to this only up to TLS 1.1 was supported
Firefox - v27 enables TLS 1.1 and 1.2 by default
Internet Explorer - v11 supports TLS 1.2 from Feb 2013
Opera - v17 has added support for TLS 1.2. Versions 10-12 supported TLS 1.1 and 1.2 but disabled it by default, and versions 14-16 supported TLS 1.1 but not 1.2.
Safari - v5 on iOS and v7 on OS X have added support for up to TLS 1.2.
-----------
Alles Produkte aus 2013 oder älter. Die Verbreitung von TLS 1.2 wurde immer nur Serverseitig behindert, die meisten haben einfach nicht ihre Webserver Configs aktualisiert, bzw. auch bei neuen Webseiten immer wieder die gleichen alten Vorlagen genommen.
Für mich bedeutet ein Maximum an Kompatibilität, dass nicht ~6% aller deutschen Internetnutzer ausgesperrt werden. (Can I use... Support tables for HTML5, CSS3, etc) Darunter sind auch Browser, die moderne Websites noch ohne größere Probleme darstellen können.
Die 6% Internetnutzer sind vermutlich aber nur die Omas und Opas, die mit ihrem im Jahr 2000 gekauften Windows XP PC, der noch nie ein Security Update gesehen hat, eh nur im Internet E-Mails abholen und vielleicht noch auf die lokale Zeitung gehen.
Alle anderen sollten kein Problem mit der Intermediate Konfiguration von Mozilla haben.
Und selbst die Modern-Konfiguration sperrt nur die aus, die seit Jahren keine Security-Updates mehr einspielen und ausgelaufene, nicht mehr supportete Versionen vom Browser / Java / etc. einsetzen.
Modern unterstützt folgende Browser-Versionen und ihre Nachfolger (Mit Release Datum):
Firefox 27: 4.2.2014
Chrome 30: 1.10.2013
IE 11: 17.10.2013
Edge Alle Versionen
Opera 17 8.10.2013
Safari 9: 30.9.2015
Android 5.0: 25.6.2014
Java 8: 18.3.2014
IMHO:
Wer in den letzten 3 Jahren nicht einmal ein Windowsupdate ausgeführt hat oder die Auto-Updates seines Browsers verweigert, gehört auch aus dem Internet ausgesperrt.
Nebenbei, für Behörden gibt es einen TLS-Mindeststandard vom BSI der TLS 1.2 vorschreibt.
BSI - SSL/TLS-Protokoll
und die empfohlenen kryptographischen Protokolle
BSI - Technische Richtlinien des BSI - BSI TR-02102-2 "Kryptographische Verfahren: Verwendung von Transport Layer Security (TLS)"
Damit fallen eh schon fast alle Browser aus dem Intermediate/Old Block raus.
Was hindert dich daran einfach selbst mit den entsprechenden Tools die Let's Encrypt Zertifikate für deine Domain zu erzeugen? Anleitungen / Skripte / Tools gibt es wie Sand am Meer dazu.
Die LTE Flats gibt es schon länger, man brauchte bisher nur Großkunden-Rahmenverträge oder spezielle Verträge, auf den Webseiten gibt es die Tarife nicht.
Die Firmenhandys gibt es bei uns standardmäßig mit richtiger Telekom Datenflat, Standard ist 3G, aber wer mehr braucht bekommt ohne Probleme auch die LTE FLat.
Vor einem Jahr hat die Gewerkschaft hier bei uns hat für Mitglieder einen Rahmenvertrag mit Vodafone ausgehandelt. Da kann man sich die Vertragsleistungen einzeln zusammenbuchen. Neben dem Mobiltelefonvertrag (0,50 - 20 Eur) kostet die Datenoption zwischen 5 Eur (1GB) und 15EUR (Flat).
Anscheinend haben diese Art "Gewerkschaftsvertrag" auch andere Gewerkschaften / Verbände im Angebot. Ich habe gleiche Konditionen mal im Netz auch für Mitglieder des Deutschen Bundeswehrverbandes gefunden. Vodafone Mobile LTE Flat [ohne traffic Grenze!] für aktive oder ehemalige Bundeswehr Soldaten für 20€ pro Monat
