Posts by H6G

Ich nutze brain.exe - aber das gibt es bestimmt nicht im ELF64 Format.

Man nehme ein oder mehrere Basispassphrasen. Bei mir sind das generierte WPA Schlüssel.

Daran hängt man eins der folgenden Trennzeichen: $#!?"* etc.pp.

Daran hängt man eine Assoziation des Dienstes (Name des Dienstes, Firma des Dienstes, Teile der URL, Portnummer) + ggf. eine fortlaufende bzw. datumsgebundene Nummerierung.

Für besondere Dienste kann man noch die Groß/Kleinschreibung einzelner Buchstaben in der Basis ändern.

Damit erfüllt man jede Passwortkomplexitätsanforderung. (Doof nur, wenn deine Passphrase nur 10 Zeichen lang sein darf. *hust ING-DiBa hust*)

Somit hat man sehr leicht zu merkende, variable Passphrasen.

Die Kombination mehrerer Basispassphrasen ergibt dann stärkere Phrasen.

Für weniger kritische Anwendungen gibt es noch ein Kurzpasswort, was sehr schnell getippt ist.

Für Freunde und Bekannte gibt es dann noch das: kennt jeder in meinem Umfeld-Passwort; aber eben keiner außerhalb meines Umfeldes (das Passwort wird aber in meinem Freundeskreis sehr gehyped und ist quasi ein eigener Insider-Witz für sich.)

Quote from Hecke29

Hoffentlich fühlst du dich gut in der Rolle als moralisch überlegener Erleuchter.

Leute... - das muss doch jetzt nicht solche Züge annehmen.

Themenwechsel:

Einige hatten sich hier vor der Generation 8 auf Hostsysteme mit AMD Epyc CPUs gefreut. Jetzt habe ich durch Vergleichstest KVM auf AMD FX / Ryzen vs. KVM auf Intel Core i herausgefunden, dass AMD einige Geschwindigkeitsdefizite bei der Virtualisierung hat. Insbesondere IOMMU und Single Core Performance kann Intel eindeutig besser.

Wie sieht das bei den Server CPUs von AMD aus. Rückblickend betrachtet, hätte Netcup sich mit AMD Epyc keinen Gefallen getan, auch wenn zu dem Zeitpunkt gerade die Spectre / Meltdown Sicherheitslücken heiß diskutiert wurden und vor allem Intels Image darunter litt.

Quote from mainziman

H6G in welchem Kontext sollte man "zu wenig Einnahmen" verstehen?

daß die NSA f. das Abgreifen von irgendwas jemals etwas bezahlt hätte halte ich f. ein Gerücht ...

Ich halte es für unplausibel, dass hinter der Firma eine US-Behörde steckt - das mache ich daran fest, wie viele Einnahmen diese Firma hat.

Dahinter stecken ¬= Abgreifen

Quote from LinksZwoDreiVier

Weil das Zertifikat physisch auf der Kiste liegen muss, auf die das Zertifikat zeigt?

Ja, das Zertifikat sollte auf der Kiste liegen, die den Shop ausliefert. Zusätzlich muss der Webserver, der den Shop ausliefert, das Zertifikat einbinden.

Aus Sicherheitsgründen verwaltet immer der Hoster das Zertifikat (der private Schlüssel sollte also nicht frei verfügbar sein).

Deswegen bist du darauf angewiesen, dass du bei deinem jetzigen Hoster Zertifikate einbinden kannst, oder eine LE Integration hast. Bitte überprüfe das auf deiner Verwaltungsoberfläche des Hosters.

mainziman zu wenig Einnahmen. Nur $90.000 pA

Alles ja, bis auf TLS / SSL.

Wenn du bei deinem jetzigen Provider TLS Zertifikate hinterlegen kannst, kannst du Let's Encrypt (LE) über die DNS Verifikation nutzen.

Allerdings musst du den ganzen Prozess alle drei Monate manuell erledigen, sofern dein jetziger Provider über keine LE Integration verfügt.

====

oder:

Im Netcup Webhosting ist ein Nginx Proxy erhalten - ich weiß nicht, ob du damit auf eine andere Website (z.B. extshop.domain.shop) einen Proxy schalten kannst. Wenn doch hast du TLS, aber nur die Mogelpackung (von Netcup zu deinem Hoster geht es dann nämlich unverschlüsselt weiter - und das ist nicht Sinn und Zweck der Sache)

Quote from vmk

Immer wieder nützlich, wenn jemand einem den SSH-Port geändert, man selbst diesen vergessen hat, aber zumindest noch einen FQDN weiß: http://blog.shodan.io/hiding-in-plain-sight/.

Da sieht man schön viele Non-Priveleged Ports. Sehr gut um nach Passwörtern zu geiern.

Die 2222 nutze ich für mein git-ssh.

(Siehe Artikel Signatur: wer ist dieser Austin und warum sendet er die ganze Zeit?)

Quote from perryflynn

Wenn man ohne Bridges auskommt ist dies allerdings kein Problem.

Das WLAN und eth1 sind gebridged als br-lan. WLAN und LAN könnte man sicherlich auch in einander routen.

VLANs identifizieren sich als Subinterface von eth0 (also eigentlich WAN). LuCI bietet mir dabei keine Trunks.

Die Ports selber identifizieren sich als CPU (for PHY-LAN), Port 1 - 4 (PHY-LAN), CPU PHY-WAN, Port PHY-WAN. Das VLAN 1 auf dem Router tritt also sowohl als eth0.1 als auch als eth1 auf.

Quote from perryflynn

Was spricht dagegen auf den vorhandenen Ethernet Port einfach VLANs zu konfigurieren? Selbst Windows kommt mit VLANs klar.

Mein Rechner ist an meinem Router angeschlossen (OpenWRT 15.05) und die VLANs manage ich über meinen Switch.

Somit müsste ich zwischen Switch und Router einen Trunk einrichten und einen weiteren (bzw. beide VLANs in Ri. Rechner taggen) zwischen Router & Rechner.

Der Router hatte aber in der Vergangenheit so seine Probleme mit VLANs.

Außerdem kann man ein Kabel schneller in ein anderes VLAN patchen, als den Port am Switch umzukonfigurieren.

Quote from CmdrXay

Es ist der Aukey USB 3.0 6-Port (+1 Ladeport) + Gigabit Ethernet

Sieht sehr gut aus, danke.

Kann jemand eine brauchbare USB Netzwerkkarte empfehlen? 100BaseT reichen vollkommen aus.

Ich müsste meinen Rechner mal in ein zweites VLAN befördern. PCIe ist nichts mehr frei (wie auch bei mini ITX Boards?)

^{Firewall Knoppix Daemon}

Sieht sehr interessant aus.

Quote from vmk

@H6G, du meinst eine simple 2FA? Dann kann ich doch auch gleich ein TOTP nehmen. Das ist dann wenigstens auch noch zeitlich begrenzt.

Ist IMHO kein zweiter Faktor. Nur eine authentifizierte Firewallfreigabe - im Idealfall mit den gleichen Zugangsdaten wie pam_unix.

TOTP Token sind schwer über eine zentrale Nutzerverwaltung auszurollen.

Was natürlich cooler ist als Port Knocking: nach erfolgreichem Login auf einem Web Portal wird für die Quell-IP der SSHD Port freigeschaltet.

Quote from Hecke29

Ich hab mal in einem Auto eine Mechanik verbaut gesehen, dass man erst den Fensterheber betätigen muss, bevor man das Auto anschalten kann. Ich könnte mir vorstellen, dass das auch "Alltagsdiebstähle" abhält.

München, Winter 2015?, -10°C Außentemp, Benziner (Heizung funktioniert via Kühlwasser - Auto wird also mit -10°C beheizt).

KFZ stand länger auf dem Parkplatz, auf der Frontscheibe 5cm dickes Eis.

Wenn das Fenster nicht aufgeht, geht mein Motor nicht an? - na gut, dann wird er zumindest nicht geklaut...

Quote from force73

Bis heute Morgen, da ging das Spiel erneut los. Eine Antwort auf das Ticket gibt seit etwa 10 Uhr nicht, die Abuse-Meldung ist weiterhin offen, der Server allerdings auch erreichbar.

Ich empfehle dir, das Ticket einmal eine Ebene höher oder zum Geschäftsführer [netcup] Felix P. zu eskalieren.

Evtl. auch einmal den Telefonkontakt mit ihm suchen.

Quote from RHA

Habe ich das richtig verstanden?

Genau

Quote from RHA

Leider wird mit dem neuen Installer mehr installiert (ich möchte aber minimal haben)

Vielleicht der ideale Zeitpunkt die Distribution zu wechseln. Debian Propaganda gefällig? Genau aus dem Grund habe ich nach Ubuntu 14.04 zu Debian umgesiedelt.

Ich würde mkfs.ext4 noch um -E lazy_itable_init=0,lazy_journal_init=0 -O ^64bit erweitern.

Eine Limitierung für 64 Bit ist für den Bootloader sinnvoll - außerdem beschränkt es die FS Größe auf 15 TiB - für ext4 FS sind auch nur 16 TiB empfohlen. Ist aber kein Muss die 64 Bit Negation.

Quote from extremmichi

Es war in der Tat ein Child-Prozess und zwar lasse ich mir über rc.local beim SSH-Login eine Nachricht aufs Handy schicke durch Telegram

Das a hab ich nun abgeschaltet und der Server startet wieder durch.

Danke H6G

Quote from extremmichi

@ Hecke29 muss ich mal schauen wie das geht ,vielleicht greife ich auch einfach wieder auf das gute alte mail zurück

Wenn du kein systemd nutzt, kannst du für deinen Daemon ja auch ein init Script schreiben. Natürlich kannst du auch einfach den Aufruf durch z.B. /bin/start-stop-daemon o.Ä. kapseln.

Eine weitere interessante Möglichkeit: du forkst deinen Daemon in rc.local in dem du in den Aufruf ein & anhängst. So kann rc.local mit Fehlercode 0 an den Kernel zurück geben. Allerdings müsste dein Programm dann SIGHUP? abfangen.