Posts by gunnarh

    Georg Deine Frage scheint mir DNS over TLS zu betreffen. Das ist ein Protokoll zwischen Stub-Resolver am Endgerät (Client, Webbrowser) zum interativ arbeitenden DNS-Resolver ("DNS-Server"). Da ein Stub-Resolver am Client aber gar kein DNSSec validiert (das erledigt der iterative Resolver am DNS-Server) sehe ich hier keinen Konex - also nein, wüsste nicht was da zusätzlich zu konfigurieren wäre.

    KB19 und tab haben zwar schon fast alles gesagt, aber je nach Interpretation der Ausgangsfrage gibt es denke ich auch andere Betrachtungen die man hierbei noch in Erwägung ziehen kann:


    Die bereits gegebenen Antworten zielen darauf ab, was ein Anbieter technisch tun könnte. Und ja, hier sind wir uns einig - bei Zugriff auf die physische Hardware ist es nur eine Frage des Aufwandes und der Zeit bis der Hoster zumindest Zugriff auf das laufende OS erhält. Denn selbst wenn dieses vollverschlüsselt mit Entschlüsselungs-Abfrage beim Systemstart läuft, so ist es mittels Evil-Maid-Angriff ja trotzdem möglich das benötigte Kennwort abzufangen (z.b. bei KVM-Virtualisierung indem die Eingaben über die virtuelle Konsole protokolliert werden könnten).


    Und wenn man Zugriff auf das OS hat, so ist jegliche Verschlüsselung die im OS-Kernel oder von Userspace-Prozessen am System durchgeführt werden als gebrochen zu betrachten, eine Auswertung eines Memory-Dumps/Snapshots genügt in der Regel - fertige Tools die Schlüssel aus dem Hauptspeicher extrahieren gibt es für die meisten Anwendungsfälle, sodass der technische Aufwand und Zeitaufwand hierfür überschaubar bleibt.


    Um dem Anbieter also die technische Möglichkeit zu nehmen auf Klartext-Daten zuzugreifen muss die Verschlüsselung schon erfolgen bevor die Daten auf den Server gelangen, also wenn am Server z.B. eine Owncloud läuft muss die Verschlüsselung der Files direkt auf den Clients (z.b. BoxCryptor etc...) erfolgen. Wenn der Server als Mailserver genutzt wird müssen Mails Ende-zu-Ende (PGP, SMIME, ...) auf den Mailclients verschlüsselt werden, ...


    Nun könnte man die Frage also zusammenfassend mit "Verschlüsselung am Server lohnt sich nicht, kann ohnehin gebrochen werden" für sich beantworten. Aber ich rege an das dennoch etwas differenzierter zu betrachten. Für zahlreiche Szenarien in denen einfach ein "Missgeschick" passiert oder zur Abwehr von "neugierigen Mitarbeitern beim Hoster" macht es nämlich durchaus einen Unterschied. Ich kann und möchte hier nicht den Anspruch erheben umfassend Beispiele aufzuzählen, aber auf ein, zwei Beispiele worauf ich hinaus möchte gehe ich kurz ein:


    Annahme: Dem Hoster passiert ein Missgeschick. Er sichert zwar vertraglich zu, dass das Rechenzentrum ISO27000-zertifiziert betrieben und Kundendaten sicher gelöscht werden bevor gebrauchte Hardware einem anderen Kunden zugeteilt oder gar ausgeschieden wird - aber wo Menschen arbeiten passieren Fehler. So könnte es also vorkommen, dass eine Disk (physisch) oder ein Disk-Image (virtuell, oder einfach Teile eines virtuellen Image) nicht sauber gelöscht an einen neuen Ziel-Kunden zugeteilt werden. In diesem Fall sind Klartext-Daten auf der Disk freilich der Worst-Case. Verschlüsselte Daten hingegen könnten in zahlreichen Fällen hier halbwegs wirksam verhindern, dass der neue Kunde bzw. der Käufer einer Gebraucht-Disk mit vertretbarem Aufwand an die Klartext-Daten herankommt.


    Annahme: Beim Hoster arbeitet ein Malicious-Mitarbeiter, z.b. ein Praktikant mit zu viel Freizeit und Neugierde: Auch gegen diesen sind Schutzmaßnahmen vielfach ausreichend wirksam. Man kann davon ausgehen, dass dieser sich z.B. zwar Zugriff auf eine (virtuelle) Disk verschaffen kann, aber vielleicht doch nicht ganz unauffällig ohne dabei den Kollegen aufzufallen einen Memory-Snapshop der Maschine erzeugen kann.


    Annahme: Es ist Container-Virtualisierung (z.B. LXC, openVZ o.ä.) im Einsatz. Hier kann der Anbieter ja völlig transparent einfach im laufenden Betrieb über alle Files des Kunden "drüber-greppen" und/oder auf seine Prozesse Einfluss nehmen. Diesen Usecase mit Verschlüsselung direkt im Container wirkungsvoll abzusichern halte ich zwar für besonders aussichtslos - aber auch hier ist Verschlüsselung besser als gar nichts, denn ein einfaches "grep" oder "copy" im Filesystem beschert auch dann noch keinen Klartext. Ein Minimum an (krimineller) Energie beim Root des Hosts ist auch dann erforderlich.

    Da wir hier im Smalltalk-Bereich sind, nun zum lustigen Abschluss noch ein altbekannter Netzwerktechniker-Witz:


    Preisfrage: Wie oft kann man in eine mit Laser bespielte Glasfaser schauen?

    Ich weiß, wir Linux-Server-Typen brauchen keinen Sound ... zumindest nicht mehr als einen Terminal-Beep.


    Aber falls ihr euch auch mal über euren verwaschenen und mit Hintergrund-Rauschen/Zirpen beaufschlagten Mainboard-Onboard-Sound ärgert: Nein, nicht eine USB-Soundkarte um 10 Euro kaufen - einfach statt dem Mainboard-Audio-Interface auf die Kopfhörerbuchse des über HDMI oder DisplayPort angeschlossenen Displays umstecken. Der Audio-Chip der dort für DisplayPort/HDMI zu Analog-Audio verbaut ist, ist (zumindest bei mir) um hörbare Welten besser als mein Onboard-Sound.

    Inwiefern ist wichtig, dass die lokalen Clients eine IP-Adresse aus dem NetCup-vLAN und noch dazu per DHCP erhalten? Warum können das nicht zwei getrennte IPv4-Netze sein?


    Ein Site2Site-VPN gestaltet man üblicherweise als Layer-3-VPN, ein Layer-2-bridging ist technisch aufwändig und bringt allerlei Probleme mit sich, Stichwort Proxy-ARP, DHCP-Helper etc... die ich mir nur antun würde, wenn das wirklich nötig ist.

    Beide Antworten sind halb-richtig ;)


    Spamassassin fügt jedenfalls wenn die Mail als SPAM getagged wird seinen Header hinzu.

    Mails die den "Tag-Level" NICHT erreichen bleiben gänzlich ungetagged.

    Es gibt also sehr wohl Mails mit Spamassassin-Header, die nicht als SPAM getagged sind.


    Der Wert um das zu ändern lautet "$sa_tag_level_deflt", wenn man den auf -9999 stellt erhalten alle Mails jedenfalls einen Header, unabhängig vom Score.

    Sorry to ask again: What is a "Windows License in my VMWare image"?


    If you mean you configured a Product-Key (e.g. a MAK-Key): You have to reactivate it on the new VM, even if the UUID is identical. This is because of different Hardware (CPU Change triggers need for ReActivation).


    I cannot see any advantage of configuring the same UUID in this Scenario. You would need to migrate the VM and keep the hardware-hash almost unchanged, but changing HyperVisor (VMWare to KVM) and CPU for sure triggers Reactivation.

    Quote

    SMBIOS UUID for Windows VM licensing

    May I ask you, what you like to achieve?

    You like to set a UUID of your choice - OK. But why? Don't you think netcup's generated UUIDs arent unique?

    If you think your Windows-License is tied to this Identifyer: Are you using IOT-Licenses, or what type of license is it you think is tied to the UUID?

    Ob das "nach einem RasPi Projekt schreit" hängt davon ab, was es derzeit schon vor Ort gibt.

    Da es das Ziel des Backups (eventuell ein NAS oder USB-Disk?) ja offenkundig schon geben dürfte braucht es vielleicht ja nicht einmal einen RasPi.


    Ganz grundsätzlich stelle ich mir aber die Frage, warum man dieses Vorhaben mit CloneZilla realisieren möchte. Wenn es um Backups geht würde ich eher auf eine vollständig (im Live-Betrieb) automatisierbare Lösung wie z.B. Veeam (auch als Free Edition ausreichend) setzen. Das beherrscht auch Bare-Metal-Restore (Windows und Linux) und sichert automatisiert im laufenden Betrieb zu konfigurierbaren Zeitplänen.

    Schließe mich der Meinung von H6G und KB19 an. Zusätzlich wäre es aber vielleicht interessant zu wissen, wo Du denn die Images ablegen wirst? Du schreibst, dass du diese nicht am vServer ablegst. Wenn Du sie auf lokalen Platten (z.B. USB) ablegst werfe ich die Frage in den Raum, warum Du davon nicht auch gleich bootest. Wenn du sie auf einem lokalen Server ablegst detto - warum nicht den als PXE-Server nutzen?

    Der Microsoft postfach-spezifische Spam-Filter erzeugt keine Rückweisung oder Black-Hole, sondern legt den Spam in den Junk-E-Mail Ordner.

    Wenn es Zustell-Probleme gibt, dann betreffen diese meiner Erfahrung nach die Mailserver-IP und sind postfach-unabhängig auch mit Test-Postfächern nachvollziehbar gewesen.


    Deine Einwände haben sicherlich ihre Berechtigung. Aber ohne periodisch eine Zustellung zu validieren wüsste ich auch keinen Mechanismus um dies zuverlässig zu prüfen. Die von Microsoft bereitgestellten Möglichkeiten (Link zu SNDS) um zu prüfen ob die eigene Mailserver-IP auf deren Blacklist steht lieferte mir seit Jahren noch nie einen Treffer, ist also wertlos.

    Meine 2ct zur Microsoft hotmail/live.de/outlook.com Mail-Problematik:


    Wenn der Microsoft-Server die Mails nicht annehmen oder dem Microsoft-Empfänger zustellen will, dann hilft nur ein Ticket hier einzuwerfen:

    http://go.microsoft.com/fwlink/?LinkID=614866


    Nach 1-3 Stunden kommt dann in der Regel eine automatisierte Antwort, und meist klappt es dann auch schon wieder. Wenn nicht nochmals auf die erhaltene Mail antworten, nach weiteren 1-3 Mails landet man dann bei einem tatsächlichen Menschen. Kostet freilich in Summe ein paar Stunden Zeit bis man wieder Mails an das Microsoft-Universum senden kann.


    Ich habe mir folgendes gebastelt, um das Auftreten einer solchen Situation automatisiert zu detektieren:


    1. ich besitze eine mein-microsoft-test-account@outlook.com Mail-Adresse. Dort habe ich auf https://outlook.com in diesem Postfach konfiguriert, dass eine eingehende Mail mit Subject "Mailserver-Testmail-*" an meine-am-netcup-server-gehostete-mailbox@hitco.at weitergeleitet und in Gelöschte Objekte verschoben werden soll.


    2. auf meinem Server sende ich per Cronjob mittels Script eine Mail an mein-microsoft-test-account@outlook.com und warte dann zwei Minuten lang, ob sie korrekt zu mir in die meine-am-netcup-server-gehostete-mailbox@hitco.at Mailbox geforwarded wird. Falls ja alles OK. Falls nein schlägt das Script alarm und ich kann mir das manuell ansehen was los ist (rejected oder geblackholed, lässt sich dann leicht prüfen und als Gegenmaßnahme ein Ticket einwerfen).