Daniels blogg

29 Jan/12 0

Online via UMTS surfe stokk med Debian med wvdial og O2 Mobile Flat

Siden min nye DSL-tilkoblingen er aktivert bare i noen uker, jeg Alice i "Quick Start" er valgt. Ble slått her får du et SIM-kort, som du kan surfe gratis i 3 måneder, som en midlertidig inntil ADSL.

Selvfølgelig jeg ikke gjøre Internett-tilkobling fra en klient, men som vanlig på min hjemme-server, som fungerer for hele hjemmenettverk som en ruter.

De største problemene jeg hadde med Alice hotline. SIM-kortet kom med en kort guide til hvordan du aktiverer den gjennom Alice portalen. Dessverre verken nettstedet i Firefox, Chrome eller Opera fungerer. Jeg er ikke avanserte til aktivering av SIM-kortet.

Så, dessverre, samtaler til hotline 01 805. Veldig irriterende for 42ct./Min.

Om Hotline Akivierung av kartet ble gjort raskt, heldigvis, jeg var der først, dessverre, ikke kunne kalle APN nødvendig for konfigurasjon av wvdial. Jeg ønsket å sørge for at jeg hadde noen frykt for skyhøye regninger på feil konfigurasjon av verdien. Her kan teknikken hjelpe meg å lykke. For Alice / O2 Quick Start Mobile Internet APN er flat, ifølge Hotline "internet.partner1". Når du tilordner navnet var trolig ingen som er involvert i markedsføringen

Som et neste skritt, jeg har satt inn SIM-kortet i en mobiltelefon å vente på aktivisering og de klar over det. Det gikk ganske fort, etter ca 30 minutter, min SIM var allerede aktiv og logger deg på nettverket. Utrolig raskt, ettersom aktiveringen av Alice i utgangspunktet forfremmet til O2. Å tvinge telefonen til nye einzubuchen inn i nettet, kan det være av og på igjen. Jeg har nå med telefonen fortsatt deaktiverer SIM PIN-kode fordi jeg hadde litt tid siden allerede dårlige problemer med wvdial og en PIN-kode.

Resten fungerte utrolig bra.

Jeg har den SIM i mitt Huawei Surf Drive (T-Mobile Surf Stick III)

 Bus 001 Device 004: ID 12D1: 1003 Huawei Technologies Co Ltd.  E220 HSDPA Modem / E270 HSDPA / HSUPA Modem

blitt satt inn. Etter å plugge inn en USB-port med en ny kjerne Debian gir enheten / dev/ttyUSB0 tilgjengelig.

Dette kan appellere til deg med wvdial

 # / Etc / wvdial.conf [Dialer Defaults] = ATZ Init1 Init2 = ATQ0 V1 E1 S0 = 0 & C1 & D2 + FCLASS = 0 Init3 = AT + CGDCONT = 1, "IP", "internet.partner1" Phone = * 99 * ** 1 # Password = blank Brukernavn = blank Nytt pppd = yes Modem = / dev/ttyUSB0 Baud = 460800 Modem Type = Analog Modem Auto Koble = på

Deretter kan man være med "wvdial" tilkoblingen er opprettet:

 gbn-rot-00: 19:27 ~ -> wvdial
 -> WvDial: Internet dialer version 1.60
 -> Kan ikke få opplysninger for seriell port
 -> Initialiserer modem.
 -> Sender: ATZ
 ATZ
 OK
 -> Sender: ATQ0 V1 E1 S0 = 0 & C1 & D2 + FCLASS = 0
 ATQ0 V1 E1 S0 = 0 & C1 & D2 + FCLASS = 0
 OK
 -> Sender: AT + CGDCONT = 1, "IP", "internet.partner1"
 AT + CGDCONT = 1, "IP", "internet.partner1"
 OK
 -> Modem initialisert.
 -> Sender: ATDT * 99 *** 1 #
 -> Venter på carrier.
 ATDT * 99 *** 1 #
 CONNECT
 -> Carrier oppdaget.  Venter på spørsmål.
 -> Vet ikke hva jeg skal gjøre!  Starte pppd og håper på det beste.
 -> Starte pppd hos Sun 29 januar 2012 00:19:58
 -> Pid av pppd: 3749
 -> Bruke interface ppp0
 -> Pppd: ȧ
 -> Pppd: ȧ
 -> Pppd: ȧ
 -> Pppd: ȧ
 -> Pppd: ȧ
 -> Pppd: ȧ
 -> Lokale IP-adressen 10.43.145.228
 -> Pppd: ȧ
 -> Ekstern IP-adresse 10.64.64.64
 -> Pppd: ȧ
 -> Primær DNS adresse 193 189 244 225
 -> Pppd: ȧ
 -> Sekundær DNS adresse 193 189 244 206
 -> Pppd: ȧ

Etter dette er over luften grensesnitt til Internet Device ppp0 tilgjengelig som du nå kan bruke for ruting og brannmur regler.

Nedstrøms er i sentrum av Düsseldorf helt fint, kan oppstrøms være ønsket, men VELDIG:

 Nedlastingshastighet: 2082 kbit / s (260 kByte / s)
 Opplastingshastighet: 71 kbit / s (9 kB / s)

Men ... Ikke se en gave hest i munnen. Jeg vil betale for denne forestillingen, imidlertid.

Supplement

Dessverre er forbindelsen ikke er stabil. Etter mindre enn en time, ikke mer data til å flyte over ppp0, får wvdial dem dessverre med ingenting og synes forbindelsen er fortsatt aktiv, velg en som ikke selv er i kontinuerlig. Å feilsøke dette problemet var for komplisert, fordi denne løsningen i alle tilfeller bare noen få uker før kretsen har å arbeide DSLers. Følgende lille skript som sjekker om tilkoblingen er fortsatt gyldig. Hvis ikke, start wvdial drept og nytt.

 # / Bin / bash

 www.google.de ping-c1> / dev / null

 hvis [$?  -Ne 0];
         deretter
         killall wvdial
         echo `date`>> / var / log / connection_lost.log
         wvdial &
 fi

Jeg kaller dette skriptet automatisk via en cron jobb og nå er jeg alltid på:

 # / Etc / crontab

 # RINGTE crappy O2 linje
 * * * * * Root / root / scripts / redial_ppp

Fallgruvene:

SIM PIN-beskyttelse ikke er deaktivert
Forbindelsen via mobiltelefon leverandøren er dessverre geNATtet. Den private server er ikke direkte tilgjengelig fra utsiden. Server-tjenester kan tilbys bare med vanskelighet.

Filed under: Dette og at ingen kommentarer

Dez/11 5 0

5 plugins for mer privatliv mens du surfer med Firefox

For å beskytte sitt eget personvern på Internett blir stadig vanskeligere. Verken bransjen eller ha policy interesse i å beskytte personvernet til Internett-bruk. For noen år siden var det nok ennå, ingensteds hans virkelige navn og andre personlige data som fødselsdato eller bankkontonummer tilsi. I dag på nesten hvert nettsted usynlig i bakgrunnen innsamling av data - og ikke bare av operatøren av nettstedet selv, men også av mange andre kommersielle leverandører. Ved å sende data til en tredjepart selv har noen fordel. Du mister også SO Country ubemerket med tiden kontroll over egne data og sofistikerte profiler av forbruk vaner, interesser, liker og misliker i ukontrollerbar databaser. Den sellout av personligheten er i full sving og hjelper bare litt personlig hygiene opplysninger for å møte nye trusler.

Er det vandret gjennom åpningen av Facebook klare navn i nettet, er evnen til å koble med surfevaner på ikke mer egnet person til å være en teoretisk mulighet, men er helautomatisk og kontinuerlig.

I denne artikkelen vil jeg liste noen måter å beskytte deres privatliv på nettet. Dessverre, nesten alle tiltak krever en grad av personlig initiativ og litt trening. Ofte mister du (minst utgangspunktet) litt trøst når du surfer. Likevel, bruk av tipsene i det lange løp være svært nyttig.

Men først litt Experiement. For den lille test har jeg startet en nåværende Firefox nettleser i standardkonfigurasjonen, slettet alle cookies og deretter surfet seks sider, og Spiegel.de, Bild.de, GMX.de, Twitter, Facebook og et porno nettsted. Resultatet er 21 nye permanent cookie på din datamaskin.

Selv etter å kalle dette noen sider, er leseren helt avlyttet med 3. parts cookies. Disse informasjonskapslene identifiserer nettleseren min installasjon nå mot opphavsretten og kan leses fra dem igjen. Utgangspunktet, kan dette også skje på deres egne sider. Men på tredjeparts nettsteder, som samarbeider med.

Så Google cookie er lest, for eksempel på hver side som bruker Google Analytics, Google annonsering på, integrerer Google Maps eller bruke en av de mange andre Complimetary Google-tjenester for webansvarlige. Dette gir Google søker ikke bare en historie om min Google, men det tar gjelder også for mange andre nettsteder som jeg besøker henne.

Tilsvarende kjører med cookies fra andre leverandører. Reklamebyråer, markedsundersøkelser firmaer, markedsføring selskaper og spammere prøver hele tiden å sette informasjonskapsler i nettleseren din, og på partnernettsteder å lese igjen, for å lære mer om meg.

Dette gjøres enten gjennom små unsichbare filer på nettstedet ("Web beacons", "tracking image") eller Java-skript som er installert på partnere.

Et første skritt for mer privatliv, det er også tracking cookie, sporingsbilder og sporing JavaScript for å bekjempe flom.

Tips 1 - Med en lokal vert fil fleste av speiderne stengt helt ut.

Som en grunnleggende immunisering mot pest hjelper en lokal vert fil. I alle moderne operativsystem i host-filen, en liste av domenenavn med tilhørende IP
deponeres. Det første systemet benytter lokale verten filen for å slå opp adresser på internett, bare da en DNS-server på Internett. Plotting i Host filen dermed adressene skadelig domener som du vil sette tracking cookie og videresender forespørsler til disse nettstedene til lokalt, kan leseren ikke oppnå disse ondsinnede sider.

Så du allerede har løst en stor del av problemet. Kan være vert for en meget godt vedlikeholdt fil som inneholder tusenvis av sporing domener finner den her: http://winhelp2002.mvps.org/hosts.txt Under Linux det bare sparer deg fra / etc / hosts-filen på den lokale maskinen for å aktivere den .

  # / Bin / bash
 wget-O / tmp / tracking.txt http://winhelp2002.mvps.org/hosts.txt
 mv / etc / hosts / etc / hosts.backup
 mv / tmp / tracking.txt / etc / hosts

Det driver sin egen DNS-server på LAN , kan du konfigurere den slik at den bruker host filen og automatisk fri hele LAN sentrum.

Tips 2: Google er bare det aller nødvendigste kommunisere med GoogleSharing

Google Tracker # 1 er på Internett og spilt inn i en rundkjøring måte nå på nesten hver side besøkt personlig identifiserende informasjon, kan dette spores og knyttes til sin egen Google-søk ved personlig identifikasjon bruke GMail, Google + eller andre tilpassede tjenester til sin egen person. Derimot hjelper Decline of Google cookies, og det interessante Firefox plugin GoogleSharing. Den plugin anonymisert all kontakt Google ved å opprette tilfeldig konstant identiteter, som er delt med alle andre brukere av plugin. Google kan bruke til å identifisere individuelle brukere av plugin er ikke lenger i denne anonyme massen tilfeldighet.

Den plugin fungerer helautomatisk og reduserer ytelsen til Google bare irrelevant.
GoogleSharing det direkte i Firefox under Verktøy / addons eller fra denne nettsiden: https://addons.mozilla.org/en-US/firefox/addon/googlesharing/

Tips 3: Full kontroll over cookies med Cookie Monster

Cookies er ikke bare der for sporing. Mange nettsteder bruker dem for helt legitime funksjoner, for eksempel loggen ledelsen eller lagre brukerens preferanser. Derfor er det fornuftig å først forby gang alle informasjonskapsler generelt og deretter trinnvis manuelt for å tillate informasjonskapsler som du faktisk trenger for sider du bruker ofte aktiv. Dette er med Firefox-board betyr mulig, men dessverre ganske tungvint. Det er der gratis plugin "Cookie Monster". Det ligger etter installasjonen i systemstatusfeltet, og gir rask tilgang til innstillingene for informasjonskapsler for den åpne siden. Cookie Monster gjør for å konfigurere utgangspunktet litt arbeid, siden mange nettsteder ikke fungerer uten informasjonskapsler egentlig, men etter kort tid å få best mulig grad av personlig hygiene cookie. Cookie Monster er her: https://addons.mozilla.org/de/firefox/addon/cookie-monster/

Tips 4: sporing javascripts, iframes og Flash filmer med NoScript forbud

De fleste cookies er satt av JavaScript. Fordi så mange nettsteder er ubrukelige når komplett deaktivering JavaScript, må du foreta et valg her, dessverre, akkurat som cookies. Sporing kan også gjøres via iframes og Flash filmer, hjelper også NoScript.

Her er samme tilnærming: Først forby all scripts gang helt og deretter litt etter litt tillate nødvendig skript. Det hjelper Firefox NoScript plugin, som ligner på cookie monster fra systemstatusfeltet og gir tilgang fra tillate eller ikke tillate Javascript per side besøkt. Selv her er det mye stress i begynnelsen, fungerer nesten ingenting lenger. Innen du har plugin, men så godt tilpasset deres personlige behov, at det neppe hindret. Som en hyggelig bivirkning mange sider lastes mye raskere fordi de ikke trenger å laste siden på nytt samtidig bygge en rekke eksterne data fra tredjeparter.

Tips 5: IP-adresse anonymt med TOR Button

Ved forrige tips jeg har nå slått ut minst én gang før 99,9% av 3. parts trackere. Jeg går å få nettsteder, men fortsatt med hvem jeg er og kan spore min IP-adresse. Dette hjelper TOR-nettverk, der du kan surfe anonymt. Dette ligner på Prizip GoogleSharing. Sin egen IP-adresse er tapt i en stor pool av adresser og andre spor er ikke lenger på sin egen tilkobling.

TOR er dessverre ganske treg, og derfor ikke egnet for daglig bruk. Men det kan tidvis være svært nyttig. TOR er en plugin for å integrere svært enkelt og raskt i Firefox og på. Mer informasjon og nedlastinger er her: https://www.torproject.org/torbutton/

Tips 6: Fjern reklame med AdBlock Plus

Alle bannere, har ikke blitt vedtatt av den forrige tips allerede, kan du fjerne den med AdBlock Plus. Dette programtillegget bruker en liste over servere av annonsører og blokkerer tilgang til sine servere. Firefox kan ikke laste ned reklame bannere og flere filmer, og tilsvarende stillinger forbli tomt på nettsteder. Den plugin fungerer helautomatisk, og fanget en masse reklame før det når nettleseren. Reklame som AdBlock ikke automatisk blokkene kan merkes manuelt, slik at AdBlock kan blokkere det og kjenne det igjen. Adblock den her: https://addons.mozilla.org/de/firefox/addon/adblock-plus

Tags: surfing personvern personvern firefox plugins AdBlock noscript CookieMonster tor no comments

Dez/11 1 1

Online påmelding informasjon i Dusseldorf gjør dårlig inntrykk

Jeg var ikke helt klart hva personopplysninger kan passere registreringen kontoret til hvem. Jeg er ute etter noen undersøkelser på denne handlingen presset piratene som kaller til å motsette seg utlevering av egne data ved registreringen kontoret. Mange registrering kontorer gi data som nå alle! Pays. Dette kan bare unngås ved en selvmotsigelse.

Data fra registrering kontoret vil bli videresendt til:

 Statlige myndigheter, i tilfelle legitim interesse i sammenheng med assistanse

F.eks politi, påtalemyndigheter, statistiske kontorer, etc.

 Den GEZ

Brødrene, vi allerede vet altfor godt.

 Partene, velgergrupper og andre kilder til nominasjoner
 Knyttet til parlamentariske og lokalvalg, § 35 para.1 MG NRW

For å få ganske glossy kampanje reklame.

 til fordringshavere og fester i forbindelse med søknader og
 Folkeavstemninger med innbyggere og beslutningsprosesser; § 35 para.2 MG NRW

For å oppnå høy glans vil hjelpe deg å få hyppige folkeavstemninger.

 i veien for automatisert søking på Internett; § 34 Abs.1b MG NRW

Det er det punktet at jeg ikke tidligere var kjent. Kan ha en Internett-portal
noen som vet noen kjennetegn ved en person automatisk over Internett
Innhente opplysninger rapportering. Spørringen Kostnadene dag € 4 per rekord i Düsseldorf.

Den Registration Act NRW sier på dette punkt:



 § 34 Abs.1b MG NRW
 (1b) Hvis samtalen bli gjort mulig gjennom internett, sørge for at søknadsprosedyrer og formidling av informasjonen gjennomført i kryptert form.  Åpningen av tilgangen bør være offentlig kjent.  En samtale er ikke tillatt dersom den enkelte har innvendinger mot denne formen for informasjonsutveksling.  Registreringen myndighet til å merke seg senest én måned før åpningen av Internett-tilgang ved offentlig kunngjøring om retten til objektet.  Videre gjelder § 35 nr. 6, setning 2.

Klage overføring av data er mulig ved å fylle ut et skjema. Düsseldorf for dette er her: https://formulare.duesseldorf.de/forms/frm/7PRPfAZH5gQA8Ja8AkNGaH1rNpDcHR3 Dette gebyret kan settes ut i offentlige kontorer. Så ingen online tilgang er tilgjengelig på sine egne data mer. Angivelig, det dataforespørsler av de respektive regionale byer og fylker organisert.

Da jeg spurte (veldig vennlige) kontorist på kontoret til borgerne, kunne
Jeg var ikke lei å fortelle nettadressen til den spørringen portal. Et raskt søk førte meg da, men raskt på denne siden av byen Düsseldorf:

https://www.duesseldorf.de/emra/emra.jsp?stadt=D% FCsseldorf & type = city

Portalen var teknisk svært tvilsom for å si det mildt inntrykk.
Først av alt, det synes ikke captcha eller lignende å gi. En bakken spørring synes å være mulig med passende skript.

I tillegg webapplikasjon godkjent med følgende spørring i min test Tomcat feilmelding fordi jeg ikke hadde aktivert informasjonskapsler:

Jeg leste dette, men da i økende tvil om profesjonaliteten til et program som gir tilgang til data for alle borgere i byen tilbyr. Et skript bør ikke krasje hvis forholdene ikke finnes på brukerens maskin (i dette tilfellet min mangler cookie). Script feilmeldinger fra webservere som ikke er i produktiv bruk for å deaktivere er uaktsom fordi det kan avsløre mye om systemet miljøet brukes. Spesielt når en jsp (som i skjermbildet ovenfor), avhengig av konfigurasjon av server og også kommentarer fra programmerer for å få Quelltextschnippsel. Dette var slurvete. På et grensesnitt til personopplysninger skal ikke skje.

La meg sette opp og bruke Tomcat versjon, som også vises i feilmeldingen nedenfor. (Apache Tomcat/6.0.24) Dette er en eldre versjon av webserveren 21.01.2010. Den gjeldende versjonen er 6.0.33. Serveren har fire registre lange versjoner er ikke oppdatert. Hvis du ser på sikkerhetsproblemene som ble behandlet i denne endelige versjonen, det blir ubehagelig. Serveren er åpenbart ikke i best stand:

http://tomcat.apache.org/security-6.html Fikset i Apache Tomcat 6.0.33 sluppet 18 august 2011 Moderat: flere svakheter i HTTP DIGEST autentisering CVE-2011-1184 Gjennomføringen av HTTP DIGEST autentisering ble oppdaget å ha flere svakheter: replay angrep ble tillatt server nonces ble ikke sjekket klient nonce teller ikke ble sjekket qop verdiene ble ikke sjekket rike verdiene ble ikke sjekket serveren hemmeligheten var hardkodet til en kjent streng Resultatet av disse svakhetene er at bare det DIGEST autentisering sikker som BASIC godkjenning. Dette ble fikset i revisjon 1158180th Dette ble identifisert av Tomcat sikkerheten teamet 16. mars 2011 og offentliggjort 26. september 2011. Påvirker: 6.0.0-6.0.32 lav: avsløring av informasjon CVE-2011-2204 Ved bruk av minne brukeren database (basert på Tomcat-users.xml) og opprette brukere via JMX, et unntak under brukeren prosessen kan utløse en feilmelding i Den JMX klienten som inkluderer brukerens passord. Denne feilmeldingen blir deretter skrevet til Tomcat loggene. Brukerpassord er synlige for administratorer med JMX tilgang og / eller administratorer med lesetilgang til Tomcat-users.xml fil. Ikke at disse brukerne har rettighetene, men er i stand til å lese loggfiler kan være i stand til å oppdage en brukers passord. Dette ble fikset i revisjon 1.140.071 th Dette ble identifisert av Polina Genova 14. juni 2011 og offentliggjort 27. juni 2011th Påvirker: 6.0.0-6.0.32 lav: avsløring av informasjon CVE-2011-2526 Tomcat gir støtte for sending av fil med HTTP og NIO HTTP kontakter i april. sendfile brukes for innhold automatisk servert via DefaultServlet og distribueres programmer kan bruke det direkte via web innstillingen forespørsel attributter. Disse egenskapene ble ikke validert forespørsel. Når du kjører under en sikkerhetssjef, tillot denne mangelen på validering en ondsinnet web-applikasjon for å gjøre ett eller flere av følgende som normalt ville bli forhindret av en sikkerhetssjef: tilbake filer til brukerne at sikkerheten manager bør gjøre utilgjengelige opphøre (via en krasj ) JVM tillegg disse sikkerhetsproblemene bare oppstå når alle følgende er oppfylt: upålitelige web-applikasjoner blir brukt Security Manager brukes til å begrense ikke-klarerte webapplikasjoner HTTP NIO eller HTTP april kontakten brukes sendfile er aktivert for kontakten (dette er standard) Dette ble fikset i revisjon 1146703rd Dette ble identifisert av Tomcat sikkerheten teamet 7. juli 2011 og offentliggjort 13. juli 2011th Påvirker: 6.0.0-6.0.32 Viktig: Informasjon offentliggjøring CVE-2011-2729 grunn av en bug i koden evner, jsvc (tjenesten wrapper for Linux som er en del av Commons Daemon prosjektet) faller ikke evner å la søknaden tilgang til filer og kataloger eies av superbruker. Dette sikkerhetsproblemet oppstår bare når alle av de følgende er oppfylt: Tomcat kjører på et Linux-operativsystem kompilert med libcap hva jsvc-bruker Tomcat parameteren brukes Berørte versjoner levert med kildefiler for jsvc som inkluderte dette sikkerhetsproblemet. Dette ble fikset i revisjon 1153824th Dette ble identifisert av Wilfried Weissmann 20. juli 2011 og offentliggjort 12. august 2011. Påvirker: 6.0.30-6.0.32 Fikset i Apache Tomcat 6.0.32 sluppet den 3 februar 2011 Merk: Saken under var fast i Apache Tomcat 6.0.31 utgivelsen, men det stemmer for 6.0.31 utgivelsen kandidat ikke bestått. Derfor, selv om brukere må laste ned 6.0.32 å få en versjon som inkluderer en fix for dette problemet, er versjon 6.0.31 ikke inkludert i listen over berørte versjoner. Viktig: ekstern tjenestenekt CVE-2011-0534 Den NIO kontakten utvider sin serie buffer uendelige under forespørsel prosessering. At atferd kan brukes til en denial of service angrep med en nøye utformet forespørsel. Dette ble fikset i revisjon 1066313th Dette ble identifisert av Tomcat sikkerheten laget den 27. januar 2011 og offentliggjort på 5 februar 2011. Påvirker: 6.0.0-6.0.30 Fikset i Apache Tomcat 6.0.30 sluppet 13 januar 2011 Low: Cross-site scripting CVE-2011-0013 HTML manager webapplikasjon grensesnittet levert data vises, som viser navn, uten filtrering. En ondsinnet web-applikasjon kan utløse skriptkjøring av en administrativ bruker når du ser på manageren sidene. Dette ble fikset i revisjon 1057270th Dette ble identifisert av Tomcat sikkerheten teamet 12. november 2010, og offentliggjort den 5 februar 2011. Påvirker: 6.0.0-6.0.29 Moderat: Cross-site scripting CVE-2010-4172 Den Manager brukes og brukeren gis slags OrderBy parametre direkte uten filtrering Dermed tillater cross-site scripting. Dette ble fikset i revisjon 1037779th Dette ble først rapportert til Tomcat sikkerheten teamet 15. november 2010, og offentliggjort den 22. Nov, 2010. Påvirker: 6.0.12-6.0.29 Lav: SecurityManager file tillatelse bypass CVE 2010-3718 Når du kjører under en sikkerhetssjef, er tilgang til filsystemet begrenset, men webapplikasjoner blir gitt lese / skrive-tillatelser til arbeid katalogen. Denne katalogen brukes til en rekke midlertidige filer som mellomliggende filer generert når kompilering JSPer til servlets. Plasseringen av arbeidet katalogen er angitt av en ServletContect attributt som er ment å være skrivebeskyttet til webapplikasjoner. Men på grunn av en kodefeil, var skrivebeskyttet innstillingen brukt ikke. Derfor kan en ondsinnet web applikasjon endre attributtet før Tomcat Gjelder filtillatelsene. Dette kan brukes til å gi lese / skrive rettigheter til et område på filsystemet som en ondsinnet web-applikasjon kan da dra nytte av. Dette sikkerhetsproblemet kan bare brukes når hosting web-applikasjoner fra ikke-klarerte kilder som delte hosting miljøer. Dette ble fikset i revisjon 1022560th Dette ble oppdaget av Tomcat sikkerheten teamet 12. mai 2010 og offentliggjort på 5 februar 2011. Påvirker: 6.0.0-6.0.29 Fikset i Apache Tomcat 6.0.28 sluppet den 9 juli 2010 Viktig: Remote Denial Of Service og tilgjengeliggjøring av informasjon CVE-2010-2227 Flere feil i håndteringen av "Transfer-Encoding 'header ble funnet forhindret at resirkulering av en buffer. En ekstern angriper kan utløse denne feilen Hvilken ville føre til senere forespørsler til å mislykkes og / eller å lekke informasjon mellom forespørsler. Denne feilen er dempet hvis Tomcat er bak en reverse proxy (som Apache httpd 2.2) som proxy skal avvise ugyldig overføringen koding header. Dette ble fikset i revisjon 958977 th Dette ble først rapportert til Tomcat sikkerheten teamet 14. juni 2010 og offentliggjort den 9 juli 2010. Påvirker: 6.0.0-6.0.27 NB: Saken under var fast i Apache Tomcat 6.0.27 utgivelsen, men det stemmer for 6.0.27 utgivelsen kandidat ikke bestått. Derfor, selv om brukere må laste ned 6.0.28 å få en versjon som inkluderer en fix for dette problemet, er versjon 6.0.27 ikke inkludert i listen over berørte versjoner. Lav: Informasjon avsløring i godkjenningshoder CVE-2010-1157 WWW-Verifisere HTTP-header for BASIC og DIGEST autentisering inkluderer et rike navn. Hvis en element er angitt i web.xml for søknaden vil det bli brukt. Men en er ikke spesifisert da Tomcat vil generere rike navnet ved hjelp av kodebiten request.getServerName () + "" + request.getServerPort (). I noen tilfeller kan dette utsette det lokale vertsnavnet eller IP-adressen til maskinen som kjører Tomcat. Dette ble fikset i revisjon 936540 th Dette ble først rapportert til Tomcat sikkerheten teamet 31. mai 2009 og offentliggjort den 21. Apr 2010. Påvirker: 6.0.0-6.0.26

Alt dette virker veldig usikkert, og for meg er et eksempel på viljen til staten levde personvern. Dataene er solgt, og knapt noen er klar over. Den tekniske gjennomføringen bladene mye å være ønsket, og kjører på svært tekniske systemer som er kjent for å være defekt og må oppdateres snarest. Også synes å være en avsluttende inspeksjon og aksept kvalifisert i IT-prosjekter (kjent til staten er som regel ganske dyrt) ikke alltid skjer.

Den eneste pluss poenget jeg kan merke seg at det synes å være noen sentrale landsdekkende portal med online lesing for all rapportering data. Da ville vi absolutt ikke fjernt fra hva de israelerne som skjedde nylig .

Jeg er glad jeg har holdt meg, men hvis noen ikke forstår noen kriminell energi og teknisk kunnskap kan fortsatt forekomme (gratis) til meg (og alle andre), jeg tror i hvert fall tvilsom. Ved første øyekast Düsseldorf systemet ikke herdet mot angrep.

Tags: folketellingen for å gi informasjon konsistent sikkerhet düsseldorf 1 Comment

20 Nov/11 4

Tweet Neglector. Et lite PHP script for å slette gamle tweets fra Twitter

Tweet automatiserer prosessen med Neglector slette gamle tweets fra Twitter-kontoen. I utgangspunktet det gir å "utløpe" funksjonalitet for tweets. Det er nyttig for folk som ønsker å bruke Twitter, men ikke ønsker en historie av sine tweets å bo på nettet i flere tiår.

 HISTORIE:
 20 november 2011 | Versjon 0.1
 Første utgivelse.  Sletter Tweets

 28 desember 2011 | Versjon 0.2
 Små feilrettinger.  Nå sletter retweets også.

 KJENT BUGS:
 - Vil ikke fungere hvis du tweet mer enn 1000 tweets i den tidsrammen du har tenkt å beholde tweets.  Samme for retweets (100 tillatt).  Disse svakhetene av Twitter API GET jeg bruker ATM.  Kanskje jeg skal fikse dette med neste versjon

Tweet Neglector bruker Twitter API for å slette alle dine tweets som ble postet før et gitt antall dager fra nå. På denne måten kan du konfigurere script til å slette alle tweets som er eldre enn en uke eller en måned for eksempel. Skriptet skal automatisk kjøres fra en cron jobb eller annen automatisering mekanisme på en jevnlig basis.

Dette skriptet kan ikke beskytte deg fra eksterne Tweet arkiver. Så det er ukjent om slettet tweets er arkivert stille med Twitter (jeg bet de er). Så (som alltid) tror før tweeting.

Tweet Neglector bruker PHP som skriptspråk og bunter Twitter OAuth biblioteket fra Matt Harris for API tilgang.

Installasjon

 - PHP5 kreves for tmhOAuth

 - Pakk ut arkivet til en katalog av ditt valg.

 - Registrer din Twitter API Keys på https://dev.twitter.com/apps

 - Rediger konfigurasjonen av skriptet som passer dine behov:

 # Twitter API nøkler, tokens og hemmeligheter
 # Få disse nøklene på -> https://dev.twitter.com/apps

 $ Consumer_key = "DIN KEY HER";
 $ Consumer_secret = "DIN KEY HER";
 $ Access_token = "DIN KEY HER";
 $ Access_token_secret = "DIN KEY HER";

 # Antall tweets per sesjon for å jobbe med
 Tweets_per_session = $ 1000;

 # Twitter Brukernavn
 $ Twitter_username = "ditt brukernavn her";

 # Dager å holde tweets
 $ Keep_days = 30;

 - Kjør skriptet manuelt fra nettleseren, konsoll, eller automatisk ved cron
 / Usr / bin / php / var / www / tweetneglector / tweetneglector.php

Tweet Neglector 0,2 nedlasting her

24 Okt/11 0

HOWTO: Quick and dirty DHCP server og DNS cache med dnsmasq på Ubuntu

DHCP på LAN er praktisk. Man trenger ikke lenger å styre nettverket konfigurasjonen til hver datamaskin i nettverket til klientene selv, men alt har en flott sentral beliggenhet på serveren. Spare ved caching DNS klienter litt tid må gjøres ved løsning av vertsnavn, siden spørringer kan brukes til kjente navn fra den lokale verten cache og ikke til en server på Internett.

En liten DHCP serveren er satt opp svært raskt med dnsmasq.

 # Installer dnsmasq
 apt-get install dnsmasq

Konfigurasjonen foregår sentralt i filen / etc / dnsmasq.conf. Man bør ikke forlate før konsentrert konfigurasjonsalternativene i filen avskrekket. Omtrent alt er bare et eksempel og er som standard kommentert ut. En veldig kort Config er allerede tilstrekkelig for et fungerende oppsett:

DHCP

 # DHCP netmask
 # Klienter mottatt 255.255.255.0 som nettmaske
 dhcp-opsjon = 1,255.255.255.0

 # Standard gateway
 # Klienter mottar som gateway 192.168.1.251
 dhcp-opsjon = 3,192.168.1.251

 # Dns
 # Klienter får navnet server 192.168.1.4
 # Hvis du vil bruke dnsmasq som DNS cache, bør dette være
# IP des Servers sein, auf dem dnsmasq läuft
dhcp-option=6,192.168.1.4

# Für bekannte Rechner immer dieselbe IP anhand der MAC-Adresse vergeben:
# Hier bekommt der Rechner mit der MAC 00:11:22:33:44:55 die IP 192,168.1.1 für 12 Stunden

dhcp-host=00:11:22:33:44:55,lobby,192.168.1.1,12h
dhcp-host=00:11:22:33:44:66,lobby2,192.168.1.2,12h

# Alle Rechner, die nicht per MAC identifiziert werden können, erhalten IPs
# aus dem Pool 192.168.1.120 bis 150

dhcp-range=192.168.1.120,192.168.1.150,12h

DNS

Die DNS-Funktionalität von dnsmasq benötigt eigentlich keine Konfiguration.
dnsmasq besorgt sich seine Nameserver aus /etc/resolv.conf . Hier sollten die
bekannten Nameserver des Providers eingetragen werden und evtl noch als Fallback
die 8.8.8.8 für Googles DNS-Server.

Weitere Hostnames, die im lokalen Netz gelten sollen, können dnsmasq in der Datei
/etc/hosts bekannt gemacht werden. Hier eingetragene Hostnames stehen allen Rechnern
im LAN zur Verfügung.

Fallstricke

dnsmasq muss nach Konfigänderungen seine Konfigurationsdateien neu einlesen

/etc/init.d/dnsmasq restart

Falls Clients noch eine Lease vom alten DHCP-Server haben, kann man sie manuell dazu bringen, einen neuen DHCP-request zu starten.

#Linux
dhclient eth0

#Windows
ipconfig /RELEASE
ipconfig /RENEW

Dringend muss man darauf achten, den bisher genutzen DHCP-Server (meistens im Router zum Internet) zu deaktivieren. 2 DHCP-Server im LAN können viel Chaos generieren.

Tags: dnsmasq dns dhcp keine Kommentare

Okt/11 5 0

Wireless for EEE 1000H rt2860 i Ubuntu

Med noen oppdatere i det siste det trådløse var på min EEE PC 1000H med Ubuntu ganske ustabil. Dauernde Verbindungsabbrüche, kein WLAN nach Suspend, langsame Verbindung, etc.

Jeg er ikke helt sikker på hva det er, har trolig den rt2860 sjåføren å få noen oppdateringen er en bug.

Heldigvis, kan problemet løses ved å installere Windows driver med ndiswrapper.

Dette er bare en litt forkortet tysk oversettelse av den engelske originale mønsteret av nevdelap fra Ubuntu forumet. (Takk)

1. Windows Treiber saugen und entpacken (comm_driver_gigabyte_mimobility_v.1.3.1.0.15.zip)

Second Linux driver svarteliste

 # / Etc / modprobe.d / blacklist.conf

 Svarteliste rt2x00lib
 Svarteliste rt2x00pci
 Svarteliste rt2x00usb
 Svarteliste rt2400pci
 Svarteliste rt2500pci
 Svarteliste rt2500usb
blacklist rt2800lib
 Svarteliste rt2800pci
 Svarteliste rt2800usb
 Svarteliste rt61pci
blacklist rt73usb
blacklist rt2600
 svarteliste rt2860 # Asus 1000H har en rt2860.  Å bli lastet av ndiswrapper.
 svarteliste b43
 svarteliste b43legacy
 svarteliste SSB
 Svarteliste r8192s_usb

Tredje Installer Windows driver med ndisgtk drivers/GN-WI30N_WP30N_WS30N_WS30HN_WS31N/WINXP2k

 sudo ndisgtk

Fjerde Grub konfigurere

 # / Etc / default / grub
 GRUB_CMDLINE_LINUX_DEFAULT = "pciehp.pciehp_force pciehp.pciehp_poll = 1 = 1 stille splash"

 sudo update-grub2

Femte Power Management regelen skaper

 # / Etc / pm / sleep.d / ndiswrapper

 # / Bin / bash
 case "$ 1" i
     dvalemodus | suspendere)
         sudo rmmod ndiswrapper
         ;;
     tine | gjenoppta)
         sudo modprobe ndiswrapper
         ;;
     *)
         ;;
 ESAC
exit $?

 chmod + x / etc / pm / sleep.d / ndiswrapper

Sjette Reboot

Da den trådløse går raskt og stabilt.

Tags: eee 100h , ndiswrapper , wlan keine Kommentare

29 Jul/11 0

PHP jukselapp

Hier sammele ich nützliche PHP Codeschnipsel

Pseudo Multithreading mit screen

#!/usr/bin/php5 for ($i=1;$i<50;$i++) { echo "starting $i\n"; exec("screen -d -m /usr/bin/php5 ./thread.php"); }

MySQL Server has gone away in lange laufenden PHP-Shellscripten

#/etc/php5/cli/php.ini
mysql.allow_persistent = On
mysql.max_persistent = -1
mysql.max_links = -1
mysql.connect_timeout = -1

veröffentlicht unter: Linux keine Kommentare

7 Jul/11 0

Firma Connect - moro med telekom salg

Ein Kunde hatte ein Problem. Wegen einer speziellen Applikation, wurde ein schnellerer Ping nach Taiwan benötigt. Ein herkömmlicher Telekom DSLer brachte konstant 290 - 320ms zu Hinet, einem grossen taiwanesischen Provider. Eine streßfreie Nutzung der Applikation war mit diesen Paketlaufzeiten nicht möglich, deshalb forschte man nach Alternativen um eine schnellere Verbindung herzustellen. Ich war von Anfang an skeptisch ob eine Verbesserung der Situation überhaupt möglich war. Mit dem DSLer wurden die Pakete zunächst über das Telekom-Netz nach New York geroutet. Von dort aus ging es mit AT&T weiter quer durch die USA, dann über den Pazifik zu Hinet. Von Kalifornien bis Taiwan entstand der Hauptteil der Paketlaufzeit - fast 200ms. Meiner Meinung nach wäre eine Verbesserung nur möglich gewesen, wenn die Telekom selbst einen Backbone ihres Netzes in Taiwan unterhalten würde. Bei meiner Suche nach Anbietern, die das unmögliche leisten könnten, stieß ich auf das Telekom-Produkt Company Connect , das aus einer Standleitung besteht, die direkt an den Telekom-Backbones hängt. Telefonisch versicherte man mir, dass man mit "CoCo" ohne weiteres einen Ping unter 50ms nach Asien erreicht. Ich war freudig überrascht, aber nach wie vor skeptisch. Einige Tage später kam ein jung-dynamischer Telekom-Vertriebler ins Haus und bestätigte die Behauptung der Hotline erneut. "Ich habe mich für Sie erkundigt, das ist alles kein Problem. Die Telekom unterhält weltweit Backbones." Beim verlassen des Gebäudes erzählte er mir noch, dass er sich gerade einen neuen BMW bestellt hätte. Veldig vakkert. Am nächsten Tag kam per E-Mail direkt der Vertrag ins Haus. Wir schickten ihn mit dem Zusatz zurück, dass wir den Vertrag stornieren können, falls keine Pings unter 100ms nach Taiwan erreicht werden könnten. Die Telekom unterschrieb. Danach passierte erst einmal lange nichts mehr. Der Vertriebler hatte eine Schaltung innerhalb eines Monats zugesichert. Nach einem Monat fragten wir nach, der Vertriebler war allerdings ab dann (bis heute) nicht mehr erreichbar. Auch E-Mails an seine Abteilung wurden nicht beantwortet. Nach 2 1/2 Monaten wurden wir ungeduldig und drohten mit einer Stornierung des Auftrags, falls nicht innerhalb einer Woche ein Termin für die Schaltung vereinbart werden könnte. Danach ging es plötzlich sehr schnell. Die "Eskalationsstelle" organisierte einen Termin für uns, die Leitung wurde geschaltet. Für einen ersten Test klemmte ich einen Router und mein Netbook an die brandneue Leitung.

box-ww-11:57:35 ~ -> ping www.hinet.net
PING www.hinet.net (202.39.224.7) 56(84) bytes of data.
64 bytes from 202-39-224-7.HINET-IP.hinet.net (202.39.224.7): icmp_req=1 ttl=237 time=306 ms
64 bytes from 202-39-224-7.HINET-IP.hinet.net (202.39.224.7): icmp_req=2 ttl=237 time=306 ms

LOL. Was hätte man anderes erwarten können? Exakt die gleichen Ping-Werte wie zuvor. Exakt die gleiche internationale Route wie zuvor. Kein technisches Problem. Einfach nur viel Bullshit-Blah-Blah. Ich bin gespannt, ob die Kündigung genauso "problemlos" funktionieren wird wie die Schaltung.

Tags: Telekom Company Connect Vertrieb keine Kommentare

19 Jun/11 0

XS Stick W14 UMTS med Ubuntu

[Zeige als Diashow]

[Vis med PicLens]

Der XS Stick W 14 unter Ubuntu zickte ein wenig herum. Gelegentlich erkannte der Network-Manager ihn als USB-Modem, dann konnte er allerdings trotzdem keine Verbindung herstellen. Nach ein wenig erfolgloser Frickelei bin ich auf das Sakis3G Script gestoßen, das verspricht mit fast allen Sticks eine Verbindung herstellen zu können. Und tatsächlich: Es hat mit Sakis3G sofort funktioniert. Empfehlenswert, wahrscheinlich auch für andere Sticks.

TYPENSCHILD

XS Stick W14
P/N 3000.000056.00
www.4g-systems.com

#lsusb
Bus 002 Device 006: ID 1c9e:9603

# /var/log/syslog beim Einstecken

Jun 19 20:41:04 box kernel: [74186.796148] usb 2-2: new high speed USB device using ehci_hcd and address 7
Jun 19 20:41:04 box kernel: [74186.946031] scsi11 : usb-storage 2-2:1.0
Jun 19 20:41:05 box usb_modeswitch: switching 1c9e:f000 (USB Modem: USB Modem)
Jun 19 20:41:06 box kernel: [74189.293850] usb 2-2: USB disconnect, address 7
Jun 19 20:41:07 box kernel: [74189.660069] usb 2-2: new high speed USB device using ehci_hcd and address 8
Jun 19 20:41:07 box kernel: [74189.819348] option 2-2:1.0: GSM modem (1-port) converter detected
Jun 19 20:41:07 box kernel: [74189.819577] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB0
Jun 19 20:41:07 box kernel: [74189.819802] option 2-2:1.1: GSM modem (1-port) converter detected
Jun 19 20:41:07 box kernel: [74189.819950] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB1
Jun 19 20:41:07 box kernel: [74189.820220] option 2-2:1.2: GSM modem (1-port) converter detected
Jun 19 20:41:07 box kernel: [74189.820395] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB2
Jun 19 20:41:07 box kernel: [74189.821414] scsi12 : usb-storage 2-2:1.3
Jun 19 20:41:07 box modem-manager[10480]:  (ttyUSB1) opening serial port...
Jun 19 20:41:07 box modem-manager[10480]:  (ttyUSB0) opening serial port...
Jun 19 20:41:07 box modem-manager[10480]:  (ttyUSB2) opening serial port...
Jun 19 20:41:08 box usb_modeswitch: switched to 1c9e:9603 (USB Modem: Modem Configuration)
Jun 19 20:41:08 box kernel: [74190.823474] scsi 12:0:0:0: Direct-Access USBModem Disk 2.31 PQ: 0 ANSI: 2
Jun 19 20:41:08 box kernel: [74190.825402] sd 12:0:0:0: Attached scsi generic sg3 type 0
Jun 19 20:41:08 box kernel: [74190.833436] sd 12:0:0:0: [sdc] Attached SCSI removable disk

Tags: stick , umts keine Kommentare

15 Jun/11 0

12 trinn til en Linux Apache MySQL PHP webserverroten LAMP sikre

Hacking frekvensen har økt kraftig de siste månedene. Spesielt mye data å bli plukket opp av hacks på webservere. Selv Sony PSN hack tok fordel av en ikke oppdaterte sårbarhet i Apache Web Server. Derfor vil jeg samle action her, kan serveren egen litt tryggere mot angrep utenfra. Of course, dette også ikke gir 100% beskyttelse, men det er bedre å få skurkene i spillet litt vanskeligere. Noen av tiltakene krever bare en minimal installasjon og vedlikehold. Andre trenger mye tid og kunnskap til PHP å fange. Man bør alltid se etter kost-nytte-forhold i valg av sikkerhetstiltak. Det gir ingen mening å beskytte en liten, privat område som Federal Reserve Bank. Imidlertid har få konkrete endringer i systemet allerede en stor betyr mer sikkerhet. Og at du bør behandle selv før det er for sent ....

Alle tips og Codesnips referere til en aktuell Debian boks.

Første Brannmuren - når alt forby

De fleste Linux-distribusjoner i deres standard installasjoner åpne noen porter på utsiden som ikke er absolutt nødvendig. Denne situasjonen kan endre seg raskt, men selv når serveren
spille rundt og prøver ting. Plutselig media server lytter på Internett eller database
aksepterer tilkoblinger fra Internett. Derfor er det ikke galt å disiplinere seg selv og sette opp en meget restriktiv brannmur som i utgangspunktet forbyr Når alle tilkoblinger fra utsiden og tillater bare (selv) utvalgte forbindelser. Heldigvis er dette gjort raskt med iptables. På denne måten kan man ikke lenger yte tjenester for å gjøre tilgjengelig for verden som ikke har noen virksomhet der. Dessverre, du betaler en liten trøst - brannmuren må justeres hver gang når du ønsker å tilby nye tjenester. Likevel er innsatsen for liten og fordelene store.

 # / Bin / bash

 # Slett eksisterende tabeller
 iptables-F

# Alle eingehenden Verbindungen verbieten
 iptables-P INPUT DROP
 iptables-P FORWARD DROP

 # Tillat alle utgående
 iptables-P OUTPUT ACCEPT

 # La SSH
 iptables-A INPUT-j ACCEPT-p tcp - dport 22 

 # Tillate HTTP
 iptables-A INPUT-j ACCEPT-p tcp - dport 80 

 # Videre tjeneste (UDP) tillate, for eksempel spill Server
 iptables-A INPUT-j ACCEPT-p tcp - dport 4534 

 # Tillat alle fra localhost.  (For selve serveren uhindret tilgang til sine tjenester,
 # For eksempel PHP til den lokale databasen
 iptables-A INPUT-s 127.0.0.1-j ACCEPT

 # Allerede etablerte tilkoblinger vil bli akseptert i havn
 # (Nødvendig for noen demoner)
 iptables-A INPUT-m state - state etablert, RELATERTE-j ACCEPT

Denne lille ryggrad kan vi bare fortsette å utvide og legge til sine egne tjenester. Ved arbeid på brannmur, bør du alltid gjøre avsetninger for saken som låser seg selv. Spesielt på eksterne servere som du ikke har fysisk tilgang, er det veldig irriterende å miste et mislykket egen tilgang til brannmuren regelen. For å unngå dette problemet ut av veien, kan man begynne å jobbe på brannmuren midlertidig bare en cron jobb som tilbakestiller brannmuren hvert femte minutt eller serveren på nytt. Reglene er senere testet og elsket, den cron vil bli deaktivert og de nye reglene forblir permanent aktiv.

For å finne ut mer om hvilke tjenester bare lytte til din egen server, kan du bruke netstat:

 # For TCP sockets:
 netstat-LPN | grep tcp

 # Tilsvarende for UDP:
 netstat-LPN | grep udp

For å teste om brannmuren virkelig fungerer, kan du portsøk din egen server fra en annen datamaskin. Det hele fungerte, skal vises i resultatet bare enda porter som er åpne:

 # For TCP:
 nmap-p1-65 535 meinserver.de

 # For UDP:
 nmap-su-p1-65 535 meinserver.de

Second SSH logins forbud

På sin egen roten server har ubegrenset SSH tilgang. Dette er ganske hendig, som du kan fra alle SSH klient til serveren ganger bare for å arbeide med den. Ulempen med dette er at kurset kan alle som dessverre har en eller annen måte tatt over sitt eget passord. Det er mye tryggere å tillate SSH innlogginger bare med en gyldig nøkkel-fil. Det er den offentlige nøkkelen til klienten til serveren og kopierte interaktive innlogginger blir deaktivert ved å taste inn et passord.

 # På klienten lage en offentlig nøkkel
 # Hvis spesifisert ved generering av et passord, må man
 # Logg inn senere på tasten filen og passord.  Ellers
 # Trengs bare nøkkelen.

 ssh-keygen-t rsa

 # Den genererte nøkkelen deretter kopiere til serveren

 ssh-copy-id-i ~ /. ssh / id_rsa.pub root@meinserver.de

 Deretter justere # sshd_config på server / etc / ssh /
 .
 .
 PasswordAuthentication no
 .
 .

 # Deretter starter ny Ssh
 / Etc / init.d / ssh restart

Også her bør man ta forholdsregler for å ikke stenge ute selv om noe ikke fungerer.
Den offentlige nøkkelen på en USB-pinne med tilhørende passord i hodet ditt gjør det mye vanskeligere for skurkene å få et skall.

Tredje SSH Bruteforcing hindre denyhosts

Hvis råd er ikke praktisk og en to forlate komforten av passord-basert innlogging vil, kan du i det minste hindre automatiserte passord priser av angripere på serveren. Mye av bots på internett hele dagen ute etter å gjøre noe mer enn å SSH servere og prøve ut i forskjellige passord. Med et rimelig sikkert passord er ikke et stort problem, men det er en bedre følelse, selv om det er mulig. I tillegg beskytter den også sine brukere, dersom eksisterer på serveren og brukerkontoene. Her kan du ikke stole på at brukerne bruker sikre passord. denyhosts stadig kontrolleres på ssh logins og bruker låser for en viss tid, som har skrevet inn passordet sitt feil gjentas. IP av brukere midlertidig gå inn i / etc / hosts.deny, slik at de ikke lenger har tilgang til er mulig. Dette SSH Bruteforcing til en svært lang og ikke veldig lovende oppgave.

 apt-get install denyhosts

 # Denyhosts fungerer rett etter installasjon.  Det kan være
 # I filen / etc / denyhosts.conf finjustere

Fjerde Svartelister brukes til å blokkere ut kjent problem IPs

I ulike Internett svartelister opprettholdes, hvilken liste et stort antall kriminelle / hakket / spammy / bedragersk servere. Disse IP-lister kan skrives direkte inn i brannmuren, slik at fra denne er kjent for å ikke klarerte servere noen sammenheng er ikke lenger mulig til din egen server. Så du kan redusere mengden av spam på sin egen server, og også drastisk en ting eller script-kiddie lock out, fordi hans russiske proxy plutselig slutter å fungere. Hvordan å gjøre at jeg har vært i en annen blogg artikkelen beskrev eksempel på svarteliste over Infiltrated.net.

Femte Ikke bruk FTP til å arbeide på serveren

FTP er en relikvie av bedre tider da Internett var en liten landsby fortsatt troverdige. Mange admins av nettsteder fortsatt bruke FTP til å overføre filer til serveren eller for å arbeide på ditt eget nettsted. Dessverre er dette svært usikkert, fordi FTP overfører alle data usikret. Passord og data kan leses uten problemer på hvert hop mellom servere og klienter. Det er mye tryggere med sshfs. Gjør det mulig å montere en katalog via SSH på den eksterne serveren lokale filsystem. Man kan da jobbe på serveren som om han var på den lokale datamaskinen. Alle fil tilgang til filer på serveren er helt gjennomsiktig, så du kan også åpne programmet, en lokal grafisk bilde på serveren, redigere og lagre igjen. Mer komfort og sikkerhet uten store anstrengelser.

 # Installer sshfs
 apt-get install sshfs

 # Opprett mountpoint på det lokale filsystemet
 mkdir / media / minserver

 # Server til det lokale filsystemet monteres
 www-data@mein-server.de sshfs: / var / www / media / minserver

 # Nå katalogen er / var / www på min lokale server under / media / minserver tilgjengelig

Sjette Installer oppdateringer

En super sikkert system vil ikke hjelpe dersom selve systemet er feil og en kjent sårbarhet kan utnyttes. I de fleste tilfeller mangler disse sikkerhetsoppdateringene raskt, ofte glemt, men til regelmessige oppdateringer av systemet admins gjør. Enten må du aktivere automatiske oppdateringer på Linux-servere eller ikke er et omstridt tema. Noen vil aldri gjøre det fordi det virker naturlig med mye uflaks kan være at oppdateringene gjør systemet ubrukelig. Dette skjedde med meg i over 10 år med arbeid på Debian-systemer, men aldri og jeg setter pris på fordelene med rettidig og regelmessige oppdateringer, mye høyere enn den resulterende risiko.

 # Denne linjen i / etc / crontab, oppdateringer systemklokken hver dag kl 6 am
 0 6 * rot apt-get update & & apt-get-y oppgradering

Disse rask og skitne metoden fungerte for meg så langt alltid bra. Jeg leste nylig at i Debian pakken repository også finnes ubetjent-oppgraderinger, som løser problemet sannsynligvis noe mer elegant, men jeg har ikke blitt testet.

Selv med et helautomatisk system oppdateringer, dette er en ikke helt av kroken. Hvis en kernel oppdatering har blitt levert, må du starte systemet igjen for hånd, ellers vil endringene ikke vil bli aktive.

Hvis man bruker ikke-PHP-kode på serveren, for eksempel en åpen kildekode CMS eller et forum, er det absolutt nødvendig, selvfølgelig, også denne koden med nye versjoner oppdatert. Siden Debian ikke oppdaterer med endringer i programmer i disse reglene dekker, er manuelt arbeid som trengs her. I beste fall, du leste den postlister av relevante produkter som skal alltid oppdatert.

Syvende PHP med open_basedir fengsle

Mange hacks basert på det faktum at et sikkerhetsproblem i PHP-koden er brukt for å få tilgang til filer i filsystemet tilgang som ikke tilhører stedet, men systemet i seg selv er hvorfor du bør låse opp PHP slik at den kun kan lese i spesielt utpekte kataloger og skrive kan. For dette, php.ini den open_basedir konfigurasjon alternativet. PHP har mulighet til å sette bare lov tilgang til kataloger der. Filer som / etc / passwd er utenfor rekkevidde. Hosting flere nettsider på én server, bør du stille open_basedir i hvert VirtualHost konfigurasjon for hver side.

 # Global php.ini via:
 # / Etc/php5/apache2/php.ini
 open_basedir = / var / www /: / tmp /

 # Per nettstedet i virtuellverten config:
 php_value open_basedir / var / www / site /: / tmp /

Det er viktig å vurdere om alle nettsteder har blitt lagt til skriptene vanligvis trenger å ha tilgang, ellers kan det være at du er ufør og legitime funksjoner i PHP-programmet.

Åttende Lag dine egne websider for MySQL-brukere

Bruker sin egen PHP-MySQL program, bør du absolutt lage for Apllikation en egen MySQL bruker og ikke under noen omstendigheter bruke MySQL rotbrukeren forespørsler. Du bør også begrense brukerens rettigheter så langt som egentlig bare operasjoner er tillatt, noe som krever PHP script. CREATE TABLE og DROP TABLE er som vanlig i SQL-injeksjoner er brukt og i de fleste PHP-applikasjoner aldri nødvendig. Hostet man mehrere Websites mit mehreren Datenbanken auf einem Server, sollte man für alle Datenbanken eigene Benutzer anlegen. Dermed, etter et vellykket angrep, har en angriper bare tilgang til en av databaser og ikke direkte i det hele tatt. Hvis du ikke ønsker å prøve kommandolinjen for å administrere MySQL brukerkontoer, brukeradministrasjon fungerer også ganske lett med phpMyAdmin under fanen "rettigheter".

Niende PHP feilmeldinger off

PHP feilmeldinger, kan en angriper avsløre mye om din egen server: katalog strukturer, database strukturer, konfigurasjon feil, etc. De ser også for brukeren svært uprofesjonelt. Av denne grunn bør de være på en live web server off utgangspunktet, siden du bare kommer til å fortsette å se i loggene.

 # Global php.ini via:
 # / Etc/php5/apache2/php.ini
 display_errors = Off

 # Per nettstedet i virtuellverten config:
 php_flag display_errors Off

 # Feilmeldinger lese det likevel:
 cat / var/log/apache2/error.log | grep php

10nde Target for SQL-injeksjon grense med ModSecurity

SQL-injeksjoner er de mest brukte metoden for angrep på webservere. Nås direkte via web-applikasjon og den møter en nettleser til å utføre dem. Her er overført av brukeren variablene bygget sende SQL-spørringer til databasen med rettighetene til brukeren eget alt i databasen vil slette lese eller redigere dem. En ekte ekte beskyttelse mot SQL-injeksjon eksisterer bare dersom PHP-kode ble skrevet nettstedet i forhold til disse angrepene. Jede Variable aus Benutzereingaben, die in eine SQL-Abfrage gelangen könnte, muss geprüft und escaped werden. PHP tilbyr funksjonen real_mysql_escape_string ().

Hvis du ikke er sikker på om koden er ren, kan mod_security for Apache hjelpe en stor mengde replay angrep uansett. mod_security sjekker konstant alle forespørsler til webserveren og svarer på dem pre-laget mønstre med mange SQL-injeksjon angrep kan være blokkert. Dessverre mod_security fungerer godt bare med en manuell innsats. Ofte etter en fersk installasjon mod_security blokker også ønsket (normal) funksjonene til PHP kode, slik at man har ingen andre valg, som fullstendig søknad for å teste ut anlegget igjen. Først da finner man ut om mod_security umulig å blokkere funksjoner ønsket. Er dette tilfellet, filtrere listen som skal justeres for å forsvinne slik at falske positive.

Konfigurasjonen av mod_security er noe komplisert og er utenfor omfanget av denne artikkelen, men det er tonnevis av gode tutorials på internett mod_security.

11. Passkontroll - Apache vet ikke hvem han er
Dette er ikke egentlig effektiv metode mot en hack, gjør det automatiske skript som leter etter server-versjoner, men litt tyngre. Vanligvis Apache viser på sider med feilmeldinger (f.eks 404 Not Found) sin server signatur.

 Apache/2.2.16 (Unix) Server at www.daniel-ritter.de Port 80

Det eliminerer eventuelle aggressive vil motta informasjon minst en gang før på webserveren er herved etablert og den versjonen nivå. Serveren signaturen er slått av raskt:

 # / Etc/apache2/conf.d/security
 ServerSignature Off

12. Ikke deaktiver bruk Apache-moduler

Som standard har Apache lastet noen moduler, som er nesten aldri nødvendig. På Debian finner du lastet modulene
som en myk kobling i / etc/apache2/mods-enabled.

Kan fjernes nesten alltid:

mod_cgi

Brukes til å kjøre CGI skript. Denne teknikken går tilbake til begynnelsen av det Web og var stamfaren til moderne skriptspråk å gi mulighet for dynamiske websider. mod_cgi er unødvendig for 99% av PHP nettsteder og en defekt Apache Config er en potensiell sikkerhetsrisiko hull

 a2dismod cgi

mod_status

Lar nettlesere å lese status informasjon på Apache. Det er nesten aldri brukt til "normal" områder, gir status informasjon om angriperne, men Apache.

 a2dismod status

mod_autoindex

mod_autoindex sikrer at kataloger kan være oppført på web server, hvis det ikke er en gyldig index side i den aktuelle katalogen. Hvis denne funksjonaliteten ikke er ønskelig, bør du deaktivere den, siden den hele katalogen trær på serveren kan være eksternt synlige.

 a2dismod AutoIndex

Tags: denyhosts , display_errors , firewall , lamp , Linux , mod_security , open_basedir , sql injection , ssh keine Kommentare

9 Jun/11 0

Linux Server mit der Scam/Spam/Crime Blacklist von Infiltrated.net absichern

Im Internet gibt es viele böse Buben: Scammer, Hacker, Viagrabuden, Scriptkiddies, etc.

Infiltrated.net pflegt eine recht umfangreiche Liste auffällig gewordener Server unter http://www.infiltrated.net/blacklisted .

Wenn man Zugriff auf seinen Server oder auch sein Heimnetz von diesen IP's unterbindet, hat man bereits sehr viele Russen Proxies, Spammer und anderes Gesindel ausgesperrt.

Das folgende kleine Script saugt sich automatisch die aktuelle Liste und trägt die Hosts in die Firewall ein.

Mit einem Cronjob regelmässig gestartet, ermöglicht es ein Quentchen mehr Sicherheit für die eigenen Dienste.

#!/usr/bin/php
<?
# Zuerst bereits bestehende (eigene) Firewallrules ausführen
exec("/root/scripts/meine_standard_firewall_rules");

# Blacklist saugen
exec("wget -O /tmp/infiltrated_blacklist http://www.infiltrated.net/blacklisted");

$list = file("/tmp/infiltrated_blacklist");

$i = 1;

# Ein bisschen auseinanderschnibbeln und ab in Iptables
foreach ($list as $line)
{
$line = trim($line);
$line = str_replace("\t"," ",$line);

$line = explode(" ",$line);
$line = $line[0];

$firstchar = substr($line,0,1);
if (!is_numeric($firstchar))continue;

exec ("iptables -I INPUT -s $line -j DROP");
$i++;
 }

echo "done. $i rules set.";
?>

veröffentlicht unter: Linux keine Kommentare

28 Mrz/11 0

The Adobe Flash plugin has crashed – Reparieren – Ubuntu – NVidia

Seit einer der letzten Firefox Versionen wollte Flash nicht mehr so richtig. Bei sehr vielen Videos crashte der Adobe Flash Player. Ich habe das Problem gelöst, bin mir aber nicht 100%ig sicher woran es lag. Ich tippe auf 2 Bugs: Einmal auf das Zusammenspiel der Hardwarebeschleunigung von Flash mit meiner Grafikkarte und zum anderen auf das neue Plugin-Crash-Handling von Firefox.

Første Hardwarebeschleunigung deaktivieren

In ein Flash-Video rechtsklicken. Einstellungen wählen. Haken bei Hardwarebeschleunigung entfernen.

Second Plugin-Crash-Handling von Firefox deaktivieren

about:config in der Adresszeile eingeben

Die Werte dom.ipc.plugins.processLaunchTimeoutSecs und dom.ipc.plugins.timeoutSecs auf "-1" setzen.

Seitdem habe ich keine Probleme mehr mit Ubuntu 10.10, Firefox 4 und Flash 10.2.153.1

veröffentlicht unter: Ubuntu keine Kommentare

ältere Artikel »

Om denne bloggen

Dette er for det meste om dagligdagse galskap av et Debian og Linux sysadmins. Jeg skriver ned løsninger på problemer som jeg finner under arbeidet mitt, og håper at de og andre også være nyttig for meg som en referanse, selv i fremtiden.

Oversetter

Imprint

Daniel leie

Trenger profesjonell server, PHP, eller Asterisk hjelp av Daniel? Kontakt meg her: PIXEL PERFEKT MEDIA Düsseldorf

QUICK LINKS

BASH cheat sheet

Mail Server jukselapp

Kategorier

Android (4)
Dette og at (24)
Linux (39)
Ubuntu (28)
Veien (7)