Интернет через палку серфинга UMTS с Debian с WvDial и O2 Мобильные Плоский
Так как моя новое соединение DSL приводится в действие только через несколько недель, я Алиса в стране "Быстрый старт" выбран. Был включен здесь вы получаете SIM-карты, которые вы можете путешествовать бесплатно в течение 3 месяцев, как временная мера, пока соединение DSL.
Конечно, я не делал Интернет-соединения от клиента, но, как обычно, на мой домашний сервер, который действует на всей сети дома, как маршрутизатор.
Самые большие проблемы у меня с Алисой горячей линии. SIM-карты пришли с краткой инструкцией о том, как активировать ее через Алиса портала. К сожалению, ни сайта в Firefox, Chrome или Опера работает нормально. Я не продвинулись до активации карты SIM.
Так, к сожалению, звонки на горячую линию 01 805. Очень раздражает 42ct./Min.
О горячей линии Akivierung на карте была проведена быстро, к счастью, я был там во-первых, к сожалению, не могли бы назвать АПН необходимые для конфигурации WvDial. Я хотел убедиться, у меня были некоторые опасения непомерных счетов за неправильной конфигурации значение. Здесь технология может помочь мне счастье. Для Алисы / O2 Быстрый старт Мобильный Интернет APN является плоской, по горячей линии "internet.partner1". При назначении имен, вероятно, никто не участвует в маркетинге 
В качестве следующего шага, я вставил SIM-карту в мобильный телефон ждать активации и тех, кто знает об этом. Все прошло довольно быстро, примерно через 30 минут, моя SIM был уже активно работает и регистрируется в сети. Удивительно быстро, так как активация Алиса первоначально назначен на O2. Чтобы заставить телефон к новым einzubuchen в сеть, он может быть выключить и снова. Я сейчас с телефона по-прежнему запрещает SIM запрос ПИН-кода, потому что я некоторое время назад уже плохо проблемы с WvDial и PIN-код.
Остальные работали удивительно хорошо.
У меня в моей SIM Huawei Surf Drive (T-Mobile Surf Придерживайтесь III)
Bus 001 Device 004: ID 12D1: 1003 Huawei Technologies Co, Ltd. E220 HSDPA модем / E270 HSDPA / HSUPA модем
были вставлены. После подключения USB-порт с текущего ядра Debian обеспечивает устройство / dev/ttyUSB0 доступны.
Это может обращаемся к вам с WvDial
# / Etc / wvdial.conf [Dialer Defaults] = ATZ Init1 Init2 = ATQ0 V1 E1 S0 = 0 & C1 & D2 + FCLASS = 0 Init3 = AT + CGDCONT = 1, "IP", "internet.partner1" Телефон = * 99 * ** 1 # Password = пустым Имя пользователя = пустой New PPPD = да Модем = / dev/ttyUSB0 Baud = 460800 Модем Type = аналоговый модем Auto Reconnect = о Тогда можно будет с "WvDial" соединение установлено:
GBN-корень-00: 19:27 ~ -> WvDial -> WvDial: Интернет-коммуникатор версии 1.60 -> Не удалось получить информацию для последовательного порта -> Инициализация модема. -> Отправка: ATZ ATZ ОК -> Отправка: ATQ0 V1 E1 S0 = 0 & C1 & D2 + FCLASS = 0 ATQ0 V1 E1 S0 = 0 & C1 & D2 + FCLASS = 0 ОК -> Отправка: AT + CGDCONT = 1, "IP", "internet.partner1" AT + CGDCONT = 1, "IP", "internet.partner1" ОК -> Модем инициализирован. -> Отправка: ATDT * 99 *** 1 # -> В ожидании перевозчика. ATDT * 99 *** 1 # CONNECT -> Перевозчик обнаружено. В ожидании приглашения. -> Не знаю что делать! Начиная PPPD и надеясь на лучшее. -> Начиная PPPD в ВС 29 января 2012 00:19:58 -> Pid из PPPD: 3749 -> Использование интерфейса ppp0 -> PPPD: ȧ -> PPPD: ȧ -> PPPD: ȧ -> PPPD: ȧ -> PPPD: ȧ -> PPPD: ȧ -> Локальный адрес IP 10.43.145.228 -> PPPD: ȧ -> Удаленный адрес IP 10.64.64.64 -> PPPD: ȧ -> Первичный адрес DNS-193 189 244 225 -> PPPD: ȧ -> Вторичный адрес DNS-193 189 244 206 -> PPPD: ȧ
После этого в эфире интерфейс для интернет-устройство ppp0, который вы можете использовать для маршрутизации и правил брандмауэра.
Вниз по течению, в самом центре Дюссельдорфа очень хорошо, вверх по течению может быть желательным, однако, очень:
Скорость загрузки: 2082 кбит / с (260 кбайт / с) Скорость выгрузки: 71 кбит / с (9 кбайт / с)
Но ... Дареному коню в зубы не смотрят. Я бы заплатил за этот спектакль, тем не менее.
Дополнять
К сожалению, соединение не стабильно. Менее чем за час, не больше данных, чтобы поток над ppp0, WvDial получает их, к сожалению ни с чем и думает, соединение останется активным, выбрать тот, который сам по себе не непрерывно. Для отладки этой проблемы было слишком сложно, потому что это временное решение в любом случае лишь несколько недель, пока схема должна работать DSLers. Следующий небольшой скрипт, который проверяет, является ли соединение остается в силе. Если нет, то начать WvDial убитых и новые.
# / Bin / Баш www.google.de пинг-c1> / Dev / нуль если $ [? Ne-0]; затем killall WvDial эхо `дате`>> / VAR / Журнал / connection_lost.log WvDial & Fi
Я называю этот скрипт автоматически через хрон работу, и я теперь всегда на:
# / Etc / кронтаб # REDIAL дрянной линии O2 * * * * * Root / корень / скрипты / redial_ppp
Ловушки:
- PIN-код SIM защита не отключена
- Подключение через оператора сотовой связи, к сожалению, geNATtet. Выделенный сервер не имеет прямого доступа с наружной стороны. Сервер услуги могут быть предложены только с трудом.
5 плагинов для более конфиденциальную информацию во время серфинга с Firefox
Для защиты своих собственных личной информации в Интернете становится все труднее. Ни промышленность, ни есть политический интерес в защите конфиденциальности использования Интернета. Несколько лет назад этого было достаточно, тем не менее, нигде его настоящее имя и другие личные данные, такие как дата рождения и номера банковского счета указывают. Сегодня почти на каждом сайте незаметно в фоновом режиме собирать данные - и не только оператор сам сайт, но и многих других коммерческих провайдеров. Путем передачи данных на третье лицо себе какую-нибудь пользу. Вы также теряют SO Страна незамеченным со временем контроль над их собственными данными и сложные профили потребления привычки, интересы, симпатии и антипатии в неконтролируемых баз данных. Распродажей личности в самом разгаре, и помогает только немного личной информации гигиены для отражения новых угроз.
Есть ли бродил по открытию Facebook ясно имя в сети, является возможность связи с серфингом привычки не более подходящее лицо, которое будет теоретическая возможность, но полностью автоматизирован и непрерывно.
В этой статье я перечислю некоторые способы защиты их частной жизни в Интернете. К сожалению, почти все меры требуют степень личной инициативе и немного потренироваться. Часто вы потеряли (по крайней мере на начальном этапе) немного комфорта при серфинге. Тем не менее, использование подсказок в долгосрочной перспективе быть очень полезным.
Но сначала немного Experiement. Для небольшой тест я начал текущего браузера Firefox в конфигурации по умолчанию, удалить все временные файлы, а затем кататься шесть сторон, и Spiegel.de, Bild.de, GMX.de, Twitter, Facebook и порносайтов. В результате 21 новых постоянных куки на вашем компьютере.
Даже после вызова этого несколько страниц, браузер полностью прослушивается с третьего печенья стороны. Эти куки идентифицировать браузер установки теперь по отношению к авторскому праву и может быть прочитан с ними снова. Вначале это может случиться даже на своих собственных страницах. Но на сайтах третьих лиц, которые сотрудничают с.
Так куки Google читается, например, на каждой странице, которая использует Google Analytics, Google рекламы на, интегрирует Google Maps или использовать один из многих других Complimetary услуг Google для вебмастеров. Это дает Google ищет не только история моей Google, но это требует верно и для многих других сайтов, которые я посещаю ее.
Точно так же работает с куки сторонних производителей. Рекламные агентства, фирмы маркетинговых исследований, маркетинговые компании и спамеры постоянно пытаются установить куки в вашем браузере и на сайтах-партнерах читать снова, чтобы узнать больше обо мне.
Это делается либо через небольшие файлы unsichbare на веб-сайт ("Веб-маяки", "изображение слежения") или Java-скрипты, которые установлены на сайтах-партнерах.
Первый шаг для получения дополнительной конфиденциальности, есть также отслеживания куки, веб-маяки и отслеживания JavaScript по борьбе с наводнениями.
Совет 1 - С локальный файл хоста большинство шпионов закрыта полностью.
В качестве основной иммунизации против чумы помогает локальный файл хоста. В любой современной операционной системы в хост-файл, список доменных имен с соответствующим IP-
на хранение. Первая система использует локальный файл хоста для поиска адресов в Интернете, только тогда один DNS-сервер в Интернете. Построение в хост-файл таким образом адреса вредоносные домены, вы хотите установить печенье прослеживания и передает запросы на эти сайты локально, браузер не может достичь этих вредоносных страниц.
Итак, вы уже решили большую часть проблемы. Может хозяин очень ухоженные файл, который содержит тысячи следящих областей будет посмотреть здесь: http://winhelp2002.mvps.org/hosts.txt В Linux это просто спасает вас от / и т.д. / хост файл на локальной машине, с тем чтобы он .
# / Bin / Баш Wget-O / TMP / tracking.txt http://winhelp2002.mvps.org/hosts.txt мВ / и т.д. / хостов / и т.д. / hosts.backup мВ / TMP / tracking.txt / и т.д. / хостов
Он работает свой собственный сервер DNS в локальной сети , вы можете настроить его так, что он использует хост-файла и автоматически свободный весь центр локальной сети.
Совет 2: Google только самое необходимое общаться с GoogleSharing
Google Tracker # 1 в интернете и записаны в обход теперь почти на каждой странице посетил персональную информацию, это можно проследить и связана с их собственным Google поиск по идентификации личности использовании GMail, Google + или другие персонифицированные услуги своим собственным лицом. С другой стороны, помогает Закат Google печенье, и интересный плагин Firefox GoogleSharing. Плагин anonymisert все контакты Google, создав случайную постоянной идентичности, которые являются общими для всех других пользователей плагина. Google можно использовать для идентификации отдельных пользователей плагина больше не находится в этом анонимном совпадение массы.
Плагин работает полностью автоматически и снижает производительность Google просто не имеет значения.
GoogleSharing там прямо в Firefox под Tools / Addons или с этого сайта: https://addons.mozilla.org/en-US/firefox/addon/googlesharing/
Совет 3: Полный контроль над печенье с Cookie Monster
Куки не только там для слежения. Многие веб-сайты используют их для совершенно законных функций, таких как управление журнала или хранения пользовательских предпочтений. Поэтому было бы разумно сначала запретить, как только все куки в целом, а затем шаг за шагом вручную, чтобы печенье, которые вы на самом деле необходимы для страниц, вы часто используете активный. Это с Firefox бортовой возможными средствами, но, к сожалению довольно громоздким. Здесь бесплатный плагин "Cookie Monster". Он расположен после установки в системном трее и обеспечивает быстрый доступ к куки настройки для открытой страницы. Cookie Monster делает, чтобы настроить изначально мало работы, так как многие сайты не работают без печенья на самом деле, но через некоторое время, чтобы получить наилучший уровень личной гигиены печенья. Cookie Monster находится здесь: https://addons.mozilla.org/de/firefox/addon/cookie-monster/
Совет 4: отслеживание JavaScripts, фреймов и флэш-роликов с NoScript запрет
Большинство куки устанавливаются JavaScripts. Потому что так много сайтов, которые непригодны, когда полное отключение JavaScript, вы должны сделать выбор здесь, к сожалению, так же, как печенье. Отслеживание также может быть сделано с помощью фреймов и флэш-роликов, а также помогает NoScript.
Вот тот же подход: во-первых, запретить все скрипты раз полностью и потом мало-помалу позволяют необходимых скриптов. Это помогает плагин Firefox NoScript, который похож на Cookie Monster из системного трея и позволяет получить доступ от разрешения или запрета Javascript на страницу посетил. Даже здесь есть большое напряжение в начале, почти ничего не работает больше. К тому времени у вас есть плагин, однако, так хорошо приспособлены к их личным потребностям, что вряд ли затруднено. В качестве приятного побочного эффекта многие страницы загружаются значительно быстрее, потому что они не должны перезагрузить страницу в то же время здание различные внешние данные третьим лицам.
Совет 5: IP-адрес анонимного с TOR Кнопка
По предыдущей советы я теперь выключен по крайней мере один раз до 99,9% третьего трекеры стороны. Я иду, чтобы получить сайты, но до сих пор, кто я есть, и может отслеживать IP-адреса. Это помогает TOR сети, через которые Вы можете анонимно просматривать. Это похоже на Prizip GoogleSharing. Его собственный адрес IP теряется в большой пул адресов и других следов уже не сами по себе соединение.
TOR, к сожалению, достаточно медленно и поэтому не подходит для повседневного использования. Но иногда может быть очень полезным. ТЗ является плагином для интеграции очень легко и быстро в Firefox и выключается. Дополнительную информацию и загружаемые здесь: https://www.torproject.org/torbutton/
Совет 6: Удаление рекламы AdBlock Plus
Все баннеры, которые не были приняты предыдущие советы уже, то вы можете удалить его с AdBlock Plus. Этот плагин использует список серверов, на рекламодателей и блокирует доступ к своим серверам. Firefox не может загрузить рекламные баннеры и больше фильмов и соответствующие позиции остаются пустыми на веб-сайтах. Плагин работает полностью автоматически и поймал много рекламы, прежде чем попасть браузера. Реклама, которую AdBlock автоматически не блоки могут быть нанесены вручную, так что AdBlock может блокировать его и признать это. Adblock его здесь: https://addons.mozilla.org/de/firefox/addon/adblock-plus
Интернет информации о регистрации в Дюссельдорфе делает плохое впечатление
Я был не совсем ясно, какие персональные данные могут пройти регистрацию офиса кому. Я после некоторых исследований по этой акции толкнул пиратами, которые называют противостоять раскрытия свои собственные данные в регистрационном офисе. Многие офисы обеспечивают регистрацию данных, которые теперь все! Платит. Это можно избежать только путем противоречие.
Данные из бюро регистрации будут направлены на:
Государственные органы, в случае законный интерес в контексте оказания помощи
Например, полиция, прокуратура, статистических управлений и т.д.
GEZ
Братья, мы уже знаем слишком хорошо.
Стороны, избиратель групп и других источников в номинациях Касающихся парламентских и местных выборов; § 35 пункт 1 MG Северном Рейне-Вестфалии
Чтобы получить довольно глянцевой рекламной кампании.
истцам и партий в связи с петициями и Референдумы с гражданами и принятия решений; § 35 пункт 2 MG Северном Рейне-Вестфалии
Для того чтобы получить глянцевое поможет Вам сделать частых референдумов.
на пути автоматизированного поиска в Интернете; § 34 Abs.1b MG Северном Рейне-Вестфалии
Вот в чем дело, что я не знала. Может иметь интернет-портал
любой, кто знает некоторые характеристики человека автоматически через Интернет
Получить информацию отчетности. Запрос в настоящее время стоит € 4 на каждую запись в Дюссельдорфе.
Закон о регистрации NRW говорится в этом пункте:
§ 34 Abs.1b MG Северном Рейне-Вестфалии (1б) Если вызов будет возможным через Интернет, убедитесь в том, что применение процедур и предоставление информации осуществляется в зашифрованном виде. Открытие доступа должны быть достоянием гласности. Вызов не допускается, если лицо возражало против такой формы обмена информацией. Регистрирующий орган отметить позднее чем за месяц до открытия доступа к сети Интернет путем публичного уведомления о праве на объект. Кроме того, § 35 пункт 6, предложение 2 применяется.
Обжаловать передачу данных можно, заполнив форму. Дюссельдорф для этого здесь: https://formulare.duesseldorf.de/forms/frm/7PRPfAZH5gQA8Ja8AkNGaH1rNpDcHR3 Это обвинение может быть освобождено в государственных учреждениях. Тогда никакая онлайн-доступ можно на их собственных данных больше. Видимо, запросы данных из соответствующих региональных городах и уездах организована.
Когда я спросил (очень дружелюбный) клерка в офисе, чтобы граждане, могли бы
Я не извиняюсь сказать адрес запрос портала. Быстрый поиск привел меня тогда, но быстро и по эту сторону городе Дюссельдорф:
https://www.duesseldorf.de/emra/emra.jsp?stadt=D% FCsseldorf и тип = город
Портал был технически очень сомнительное, мягко говоря впечатление.
Прежде всего, кажется, нет капчи или аналогичных дать. Земли запрос представляется возможным с соответствующими скриптами.
Кроме того, веб-приложений с утвержденным следующий запрос в моей тестовой сообщение об ошибке Tomcat, потому что я не включены куки:
Я читал это, но затем все под сомнение профессионализм приложение, которое предоставляет доступ к данным всех граждан предлагает город. Сценарий не должен разбить если условия не существуют на компьютере пользователя (в данном случае мои отсутствует печенья). Сценарий сообщений об ошибках от веб-серверов, которые не продуктивно использовать для отключения является небрежность , поскольку он может выявить много о системной среды используется. Особенно, когда одна JSP (как на скриншоте выше), в зависимости от конфигурации сервера, а также комментарии от программиста, чтобы получить Quelltextschnippsel. Это был небрежен. В интерфейс к персональным данным, не должно произойти.
Позвольте мне сидеть и использовать версию Tomcat, который также появляется в сообщении об ошибке ниже. (Apache Tomcat/6.0.24) Это старая версия веб-сервера на 21/01/2010. Текущая версия 6.0.33. Сервер имеет четыре регистра долго версии не обновляются. Если вы посмотрите на уязвимости, которые были рассмотрены в этой последней версии, она становится неудобной. Сервер, очевидно, не в лучшем состоянии:
http://tomcat.apache.org/security-6.html Исправлено в Apache Tomcat 6.0.33 выпущен 18 августа 2011 Умеренное: несколько слабых мест в HTTP Digest аутентификации CVE-2011-1184 Реализация аутентификации HTTP Digest было обнаружено несколько слабые стороны: атак были разрешены сервер nonces не проверялись рассчитывает клиент данное время не были проверены QOP ценности не были проверены область значений не были проверены сервера тайной было жестко, чтобы известные строки результате этих недостатков является то, что только то, что DIGEST аутентификации, безопасна, как обычная проверка подлинности. Это было исправлено в ревизии 1158180th Это было, выявленных группой безопасности Tomcat 16 марта 2011 года и обнародовано 26 сентября 2011 года. Влияет на: 6.0.0-6.0.32 низкая: раскрытие информации CVE-2011-2204 При использовании памяти базы данных пользователей (на основе кот-users.xml) и создания пользователей с помощью JMX, исключение в процессе создания пользователь может вызвать сообщение об ошибке в Клиент JMX, который включает пароль пользователя. Это сообщение об ошибке записывается в Tomcat журналов. Пароли пользователей видны администраторам JMX доступа и / или администраторам доступ на чтение к кот-users.xml файл. Не то, чтобы эти пользователи имеют разрешений, но могут читать лог-файлы могут быть в состоянии обнаружить пароль пользователя. Это было исправлено в ревизии 1140071-й Это было определено Полина Genova 14 июня 2011 года и обнародовано 27 июня 2011th Влияет на: 6.0.0-6.0.32 низкая: раскрытие информации CVE-2011-2526 обеспечивает поддержку Tomcat для отправки файла с HTTP и HTTP NIO разъемы в апреле. SendFile используется для содержания автоматически подается через DefaultServlet и развернутых приложений могут использовать его непосредственно через веб-установки атрибутов запроса. Эти атрибуты не были подтверждены запросу. При работе под менеджера безопасности, отсутствие проверки позволили вредоносных веб-приложений, чтобы сделать одну или несколько из следующих, которые обычно препятствуют менеджер безопасности: возврат файлов пользователям, что безопасность менеджер должен сделать недоступными прекратить (через крах ) JVM Кроме того, эти уязвимости только в том случае, когда все следующие условия: ненадежные веб-приложений, которые используются менеджера безопасности используется для ограничения ненадежного веб-приложений HTTP NIO или HTTP апреля разъем используется SendFile включена для разъема (это по умолчанию) Это было исправлено в ревизии 1146703rd Это было, выявленных группой безопасности Tomcat 7 июля 2011 года и обнародовано 13 июля 2011th Влияет на: 6.0.0-6.0.32 Важно: Раскрытие информации CVE-2011-2729 В связи с ошибкой в коде возможности, jsvc (услуга оболочка для Linux, которая является частью проекта общин Daemon) не падает возможности Разрешение приложений доступ к файлам и каталогам принадлежащих суперпользователя. Эта уязвимость возникает только тогда, когда все следующие условия: Tomcat работает на операционной системе Linux собран с libcap что jsvc пользователей кот параметр используется Уязвимые версии поставляется с исходными файлами для jsvc, которая включала эту уязвимость. Это было исправлено в ревизии 1153824th Это было определено Вильфрид Вейсман 20 июля 2011 года и обнародовано 12 августа 2011 года. Влияет на: 6.0.30-6.0.32 Исправлено в Apache Tomcat 6.0.32 выпущен 3 февраля 2011 Примечание: вопрос ниже была зафиксирована в Apache Tomcat 6.0.31 версии, но голосовать за 6.0.31 релиз-кандидат не прошел. Поэтому, хотя пользователи должны загрузить 6.0.32 для получения версии, которая включает в себя исправление для этой проблемы, версия 6.0.31 не включен в список уязвимых версий. Важно: удаленный отказ в обслуживании CVE-2011-0534 NIO разъем расширяет линейку буфера бесконечно во время обработки запроса. Такое поведение может быть использована для отказа в обслуживании нападение с применением тщательно запросу. Это было исправлено в ревизии 1066313th Это было, выявленных группой безопасности Tomcat 27 января 2011 года и обнародован 5 февраля 2011. Влияет на: 6.0.0-6.0.30 Исправлено в Apache Tomcat 6.0.30 выпущен 13 января 2011 Мин: межсайтовый скриптинг CVE-2011-0013 веб-менеджер HTML интерфейса приложения предоставила данные отображаются, например, отображение имен, без фильтрации. Вредоносный веб-приложений может спровоцировать выполнение скрипта от пользователя с правами администратора при просмотре менеджера страниц. Это было исправлено в ревизии 1057270th Это было, выявленных группой безопасности Tomcat 12 ноября 2010 года и обнародован 5 февраля 2011. Влияет на: 6.0.0-6.0.29 Умеренный: межсайтовый скриптинг CVE-2010-4172 менеджер приложение, используемое, и пользователь при условии, параметры сортировки OrderBy непосредственно без фильтрации, тем самым разрешая межсайтовый скриптинг. Это было исправлено в ревизии 1037779th Это было впервые сообщено команде безопасности Tomcat 15 ноября 2010 года и обнародован 22 ноября 2010. Влияет на: 6.0.12-6.0.29 Температура SecurityManager файл разрешения обойти CVE 2010-3718 При работе под менеджера безопасности, доступ к файловой системе ограничен, но веб-приложений, предоставляются права чтения / записи для работы каталог. Этот каталог используется для различных временных файлов, таких как промежуточные файлы, созданные при компиляции страниц JSP в сервлеты. Место работы каталог определяется ServletContect атрибут, который предназначен для чтения только для веб-приложений. Однако из-за ошибки в коде, только для чтения, установка была применена нет. Таким образом, вредоносный веб-приложение может изменить атрибут перед Tomcat Применяется права доступа к файлам. Это можно использовать для предоставления права чтения / записи в любой район на файловую систему, которая вредоносных веб-приложения могут затем воспользоваться. Эта уязвимость распространяется только при размещении веб-приложений из ненадежных источников, таких как виртуальный хостинг средах. Это было исправлено в ревизии 1022560th Это была обнаружена командой безопасности Tomcat 12 мая 2010 года и обнародован 5 февраля 2011. Влияет на: 6.0.0-6.0.29 Исправлено в Apache Tomcat 6.0.28 выпущен 9 июля 2010 Важно: Удаленный отказ в обслуживании и уязвимость раскрытия информации CVE-2010-2227 Некоторые недостатки в работе с заголовком "Transfer-Encoding 'были найдены Предотвращена, что утилизация буфера. Удаленный злоумышленник может вызвать этот недостаток, который может вызвать последующие запросы на провал, и / или утечки информации между запросами. Этот недостаток сводится к минимуму, если Tomcat находится за обратный прокси-сервер (например, Apache HTTPD 2.2) в качестве прокси должны отвергнуть неверный заголовок кодировки передачи. Это было исправлено в ревизии 958 977-й Это было впервые сообщено команде безопасности Tomcat 14 июня 2010 года и обнародован 9 июля 2010. Влияет на: 6.0.0-6.0.27 Примечание: вопрос ниже была зафиксирована в Apache Tomcat 6.0.27 версии, но голосовать за 6.0.27 релиз-кандидат не прошел. Поэтому, хотя пользователи должны загрузить 6.0.28 для получения версии, которая включает в себя исправление для этой проблемы, версия 6.0.27 не включен в список уязвимых версий. Температура Раскрытие информации в заголовки аутентификации CVE-2010-1157 WWW-Authenticate HTTP заголовка для основной и дайджест-проверки подлинности включает в себя имя области. Еслиэлемент, указанный в web.xml для приложения оно будет использоваться. Тем не менее, не указан, то Tomcat будет генерировать имя сферы использования фрагментов кода request.getServerName () + "" + request.getServerPort (). В некоторых случаях это может открыть локальное имя хоста или IP-адрес компьютера, под управлением Tomcat. Это было исправлено в ревизии 936 540-й Это было впервые сообщено команде безопасности Tomcat 31 мая 2009 года и обнародованы 21 апреля 2010. Влияет на: 6.0.0-6.0.26
Все это кажется весьма неопределенным, и для меня является примером воли государства жили конфиденциальности. Данные проданы, и вряд ли кто знает. Техническая реализация оставляет желать лучшего, и работает на очень технические системы, как известно, являются ошибочными и нуждаются в обновлении в срочном порядке. Кроме того, похоже, окончательной проверки и принятия квалифицированных ИТ-проектов (известно состояние, как правило, довольно дорогие) не всегда имеет место.
Единственный плюс точка могу отметить, что, кажется, нет центрального общенациональный портал с онлайн-чтение для всех данных отчетности. Тогда мы, конечно, не далек от того, что израильтяне это случилось недавно .
Я рад, что я держал меня, но если кто не понимает некоторых уголовных энергии и технических знаний все еще может произойти (бесплатный) для меня (и все остальные), я думаю, по крайней мере сомнительна. На первый взгляд, система Дюссельдорфе не крепок против атак.
Tweet Neglector. Небольшой скрипт PHP удалять старые твиты из щебетать
Tweet автоматизирует процесс Neglector удаление старых твитов с вашего счета Twitter. В основном это обеспечивает "истекает" функциональности для твитов. Это полезно для людей, которые хотят использовать Твиттер, но не хотите истории их чириканье, чтобы оставаться в сети и на протяжении десятилетий.
ИСТОРИЯ: 20 ноября 2011 | Версия 0.1 Первоначальная версия. Удаляет Чириканье 28 декабря 2011 | Версия 0.2 Малый исправляет ошибку. Теперь удаляет ретвитов, а также. Известные ошибки: - Не будет работать, если вы чирикать более 1000 твитов в сроки Вы планируете держать твитов. То же самое для ретвитов (100 попыток). Эти недостатки Twitter API GET Я использую банкомат. Может быть, я это исправить в следующей версии
Tweet Neglector использует Twitter API, чтобы удалить все сообщения, в которых были размещены до заданного числа дней с этого времени. Таким образом, вы можете настроить скрипт, чтобы удалить все твиты, которые старше, чем на неделю или на месяц, например. Сценарий должен быть автоматически запускаться с работы крон или другой механизм автоматизации на регулярной основе.
Этот сценарий не может защитить вас от внешних архивов чирикать. Так что неизвестно, если удален твитов архивируются спокойно на Twitter (Бьюсь об заклад, они). Так (как всегда) думать прежде, чем чирикать.
Tweet Neglector использует PHP в качестве языка сценариев и связки Twitter OAuth библиотеки из Мэтт Харрис для доступа к API.
Установка
- PHP5, необходимых для tmhOAuth - Распаковать архив в каталог по вашему выбору. - Зарегистрируйте свой Twitter API ключи на https://dev.twitter.com/apps - Изменение конфигурации сценария в соответствии с вашими потребностями: # Twitter API ключи, жетоны и секреты # Получить эти клавиши -> https://dev.twitter.com/apps $ Consumer_key = "Ваш ключ здесь"; $ Consumer_secret = "Ваш ключ здесь"; $ Access_token = "Ваш ключ здесь"; $ Access_token_secret = "Ваш ключ здесь"; # Количество твитов за одну сессию для работы на Tweets_per_session = $ 1000; # Щебетать Имя $ Twitter_username = "Ваше имя пользователя ЗДЕСЬ"; # Сколько дней хранить твитов $ Keep_days = 30; - Запуск сценария вручную из браузера, консоль, или автоматически с помощью cronjob / USR / BIN / PHP / VAR / WWW / tweetneglector / tweetneglector.php
Tweet Neglector 0,2 скачать здесь
HOWTO: Быстрые и грязные DHCP-сервер и DNS-кэш Dnsmasq на Ubuntu
DHCP в локальной сети носит практический характер. Man muss nicht mehr die Netzwerkkonfiguration jedes einzelnen Rechners im Netzwerk an den Clients selbst verwalten, sondern hat alles schön zentral auf dem Server. Durch DNS-Caching sparen die Clients ein wenig Zeit beim Auflösen von Hostnames, da die Anfragen für bekannte Hostnames vom lokalen Cache übernommen werden können und nicht mehr an einen Server im Internet gestellt werden müssen.
Ein kleiner DHCP-Server ist mit dnsmasq sehr schnell eingerichtet.
# dnsmasq installieren apt-get install dnsmasq
Die Konfiguration findet zentral in der Datei /etc/dnsmasq.conf statt. Man sollte sich vor den geballten Konfigurationsoptionen in der Datei nicht abschrecken lassen. So gut wie alles dient nur als Beispiel und ist per default auskommentiert. Eine sehr kurze Konfig reicht bereits für ein funktionierendes Setup:
DHCP
# DHCP netmask # Clients bekommen 255.255.255.0 als Netmask dhcp-option=1,255.255.255.0 # default gateway # Clients bekommen als Gateway 192.168.1.251 dhcp-option=3,192.168.1.251 # dns # Clients bekommen als Nameserver 192.168.1.4 # Falls man dnsmasq auch als DNS-Cache benutzen möchte, sollte dies die # IP des Servers sein, auf dem dnsmasq läuft dhcp-option=6,192.168.1.4 # Für bekannte Rechner immer dieselbe IP anhand der MAC-Adresse vergeben: # Hier bekommt der Rechner mit der MAC 00:11:22:33:44:55 die IP 192,168.1.1 für 12 Stunden dhcp-host=00:11:22:33:44:55,lobby,192.168.1.1,12h dhcp-host=00:11:22:33:44:66,lobby2,192.168.1.2,12h # Alle Rechner, die nicht per MAC identifiziert werden können, erhalten IPs # aus dem Pool 192.168.1.120 bis 150 dhcp-range=192.168.1.120,192.168.1.150,12h
DNS
Die DNS-Funktionalität von dnsmasq benötigt eigentlich keine Konfiguration.
dnsmasq besorgt sich seine Nameserver aus /etc/resolv.conf . Hier sollten die
bekannten Nameserver des Providers eingetragen werden und evtl noch als Fallback
die 8.8.8.8 für Googles DNS-Server.
Weitere Hostnames, die im lokalen Netz gelten sollen, können dnsmasq in der Datei
/etc/hosts bekannt gemacht werden. Hier eingetragene Hostnames stehen allen Rechnern
im LAN zur Verfügung.
Fallstricke
dnsmasq muss nach Konfigänderungen seine Konfigurationsdateien neu einlesen
/etc/init.d/dnsmasq restart
Falls Clients noch eine Lease vom alten DHCP-Server haben, kann man sie manuell dazu bringen, einen neuen DHCP-request zu starten.
#Linux dhclient eth0 #Windows ipconfig /RELEASE ipconfig /RENEW
Dringend muss man darauf achten, den bisher genutzen DHCP-Server (meistens im Router zum Internet) zu deaktivieren. 2 DHCP-Server im LAN können viel Chaos generieren.
Wlan für EEE 1000H rt2860 unter Ubuntu
Mit irgendeinem Update in letzter Zeit wurde das WLAN auf meinem EEE PC 1000H unter Ubuntu recht instabil. Dauernde Verbindungsabbrüche, kein WLAN nach Suspend, langsame Verbindung, etc.
Ich bin mir nicht ganz sicher woran es liegt, wahrscheinlich hat der rt2860 Treiber mit irgendeinem Update einen Bug bekommen.
Zum Glück kann das Problem durch die Installation der Windows-Treiber mit ndiswrapper gelöst werden.
Dies ist nur eine etwas verkürzte deutsche Übersetzung der englischen Originalanleitung von nevdelap aus dem Ubuntuforum. (Vielen Dank)
1. Windows Treiber saugen und entpacken (comm_driver_gigabyte_mimobility_v.1.3.1.0.15.zip)
Второй Linux Treiber blacklisten
#/etc/modprobe.d/blacklist.conf blacklist rt2x00lib blacklist rt2x00pci blacklist rt2x00usb blacklist rt2400pci blacklist rt2500pci blacklist rt2500usb blacklist rt2800lib blacklist rt2800pci blacklist rt2800usb blacklist rt61pci blacklist rt73usb blacklist rt2600 blacklist rt2860 # Asus eee 1000H has an rt2860. To be loaded by ndiswrapper. blacklist b43 blacklist b43legacy blacklist ssb blacklist r8192s_usb
Треть Mit ndisgtk den Windowstreiber aus drivers/GN-WI30N_WP30N_WS30N_WS30HN_WS31N/WINXP2k installieren
sudo ndisgtk
Четвёртое Grub konfigurieren
#/etc/default/grub GRUB_CMDLINE_LINUX_DEFAULT="pciehp.pciehp_force=1 pciehp.pciehp_poll=1 quiet splash"
sudo update-grub2
Пятый Powermanagement Rule erstellen
#/etc/pm/sleep.d/ndiswrapper
#!/bin/bash
case "$1" in
hibernate|suspend)
sudo rmmod ndiswrapper
;;
thaw|resume)
sudo modprobe ndiswrapper
;;
*)
;;
esac
exit $?
chmod +x /etc/pm/sleep.d/ndiswrapper
Шестой Reboot
Danach läuft das WLAN schnell und stabil.
PHP Spickzettel
Hier sammele ich nützliche PHP Codeschnipsel
Pseudo Multithreading mit screen
#!/usr/bin/php5 for ($i=1;$i<50;$i++) { echo "starting $i\n"; exec("screen -d -m /usr/bin/php5 ./thread.php"); } MySQL Server has gone away in lange laufenden PHP-Shellscripten
#/etc/php5/cli/php.ini mysql.allow_persistent = On mysql.max_persistent = -1 mysql.max_links = -1 mysql.connect_timeout = -1
Company Connect – Spass mit dem Telekom Vertrieb
Ein Kunde hatte ein Problem. Wegen einer speziellen Applikation, wurde ein schnellerer Ping nach Taiwan benötigt. Ein herkömmlicher Telekom DSLer brachte konstant 290 - 320ms zu Hinet, einem grossen taiwanesischen Provider. Eine streßfreie Nutzung der Applikation war mit diesen Paketlaufzeiten nicht möglich, deshalb forschte man nach Alternativen um eine schnellere Verbindung herzustellen. Ich war von Anfang an skeptisch ob eine Verbesserung der Situation überhaupt möglich war. Mit dem DSLer wurden die Pakete zunächst über das Telekom-Netz nach New York geroutet. Von dort aus ging es mit AT&T weiter quer durch die USA, dann über den Pazifik zu Hinet. Von Kalifornien bis Taiwan entstand der Hauptteil der Paketlaufzeit - fast 200ms. Meiner Meinung nach wäre eine Verbesserung nur möglich gewesen, wenn die Telekom selbst einen Backbone ihres Netzes in Taiwan unterhalten würde. Bei meiner Suche nach Anbietern, die das unmögliche leisten könnten, stieß ich auf das Telekom-Produkt Company Connect , das aus einer Standleitung besteht, die direkt an den Telekom-Backbones hängt. Telefonisch versicherte man mir, dass man mit "CoCo" ohne weiteres einen Ping unter 50ms nach Asien erreicht. Ich war freudig überrascht, aber nach wie vor skeptisch. Einige Tage später kam ein jung-dynamischer Telekom-Vertriebler ins Haus und bestätigte die Behauptung der Hotline erneut. "Ich habe mich für Sie erkundigt, das ist alles kein Problem. Die Telekom unterhält weltweit Backbones." Beim verlassen des Gebäudes erzählte er mir noch, dass er sich gerade einen neuen BMW bestellt hätte. Sehr schön. Am nächsten Tag kam per E-Mail direkt der Vertrag ins Haus. Wir schickten ihn mit dem Zusatz zurück, dass wir den Vertrag stornieren können, falls keine Pings unter 100ms nach Taiwan erreicht werden könnten. Die Telekom unterschrieb. Danach passierte erst einmal lange nichts mehr. Der Vertriebler hatte eine Schaltung innerhalb eines Monats zugesichert. Nach einem Monat fragten wir nach, der Vertriebler war allerdings ab dann (bis heute) nicht mehr erreichbar. Auch E-Mails an seine Abteilung wurden nicht beantwortet. Nach 2 1/2 Monaten wurden wir ungeduldig und drohten mit einer Stornierung des Auftrags, falls nicht innerhalb einer Woche ein Termin für die Schaltung vereinbart werden könnte. Danach ging es plötzlich sehr schnell. Die "Eskalationsstelle" organisierte einen Termin für uns, die Leitung wurde geschaltet. Für einen ersten Test klemmte ich einen Router und mein Netbook an die brandneue Leitung.
box-ww-11:57:35 ~ -> ping www.hinet.net PING www.hinet.net (202.39.224.7) 56(84) bytes of data. 64 bytes from 202-39-224-7.HINET-IP.hinet.net (202.39.224.7): icmp_req=1 ttl=237 time=306 ms 64 bytes from 202-39-224-7.HINET-IP.hinet.net (202.39.224.7): icmp_req=2 ttl=237 time=306 ms
LOL. Was hätte man anderes erwarten können? Exakt die gleichen Ping-Werte wie zuvor. Exakt die gleiche internationale Route wie zuvor. Kein technisches Problem. Einfach nur viel Bullshit-Blah-Blah. Ich bin gespannt, ob die Kündigung genauso "problemlos" funktionieren wird wie die Schaltung.
XS UMTS Stick W14 unter Ubuntu
Der XS Stick W 14 unter Ubuntu zickte ein wenig herum. Gelegentlich erkannte der Network-Manager ihn als USB-Modem, dann konnte er allerdings trotzdem keine Verbindung herstellen. Nach ein wenig erfolgloser Frickelei bin ich auf das Sakis3G Script gestoßen, das verspricht mit fast allen Sticks eine Verbindung herstellen zu können. Und tatsächlich: Es hat mit Sakis3G sofort funktioniert. Empfehlenswert, wahrscheinlich auch für andere Sticks.
TYPENSCHILD XS Stick W14 P/N 3000.000056.00 www.4g-systems.com
#lsusb Bus 002 Device 006: ID 1c9e:9603
# /var/log/syslog beim Einstecken Jun 19 20:41:04 box kernel: [74186.796148] usb 2-2: new high speed USB device using ehci_hcd and address 7 Jun 19 20:41:04 box kernel: [74186.946031] scsi11 : usb-storage 2-2:1.0 Jun 19 20:41:05 box usb_modeswitch: switching 1c9e:f000 (USB Modem: USB Modem) Jun 19 20:41:06 box kernel: [74189.293850] usb 2-2: USB disconnect, address 7 Jun 19 20:41:07 box kernel: [74189.660069] usb 2-2: new high speed USB device using ehci_hcd and address 8 Jun 19 20:41:07 box kernel: [74189.819348] option 2-2:1.0: GSM modem (1-port) converter detected Jun 19 20:41:07 box kernel: [74189.819577] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB0 Jun 19 20:41:07 box kernel: [74189.819802] option 2-2:1.1: GSM modem (1-port) converter detected Jun 19 20:41:07 box kernel: [74189.819950] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB1 Jun 19 20:41:07 box kernel: [74189.820220] option 2-2:1.2: GSM modem (1-port) converter detected Jun 19 20:41:07 box kernel: [74189.820395] usb 2-2: GSM modem (1-port) converter now attached to ttyUSB2 Jun 19 20:41:07 box kernel: [74189.821414] scsi12 : usb-storage 2-2:1.3 Jun 19 20:41:07 box modem-manager[10480]:(ttyUSB1) opening serial port... Jun 19 20:41:07 box modem-manager[10480]: (ttyUSB0) opening serial port... Jun 19 20:41:07 box modem-manager[10480]: (ttyUSB2) opening serial port... Jun 19 20:41:08 box usb_modeswitch: switched to 1c9e:9603 (USB Modem: Modem Configuration) Jun 19 20:41:08 box kernel: [74190.823474] scsi 12:0:0:0: Direct-Access USBModem Disk 2.31 PQ: 0 ANSI: 2 Jun 19 20:41:08 box kernel: [74190.825402] sd 12:0:0:0: Attached scsi generic sg3 type 0 Jun 19 20:41:08 box kernel: [74190.833436] sd 12:0:0:0: [sdc] Attached SCSI removable disk
12 Maßnahmen um einen Linux root LAMP Apache MySQL PHP Webserver abzusichern
Die Hacking-Frequenz ist in den letzten Monaten stark angestiegen. Besonders viele Daten werden abgegriffen durch Hacks auf Webserver. Sogar der SONY-PSN-Hack nutzte Schwachstellen in einem ungepatchten Apache-Webserver. Deshalb sammele ich hier Maßnahmen, die den eigenen Server etwas sicherer gegen Angriffe von außen machen können. Natürlich bieten auch diese keinen 100%igen Schutz, aber es ist besser, den bösen Buben das Spiel ein wenig schwieriger zu machen. Einige der Maßnahmen benötigen nur einen minimalen Installations- und Wartungsaufwand. Andere benötigen viel Zeit und Kenntnisse von PHP um zu greifen. Man sollte immer auf das Kosten-Nutzen-Verhältnis bei der Auswahl der Sicherheitsmaßnahmen achten. Es macht keinen Sinn, eine kleine, private Website so abzusichern wie die Federal Reserve Bank. Allerdings können wenige gezielte Änderungen am System bereits ein großes Mehr an Sicherheit bedeuten. Und das sollte man sich schon gönnen, bevor es zu spät ist....
Alle Tipps und Codesnips beziehen sich auf eine aktuelle Debian-Kiste.
Первый Die Firewall - erst einmal alles verbieten
Die meisten Linux-Distributionen öffnen in ihren Standardinstallationen keine Ports nach außen, die nicht unbedingt notwendig sind. Diese Situation kann man jedoch schnell selbst ändern, wenn man am Server
herumspielt und Dinge ausprobiert. Plötzlich lauscht auch der Mediaserver im Internet oder die Datenbank
nimmt Verbindungen aus dem Internet entgegen. Deshalb ist es nicht verkehrt sich selbst zu disziplinieren und eine sehr restriktive Firewall aufzusetzen, die grundsätzlich erst einmal alle Verbindungen von außen verbietet und nur (selbst) ausgewählte Verbindungen gestattet. Zum Glück ist das mit iptables schnell erledigt. Auf diese Art und Weise kann man nicht mehr aus versehen Dienste der Welt zugänglich machen, die dort nichts zu suchen haben. Man bezahlt leider mit etwas Komfort - die Firewall muss jedes Mal angepasst werden, wenn man neue Dienste anbieten möchte. Trotzdem ist der Aufwand klein und der Nutzen groß.
#!/bin/bash # Bestehende Tables löschen iptables -F # Alle eingehenden Verbindungen verbieten iptables -P INPUT DROP iptables -P FORWARD DROP # Alle ausgehenden erlauben iptables -P OUTPUT ACCEPT # SSH erlauben iptables -A INPUT -j ACCEPT -p tcp --dport 22 # HTTP erlauben iptables -A INPUT -j ACCEPT -p tcp --dport 80 # Weiteren Dienst (UDP) erlauben, zum Beispiel Gameserver iptables -A INPUT -j ACCEPT -p udp --dport 4534 # Alles von Localhost erlauben. (Damit der Server selbst ungehindert auf seine Dienste zugreifen kann, # zum Beispiel PHP auf die lokale Datenbank iptables -A INPUT -j ACCEPT -s 127.0.0.1 # Bereits aufgebaute Verbindungen werden an jedem Port akzeptiert # (Notwendig für manche Daemons) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Dieses kleine Grundgerüst kann man einfach weiter ausbauen und eigene Dienste hinzufügen. Bei Arbeiten an der Firewall sollte man immer für den Fall vorsorgen, dass man sich selbst aussperrt. Besonders bei Remote-Servern, auf die man keinen physischen Zugriff hat, ist es sehr ärgerlich, durch eine mißglückte Firewallregel den eigenen Zugriff zu verlieren. Um diesem Problem aus dem Weg zu gehen, kann man bei Arbeiten an der Firewall einfach temporär einen Cronjob starten lassen, der die Firewall alle paar Minuten zurücksetzt oder den Server neu startet. Sind die Regeln später getestet und geliebt, kann der Cronjob wieder deaktiviert werden und die neuen Regeln bleiben permanent aktiv.
Um herauszufinden, welche Dienste gerade auf dem eigenen Server herumlauschen, kann man netstat benutzen:
#Für TCP-Sockets: netstat -lpn | grep tcp #Analog für UDP: netstat -lpn | grep udp
Um zu testen ob die Firewall wirklich funktioniert, kann man den eigenen Server von einem anderen Rechner aus portscannen. Hat alles geklappt, sollten im Ergebnis nur die selbst geöffneten Ports auftauchen:
#Für TCP: nmap -p1-65535 meinserver.de #Für UDP: nmap -sU -p1-65535 meinserver.de
Второй SSH Logins verbieten
Am eigenen root-Server hat man uneingeschränkten SSH-Zugriff. Das ist recht praktisch, da man von jedem SSH-Client aus mal eben auf den Server kann um an ihm zu arbeiten. Der Nachteil davon ist, dass das natürlich auch jeder andere kann, der unglücklicher Weise irgendwie an das eigene Passwort gelangt ist. Es ist viel sicherer SSH-Logins nur mit einer gültigen Schlüsseldatei zu erlauben. Dafür wird der öffentliche Schlüssel des Clients auf den Server kopiert und interaktive Logins per Passworteingabe werden deaktiviert.
# Auf dem Client einen öffentlichen Schlüssel erstellen # Wird bei der Generierung ein Passwort angegeben, benötigt man zum # einloggen später die Schlüsseldatei UND das Passwort. Ansonsten wird # nur der Schlüssel benötigt. ssh-keygen -t rsa # Den erstellten Schlüssel danach auf den Server kopieren ssh-copy-id -i ~/.ssh/id_rsa.pub root@meinserver.de # Danach auf dem Server /etc/ssh/sshd_config anpassen . . PasswordAuthentication no . . # Danach SSh neu starten /etc/init.d/ssh restart
Auch hier sollte man Vorkehrungen treffen, um sich nicht selbst auszusperren, falls etwas nicht funktioniert.
Der Public Key auf einem USB-Stick mit dem dazugehörigen Passwort im eigenen Kopf macht es sehr viel schwerer für böse Buben eine Shell zu erhalten.
Треть SSH Bruteforcing verhindern mit denyhosts
Falls Tipp 2 nicht praktikabel ist und man den Komfort von passwortgestützten Logins nicht aufgeben will, kann man zumindest das automatisierte Passwortraten von Angreifern auf dem Server verhindern. Sehr viele Bots im Internet machen den ganzen Tag nichts anderes als nach SSH-Servern zu suchen und bei Ihnen verschiedenste Passwörter durchzuprobieren. Mit einem halbwegs sicheren Passwort ist das kein großes Problem, trotzdem gibt es ein besseres Gefühl, wenn nicht einmal das möglich ist. Außerdem schützt man so auch seine User, falls auf dem Server auch Useraccounts bestehen. Hier kann man sich nicht darauf verlassen, dass die Benutzer sichere Passwörter verwenden. denyhosts überprüft ständig Logins auf dem ssh und sperrt Benutzer für eine gewisse Zeit, die ihr Passwort wiederholt falsch angegeben haben. Die IP's dieser Nutzer landen temporär in /etc/hosts.deny, so dass für sie kein Zugriff mehr möglich ist. Damit wird SSH-Bruteforcing zu einer sehr langwierigen und wenig erfolgversprechenden Aufgabe.
apt-get install denyhosts # denyhosts funktioniert direkt nach der Installation. Man kann es # in der Datei /etc/denyhosts.conf feintunen
Четвёртое Blacklisten benutzen, um bekannte Problem-IPs auszusperren
Im Internet werden verschiedene Blacklisten gepflegt, die eine große Anzahl von kriminellen/gehackten/spammenden/betrügerischen Servern auflisten. Diese IP-Listen können direkt in die Firewall eingetragen werden, so dass von diesen bekanntermaßen nicht vertrauenswürdigen Rechnern überhaupt keine Verbindung mehr zum eigenen Server möglich ist. So kann man das Spamaufkommen auf dem eigenen Server drastisch verringern und auch das eine oder andere Script-Kiddie aussperren, weil sein Russland-Proxy plötzlich nicht mehr funktioniert. Wie man das macht habe ich bereits in einem anderen Blog-Artikel am Beispiel der Blacklist von Infiltrated.net beschrieben.
Пятый Kein FTP benutzen für die Arbeit am Server
FTP ist ein Relikt aus besseren Zeiten in denen das Internet noch ein kleines vertrauenswürdiges Dörfchen war. Viele Admins von Webseiten nutzen nach wie vor FTP um Dateien zum Server zu übertragen oder um an der eigenen Website zu arbeiten. Das ist leider sehr unsicher, da FTP alle Daten ungesichert übertragt. Passwörter und Daten können an jedem Hop zwischen Server und Client ohne Probleme mitgelesen werden. Viel sicherer geht es mit sshfs. Hiermit kann man sich per SSH ein Verzeichnis des Remote-Servers in sein lokales Dateisystem mounten. Man kann danach auf dem Server so arbeiten, als sei er auf dem lokalen Rechner. Alle Dateizugriffe auf Dateien auf dem Server sind komplett transparant, man kann also auch mit dem lokalen Grafikprogramm ein Bild auf dem Server direkt öffnen, bearbeiten und wieder speichern. Mehr Komfort und mehr Sicherheit ohne großen Aufwand.
#sshfs installieren apt-get install sshfs #mountpoint im lokalen Dateisystem anlegen mkdir /media/meinserver #Server ins lokale Dateisystem mounten sshfs www-data@mein-server.de:/var/www /media/meinserver #Nun ist das Verzeichnis /var/www auf meinserver lokal unter /media/meinserver verfügbar
Шестой Updates installieren
Ein super abgesichertes System hilft nichts, wenn das System selbst fehlerhaft ist und eine bekannte Sicherheitslücke ausgenutzt werden kann. Meist werden diese Sicherheitslücken schnell geschlossen, oft vergessen Admins jedoch regelmäßige Updates des Systems zu machen. Ob man automatische Updates auf Linux-Servern aktivieren sollte oder nicht ist ein strittiges Thema. Einige würden es niemals tun, da es natürlich mit viel Pech auch sein kann, dass die Updates das System unbrauchbar machen. Dies ist mir in über 10 Jahren Arbeit an Debian-Systemen allerdings niemals passiert und ich schätze den Nutzen von zeitnahen und regelmässigen Updates viel höher ein, als die daraus entstehende Gefahr.
#Diese Zeile in der /etc/crontab aktualisiert das System täglich um 6 Uhr morgens 0 6 * * * root apt-get update && apt-get -y upgrade
Diese Quick-and-dirty Methode funktionierte bei mir bisher immer gut. Vor kurzem habe ich gelesen, dass im Debian Repository auch das Paket unattended-upgrades existiert, das die Aufgabe wohl etwas eleganter löst, ich habe es allerdings bisher nicht getestet.
Auch bei diesen vollautomtischen Systemupdates ist man nicht komplett aus dem Schneider. Falls ein Kernel-Update ausgeliefert wurde, muss man das System trotzdem noch per Hand neu booten, da ansonsten die Änderungen nicht aktiv werden.
Benutzt man fremden PHP-Code auf dem Server, wie zum Beispiel ein Open-Source CMS oder ein Forum, ist es natürlich absolut notwendig auch diesen Code mit neuen Versionen aktuell zu halten. Da Debian mit seinen Updates Änderungen an diesen Applikationen in der Regeln nicht abdeckt, ist hier Handarbeit nötig. Am besten liest man die Mailinglisten der entsprechenden Produkte mit um immer auf dem Laufenden zu sein.
Седьмой PHP einsperren mit open_basedir
Viele Hacks basieren darauf, dass eine Sicherheitslücke im PHP-Code ausgenutzt wird, um auf Dateien im Dateisystem zuzugreifen, die nicht zur Website gehören, sondern zum System selbst. Deshalb sollte man PHP einsperren, so dass es nur in explizit erlaubten Verzeichnissen lesen und schreiben darf. Dafür bietet die php.ini die Konfigurationsoption open_basedir. PHP hat nach setzten der Option nur noch Zugriff auf die dort erlaubten Verzeichnisse. Dateien wie /etc/passwd werden unerreichbar. Hostet man auf einem Server mehrere Webseiten sollte man open_basedir in der jeweiligen VirtualHost-Konfiguration pro Seite setzen.
# Global per php.ini: # /etc/php5/apache2/php.ini open_basedir = /var/www/:/tmp/ # Per Site in der VirtualHost Config: php_value open_basedir /var/www/site/:/tmp/
Wichtig ist zu prüfen ob wirklich alle Orte eingetragen wurden, auf die die Skripte normalerweise Zugriff haben müssen, ansonsten kann es sein, dass man auch legitime Funktionen der PHP-Applikation behindert.
Восьмой Für Websites einen eigenen MySQL-Benutzer anlegen
Benutzt die eigene PHP-Applikation MySQL, sollte man unbedingt für die Apllikation einen eigenen MySQL-Benutzer anlegen und auf keinen Fall den MySQL-root-Benutzer für Zugriffe nutzen. Außerdem sollte man die Rechte des Benutzers so weit einschränken, dass wirklich nur noch Operationen erlaubt sind, die das PHP-Skript benötigt. CREATE TABLE und DROP TABLE werden zum Beispiel häufig bei SQL-Injections genutzt und werden in den meisten PHP-Applikationen nie benötigt. Hostet man mehrere Websites mit mehreren Datenbanken auf einem Server, sollte man für alle Datenbanken eigene Benutzer anlegen. So hat ein Angreifer nach einem erfolgreichen Angriff nur Zugriff auf eine der Datenbanken und nicht direkt auf alle. Wenn man nicht die Kommandozeile bemühen möchte, um die MySQL-Useraccounts zu verwalten, funktioniert das Usermanagement auch recht einfach mit PHPmyAdmin unter der Registerkarte "Rechte".
Девятый PHP Fehlermeldungen abschalten
PHP-Fehlermeldungen können einem Angreifer viel über den eigenen Server verraten: Verzeichnisstrukturen, Datenbankstrukturen, Konfigurationsfehler, etc. Außerdem sehen sie für den Benutzer sehr unprofessionell aus. Aus diesem Grund sollte man sie auf einem Live-Webserver grundsätzlich abschalten, da man sie ohnehin weiterhin in den Logs sehen kann.
# Global per php.ini: # /etc/php5/apache2/php.ini display_errors = Off # Per Site in der VirtualHost Config: php_flag display_errors Off # Fehlermeldungen trotzdem lesen: cat /var/log/apache2/error.log | grep PHP
Десятый Angriffsfläche für SQL-Injections einschränken mit modSecurity
SQL-injections sind die wohl am häufigsten genutzte Angriffsmethode auf Webserver. Der Zugriff erfolgt direkt über die Webapplikation und es genügt ein Browser um sie durchzuführen. Dabei werden über vom User übermittelte Variablen geschickt SQL-Abfragen eingebaut, die mit den Rechten des Datenbankbenutzers alles an der eigenen Datenbank nach belieben auslesen, löschen oder bearbeiten können. Ein wirklicher echter Schutz gegen SQL-Injections besteht nur, wenn der PHP-Code der Site im Hinblick auf diese Angriffe geschrieben wurde. Jede Variable aus Benutzereingaben, die in eine SQL-Abfrage gelangen könnte, muss geprüft und escaped werden. PHP bietet dafür die Funktion real_mysql_escape_string().
Ist man nicht sicher, ob der Code sauber ist, kann mod_security für den Apache helfen eine große Menge dieser Angriffe trotzdem abzuwehren. mod_security überprüft ständig alle Requests an den Webserver und reagiert auf vorgefertigte Muster mit denen viele SQL-Injection-Angriffe abgewehrt werden können. Leider funktioniert auch mod_security nur gut mit manuellem Aufwand. Oft blockt mod_security nach einer frischen Installation auch gewünschte (normale) Funktionen des eigenen PHP-Codes, so dass einem nichts anderes übrig bleibt, als die komplette Applikation nach der Installation einmal durchzutesten. Nur so findet man heraus, ob mod_security nicht eventuell auch gewünscht Funktionen blockt. Ist das der Fall, muss die Filterliste angepasst werden, so dass die false-positives verschwinden.
Die Konfiguration von mod_security ist etwas komplizierter und würde den Umfang dieses Artikels sprengen, es gibt aber massenweise gute Tutorials zu mod_security im Internet.
11 Ausweiskontrolle - Der Apache sagt nicht mehr, wer er ist
Dies ist keine wirklich wirkungsvolle Methode gegen einen Hack, sie macht es automatisierten Skripten, die nach Server-Versionen suchen aber etwas schwerer. Normalerweise zeigt der Apache auf Seiten mit Fehlermeldungen (zB 404 Not Found) seine Serversignatur.
Apache/2.2.16 (Debian) Server at www.daniel-ritter.de Port 80
So erhalten potentielle Angreifer zumindest schon einmal Informationen über den eigesetzten Webserver und den Versionsstand. Die Serversignatur ist schnell ausgeschaltet:
#/etc/apache2/conf.d/security ServerSignature Off
12 Nicht benutze Apache-Module deaktivieren
Per default hat der Apache einige Module geladen, die fast nie benötigt werden. Unter Debian findet man die geladenen Module
als Softlinks in /etc/apache2/mods-enabled.
Fast immer entfernt werden können:
mod_cgi
Dient dem ausführen von CGI-Skripten. Diese Technik stammt noch aus den Urzeiten des Web und war der Vorvater der modernen Skriptsprachen um dynamische Webseiten zu ermöglichen. mod_cgi ist auf 99% der PHP-Websites unnötig und bei einer fehlerhaften Apache-Config eine potentielle Sicherheitslücke
a2dismod cgi
mod_status
Ermöglicht es Browsern Statusinformationen über den Apache auszulesen. Es wird so gut wie nie für "normale" Sites genutzt, bietet Angreifern aber Statusinformationen über den Apache.
a2dismod status
mod_autoindex
mod_autoindex sorgt dafür, dass Verzeichnisse auf dem Webserver aufgelistet werden können, wenn es keine gültige Index-Seite in dem entsprechenden Verzeichnis gibt. Falls diese Funktionalität nicht erwünscht ist, sollte man sie abschalten, da durch sie ganze Verzeichnisbäume auf dem Webserver nach aussen sichtbar werden können.
a2dismod autoindex
Linux Server mit der Scam/Spam/Crime Blacklist von Infiltrated.net absichern
Im Internet gibt es viele böse Buben: Scammer, Hacker, Viagrabuden, Scriptkiddies, etc.
Infiltrated.net pflegt eine recht umfangreiche Liste auffällig gewordener Server unter http://www.infiltrated.net/blacklisted .
Wenn man Zugriff auf seinen Server oder auch sein Heimnetz von diesen IP's unterbindet, hat man bereits sehr viele Russen Proxies, Spammer und anderes Gesindel ausgesperrt.
Das folgende kleine Script saugt sich automatisch die aktuelle Liste und trägt die Hosts in die Firewall ein.
Mit einem Cronjob regelmässig gestartet, ermöglicht es ein Quentchen mehr Sicherheit für die eigenen Dienste.
#!/usr/bin/php
<?
# Zuerst bereits bestehende (eigene) Firewallrules ausführen
exec("/root/scripts/meine_standard_firewall_rules");
# Blacklist saugen
exec("wget -O /tmp/infiltrated_blacklist http://www.infiltrated.net/blacklisted");
$list = file("/tmp/infiltrated_blacklist");
$i = 1;
# Ein bisschen auseinanderschnibbeln und ab in Iptables
foreach ($list as $line)
{
$line = trim($line);
$line = str_replace("\t"," ",$line);
$line = explode(" ",$line);
$line = $line[0];
$firstchar = substr($line,0,1);
if (!is_numeric($firstchar))continue;
exec ("iptables -I INPUT -s $line -j DROP");
$i++;
}
echo "done. $i rules set.";
?>
The Adobe Flash plugin has crashed – Reparieren – Ubuntu – NVidia
Seit einer der letzten Firefox Versionen wollte Flash nicht mehr so richtig. Bei sehr vielen Videos crashte der Adobe Flash Player. Ich habe das Problem gelöst, bin mir aber nicht 100%ig sicher woran es lag. Ich tippe auf 2 Bugs: Einmal auf das Zusammenspiel der Hardwarebeschleunigung von Flash mit meiner Grafikkarte und zum anderen auf das neue Plugin-Crash-Handling von Firefox.
Первый Hardwarebeschleunigung deaktivieren
In ein Flash-Video rechtsklicken. Einstellungen wählen. Haken bei Hardwarebeschleunigung entfernen.
Второй Plugin-Crash-Handling von Firefox deaktivieren
about:config in der Adresszeile eingeben
Die Werte dom.ipc.plugins.processLaunchTimeoutSecs und dom.ipc.plugins.timeoutSecs auf "-1" setzen.
Seitdem habe ich keine Probleme mehr mit Ubuntu 10.10, Firefox 4 und Flash 10.2.153.1
Über dieses Blog
Переводчик
Отпечаток
Daniel mieten
QUICK LINKS
Категории
- Android (4)
- Dies und das (24)
- Linux (39)
- Ubuntu (28)
- Unterwegs (7)
Архив
Последние статьи
- Online per UMTS mit Surfstick unter Debian mit wvdial und O2 Mobile Flat
- 5 Plugins für mehr Privatsphäre beim Surfen mit Firefox
- Online Melderegisterauskunft in Düsseldorf macht schlechten Eindruck
- Tweet Neglector. A small PHP script to delete old Tweets from Twitter
- Howto: Quick and dirty DHCP-Server und DNS-Cache mit dnsmasq unter Debian
- Wlan für EEE 1000H rt2860 unter Ubuntu
- PHP Spickzettel
- Company Connect – Spass mit dem Telekom Vertrieb
- XS UMTS Stick W14 unter Ubuntu
- 12 Maßnahmen um einen Linux root LAMP Apache MySQL PHP Webserver abzusichern