Skip to content

Meine Best Practice für Shell-Accounts und ihre Absicherung (mit ssh)

Auf meinen Systemen bin ich im wesentlichen der einzige Shell-Benutzer. Die hier vorgeschlagenen Methoden können natürlich auch auf eine größere Menge von Accounts angewendet werden, wobei ab einer gewissen Grenze manche Verfahren nicht mehr skalieren.

lokaler Login

Lokaler Login auf der Konsole ist bei meiner Arbeitsweise die Ausnahme. Das passiert im Wesentlichen nur bei Störungen, wenn Netz und/oder ssh nicht mehr funktionieren. Die bei weitem häufigste Methode des Zugriffs auf die Shell erfolgt via ssh über das Netz. Da ich auf meinen Systemen natürlich sudo-berechtigt bin, benötige ich das zum Account gehörende Passwort (außer zum Konsolen-Login im Störungsfall) nur, um mich bei sudo zu authentifizieren um root werden zu können.

Continue reading "Meine Best Practice für Shell-Accounts und ihre Absicherung (mit ssh)"

ssh proxycommand, ssh -W, ssh proxyjump

Es war vor einigen Jahren, auf einem Treffen der SAGE Karlsruhe, wo im Rahmen eines Lightning Talks ssh proxycommand vorgestellt wurde. Ich hatte mich bisher immer mit einzelnen ssh-Aufrufen von Host zu Host weitergehangelt, und ssh proxycommand war für mich damals der erste Weg, direkt mit einem "natürlich" erscheindenen ssh-Aufruf trotz Sprunghost-Zwang auf dem Zielsystemen zu landen.

Das Verfahren wurde in neueren OpenSSH-Versionen noch zweimal vereinfacht, und in diesem Artikel möchte ich die Unterschiede herausstellen.

Continue reading "ssh proxycommand, ssh -W, ssh proxyjump"

Privilege Escalation für Konfigurationsmanagement, Teil I

Wenn man sich die Konfiguration seiner Systeme (managed systems) von einem Automaten (Konfigurationsmanagement-System, KMS) abnehmen lassen möchte, muss man ihm dazu die notwendigen Rechte geben. Da beißt die Maus keinen Faden ab.

Aber was sind die notwendigen Rechte, wie gibt man sie dem Automaten, und welche Implikationen für die Systemsicherheit (im Sinne von security) haben sie?

In diesem Artikel und seinen weiteren Teilen stelle ich ein paar Methoden vor, versuche ihre Vor- und Nachteile herauszuarbeiten und bitte euch um Kommentare und eure Meinung dazu. Dieser Teil 1 beschäftigt sich mit dem, dem ich eigentlich nur einen Absatz widmen wollte, und aus dem dann ein eigener Artikel geworden ist: Dem Pull-Prinzip mit einem Agenten.

Continue reading "Privilege Escalation für Konfigurationsmanagement, Teil I"

Rheintalbahn voraussichtlich wochenlang unterbrochen

Zwischen Deutschland und unserem Nachbarland Schweiz gibt es drei direkte Bahnverbindungen (von Ost nach West):

  • Lindau-Bregenz-St. Margarethen (gut, auch nicht direkt, ist ein Stück Österreich dabei): Deutsche Zulaufstrecke nur mit Diesel befahrbar (aber das ist eine gaaaaaz andere Geschichte),
  • Singen-Schaffhausen: Deutsche Zulaufstrecke über weite Strecken nur eingleisig (Gäubahn) oder steil (Schwarzwaldbahn, die aber für die Betrachtung dieses Artikels zur Seite fällt), Fahrtrichtungswechsel in Singen notwendig (wir arbeiten dran), und schließlich
  • die Rheintalbahn, um die es in diesem Artikel gehen soll.

Durch eine Störung bei einer Baustelle bei Rastatt ist die Rheintalbahn seit Samstag Mittag vollständig unterbrochen. Und es sieht so aus, als ob das wochenlang so bleiben wird.

Continue reading "Rheintalbahn voraussichtlich wochenlang unterbrochen"

Spaß mit serendipity beim Debian-Update

Das Update von Debian jessie auf Debian stretch hat im Umfeld meines Blogs die Migration von MariaDB 10.0 auf MariaDB 10.1 und von PHP 5.6 auf PHP 7.0 gebracht. Dazu musste ich natürlich in der Apache-Konfiguration das php5-Modul durch das php7-Modul ersetzen und noch einige andere kleine Änderungen durchführen.

Danach waren im Blog durchgängig die Umlaute kaputt; das sah so ähnlich aus, als würde man ein UTF-8 codiertes Dokument auf einem ASCII-Terminal betrachten. Insider nennen das auch Double-WTF8.

Continue reading "Spaß mit serendipity beim Debian-Update"

Debian jessie ist Geschichte

Dieses Mal war ich schnell. Gerade zwei Monate nach dem Release von Debian stretch habe ich letzte Woche den letzten noch auf Debian jessie laufenden Host aktualisiert. Es bleiben die bekannten Altlasten, die schon vor zwei Jahren nicht auf jessie aktualisiert wurden.

Wir arbeiten dran.

Ein paar interessante Dinge sind bei der Migration dieses Blogs aufgefallen. Nach der schieren Anzahl des Trackback-Spams, der hier aufschlägt, könnte sogar das Kommentieren wieder funktionieren. Wollt Ihr mal probieren?