Skip to content

(fast) unkontrolliert durch Schweiz und Österreich

Bevor ich in Friedrichshafen im Hotel ins Bett falle, suche ich mir die für den Folgetag geplante Verbindung von Friedrichshafen nach Alp Grüm heraus und hinterlege sie im DB Navigator unter "meine Reise". Nach knapp sechs Stunden Schlaf klingelt der Wecker, der erste Griff geht zum Handy, und danach bin ich wirklich wach.

Denn dort leuchtet mir in Rot ein "Fahrt fällt aus" entgegen.

Continue reading "(fast) unkontrolliert durch Schweiz und Österreich"

Sturget, Ulm und Biberach. Meckebeure. Durlesbach. Und Friedrichshafen. Ein Reisebericht.

Wie neulich befürchtet, ist die Rheintalbahn auch zur Zeit meiner heiß ersehnten Retreats nach Alp Grüm noch unterbrochen. Ich wollte ursprünglich Freitag morgens mit der ersten Verbindung in Richtung Schweiz aufbrechen (damit steht "früher losfahren" nicht zur Debatte), habe mich aber nach Bekanntwerden der Streckensperrung dazu entschlossen, mr den ersten Tag auf der Alp nicht um den SEV-Zeitverlust zu verkürzen und habe nach Alternativrouten zur Umfahrung, zähneknirschend mit einer zusätzlichen Übernachtung auf halber Strecke gesucht.

Es fiel schließlich die Wahl auf Friedrichshafen am Bodensee als Übernachtungsort: Von daheim angemessen flott erreichbar, bietet es geschickten Zugang zu zwei Eisenbahn-Grenzübergängen und der Linienschiff-Verbindung über den See in die Schweiz. Und so machte ich mich vorhin auf den Weg an den Bodensee.

Continue reading "Sturget, Ulm und Biberach. Meckebeure. Durlesbach. Und Friedrichshafen. Ein Reisebericht."

Privilege Escalation für Konfigurationsmanagement, Teil II

So, nachdem ich die letzte Woche mit "Voraussetzungen aufbauen" verbracht habe, und wegen Zeitmangel am Wochenende sogar einen vorbereiteten Füller-Artikel posten musste, kommen wir heute (endlich) zu dem, was ich eigentlich mit Euch diskutieren wollte. Zu diesem Artikel sind mir Eure Kommentare besonders wichtig; ich weiß aber, dass es nach dem Absenden eines Kommentars im Browser einen Timeout hagelt. Das ändert aber nichts dran, dass der Kommentar ordentlich gepostet wurde.

Heute soll es nun endlich darum gehen, wie man Konfigurationsarbeiten ermöglicht und unterstützt, bei denen sich derjenige, der die Arbeiten ausführt, aktiv auf den zu bearbeitenden Systemen einlogged. Dabei schließe ich ausdrücklich das manuelle Arbeiten mit ssh oder mehrfach-ssh wie mssh und cssh ein, meine aber auch semiautomatisierte Arbeiten wie xargs --max-procs oder parallel(1) bis hin zum vollautomatischen Prozess, z.B. mit Ansible.

Continue reading "Privilege Escalation für Konfigurationsmanagement, Teil II"

Meine Android-Geschichte Kapitel 10-11

Kapitel 10: Das Nexus V

Für die Aufgabe "Phone" entscheide ich mich für ein Nexus V: Unter Nerds weit verbreitet, guter Support von LineageOS, guter Ruf, preisgünstig zu haben. Unter den Nachteilen: Wenig RAM, nur ein SIM-Slot, kein SD-Slot, und die Variante mit 32 GByte schent aus Unobtanium gefertigt zu sein.

Ebenfalls hinter dem Klick versteckt ist Kapitel 11: Das Asus Zenfone Laser 2

Continue reading "Meine Android-Geschichte Kapitel 10-11"

Meine Best Practice für Shell-Accounts und ihre Absicherung (mit ssh)

Auf meinen Systemen bin ich im wesentlichen der einzige Shell-Benutzer. Die hier vorgeschlagenen Methoden können natürlich auch auf eine größere Menge von Accounts angewendet werden, wobei ab einer gewissen Grenze manche Verfahren nicht mehr skalieren.

lokaler Login

Lokaler Login auf der Konsole ist bei meiner Arbeitsweise die Ausnahme. Das passiert im Wesentlichen nur bei Störungen, wenn Netz und/oder ssh nicht mehr funktionieren. Die bei weitem häufigste Methode des Zugriffs auf die Shell erfolgt via ssh über das Netz. Da ich auf meinen Systemen natürlich sudo-berechtigt bin, benötige ich das zum Account gehörende Passwort (außer zum Konsolen-Login im Störungsfall) nur, um mich bei sudo zu authentifizieren um root werden zu können.

Continue reading "Meine Best Practice für Shell-Accounts und ihre Absicherung (mit ssh)"

ssh proxycommand, ssh -W, ssh proxyjump

Es war vor einigen Jahren, auf einem Treffen der SAGE Karlsruhe, wo im Rahmen eines Lightning Talks ssh proxycommand vorgestellt wurde. Ich hatte mich bisher immer mit einzelnen ssh-Aufrufen von Host zu Host weitergehangelt, und ssh proxycommand war für mich damals der erste Weg, direkt mit einem "natürlich" erscheindenen ssh-Aufruf trotz Sprunghost-Zwang auf dem Zielsystemen zu landen.

Das Verfahren wurde in neueren OpenSSH-Versionen noch zweimal vereinfacht, und in diesem Artikel möchte ich die Unterschiede herausstellen.

Continue reading "ssh proxycommand, ssh -W, ssh proxyjump"

Privilege Escalation für Konfigurationsmanagement, Teil I

Wenn man sich die Konfiguration seiner Systeme (managed systems) von einem Automaten (Konfigurationsmanagement-System, KMS) abnehmen lassen möchte, muss man ihm dazu die notwendigen Rechte geben. Da beißt die Maus keinen Faden ab.

Aber was sind die notwendigen Rechte, wie gibt man sie dem Automaten, und welche Implikationen für die Systemsicherheit (im Sinne von security) haben sie?

In diesem Artikel und seinen weiteren Teilen stelle ich ein paar Methoden vor, versuche ihre Vor- und Nachteile herauszuarbeiten und bitte euch um Kommentare und eure Meinung dazu. Dieser Teil 1 beschäftigt sich mit dem, dem ich eigentlich nur einen Absatz widmen wollte, und aus dem dann ein eigener Artikel geworden ist: Dem Pull-Prinzip mit einem Agenten.

Continue reading "Privilege Escalation für Konfigurationsmanagement, Teil I"