Midnight Visions Workshop

EncFS ist ein virtuelles verschlüsseltes pseudo “Dateisystem”.
Im Gegensatz zu den meisten anderen verschlüsselten Dateisystemen verzichtet EncFS auf “Container-Dateien” mit denen man sich meist auf eine feste Größe festlegt. Sondern benutzt nur ein normales Verzeichniss, mit einer Steuerdatei, für die verschlüsselten Dateien (jede Datei ist einzeln verschlüsselt). Und einen mountpoint über den die Dateien entschlüsselt bereit gestellt werden. Es wird also auch kein Speicherplatz durch pre-allocating verschwendet. Ausserdem läuft es, mittels FUSE, im Userspace.
Interessant um z.B. Dateien in einer Dropbox oder auch Verzeichnisse im NFS oder auf CD-ROMs (hier natürlich read-only) schützen.

Read the rest of this entry »

monit restartet (er kann auch jede beliebige andere Aktion ausfühern) Dienste automatisch wenn bestimmte Konditionen zutreffen, wie z.B. der daemon läuft amok und frisst CPU oder Speicher, die systemlast im allgemeinen ist zu hoch, er stirbt ganz einfach, eine (z.B. Konfig) Datei ändert sich oder ein anderer Dienst wird durchgestartet von dem der jeweilige abhängt uvm. und leistet so u.a. einen guten Beitrag zur hochverfügbarkeit. Nebenbei lässt es sich noch als IDS “mißbrauchen” da es timestamps und checksummen von Dateien überwachen kann.
Über jede Aktion informiert monit per mail, was manchmal unnötig/ungewollt ist. Diese notifizierung kann man aber abschalten!

Read the rest of this entry »

Ein weiters Frontend welches das kürzlich vorgestellte inotify nutzt, um Veränderungen an Verzeichnissen und Dateien zu melden, ist fspy. Sehr schön: es kann regex, die Ausgabe ist schön anpassbar und es ist sehr schnell einsatzbereit. ( Und auch deutlich schneller/performanter als das, inzwischen, veraltete FAM. )

Read the rest of this entry »

Ich stelle hier einige Tips zum absichern eines FreeBSD (z.B. als Firewall) Servers vor.
Der folgende Text erhebt keinerlei Anspruch auf vollständigkeit! Zudem empfehle ich dringendst die einzelnen Tips vorher auf einer Testkiste zu testen. Auch muss nicht alles so übernommen wie hier steht da einiges (z.B. ‘kern_securelevel=”3″‘, ‘net.inet.tcp.blackhole=2′ oder ‘console none unknown off insecure’) vielleicht dem einen oder anderen setting zu viel ist. Auch sei die konsultation der Manpages sehr empfohlen.

“Dependency”: FreeBSD 5.3 oder höher
Read the rest of this entry »

ipfw und iptables können ihre Firewallregeln auch auf einzelne Systemuser begrenzen. Sinnvoll z.B. bei einem SSH-Jumphost oder Shellserver und wenn bestimmte User nur zu bestimmten Hosts darüber “hüpfen” dürfen.

Read the rest of this entry »

Mit pam_time kann man den Zugriff auf ein system (z.B. mittels SSH oder FTP) zeitlich begrenzen.

Read the rest of this entry »

Wer mod_security (Installanleitung bei mir) für den Apache nicht mag kann zu mod_selinux greifen. Auch wenn die Installation, aus den sourcen, ob der Dependencies, ungleich aufwendiger ist. Das letztendliche Ergebniss ist nahezu das selbe. ;-)
Beides sind sehr mächtige <buzzword> WebApplicationFirewalls (WAF) </buzzword>.

Read the rest of this entry »

Backuptool, basierend auf perl, rsync und hardlinks für das lokale system oder via SSH für remote hosts.

Read the rest of this entry »

Überwachung und notifizierung von Änderungen bei Dateien und Verzeichnissen als Kernelmodul.

Read the rest of this entry »

Das Topic sagt alles. :-)
Postfix ist einfacher zu handhaben als sendmail und recht schmerzfrei zu installieren.

Hier gebaut mit SMTP-Auth (SASL), SSL und SpamAssassin

Read the rest of this entry »

GreenSQL ist ein reverse proxy der eine Firewall für Datenbanken darstellt. Primär für MySQL gebaut kann man es aber wohl auch, nach ein paar Anpassungen, für alle anderen Datenbanken benutzen. Es nutzt neben einer Blackliste für SQL-Querys auch bayesian um Böse[tm] Queries zu Filtern.
Read the rest of this entry »

pam_mount ist ein PAM mit dem man login session basiert Dateisysteme mounten kann. Sprich wenn ich mich einlogge wird u.a. automatisch mein Homedir z.B. via nfs gemountet und beim logout wieder ungemounted. Das hat den großen Vorteil das mein Homedir (oder andere Verzeichnisse z.B. Entwicklungsumgebung) nicht immer überall gemountet sein muss was durchaus auch ein Plus an Sicherheit ist.
Neben den normalen Unix-Filesystems kann u.a. auch NFS, SMB/CIFS, NCP, davfs2, FUSE, losetup crypto, dm-crypt/cryptsetup und truecrypt-4.x gemountet werden.
Read the rest of this entry »

In den heutigen Zeiten wo man nicht nur immer mehr Maschinen hat, die man managen muss, sondern wo gewisse Politiker immer mehr Überwachung fordern, kann ein zentralisierter Syslogserver recht nützlich sein.
Am besten ist syslog-ng geeignet da dieser auch tcp kann und damit “Schweinereien” wie verstrickungen mit VPN und stunnel einfacher möglich sind.
Ich stelle hier nur die Konfiguration vor. Geloggt wird alles, ohne Filter.
Read the rest of this entry »

Jeder der auch auf der Bash seine Mitmenschen StaSi-mässig bespitzeln möchte möge sich die environment Variable “PROMPT_COMMAND” ansehen. Was in dieser Variablen deklariert wird wird nach jedem [enter], bevor der Prompt zurückkommt, ausgeführt.

Beispiel (in die /etc/bashrc bzw ~/.bashrc einzutragen):
—
PROMPT_COMMAND=”history | tail -1 | logger”; export PROMPT_COMMAND
—

Seit OpenSSH 4.0 gibt es eine schöne Möglichkeit den SSH-Connect deutlich zu beschleunigen wenn man regelmässig mehrere Verbindungen zu ein und demselben Host unterhält.

Read the rest of this entry »