das Böse aus dem Erdgeschoss

Die Leiden des kleinen Admins

hat die Paranoia erst mal Pause?

Ich hatte ja bereits vor laaaanger Zeit erwähnt, dass ich  dabei wäre ein RHEL 5.1 nach NSA Vorgaben etwas abzudichten. Ich bin mir nicht ganz sicher ob diese Paranoia erst dadurch entstanden oder schon vorher da war und nur angesammelt wurde, um diese Projekt auch hin zu bekommen.

Wenn man ein Linux sicher machen will, muss man schlecht von allen denken, grundsätzlich ist jeder (selbst ich?) dem System, dass du gerade in den Händen hast, feindlich gesonnen. Alle wollen es kaputt machen, zerstören oder gar missbrauchen. Aber es gibt eine winzige Gruppe, die müssen auch Rechte bekommen die sonst keiner hat. Weil irgendwas muss dieses Linux letztlich tun und dazu gibt es Benutzer und Admins die die Aufgaben zuweisen und überwachen. Damit die aber auch wirklich auf jeden Fall genau nur das tun, dafür mache ich die ganze Sch… hier.

Okay ein gewisser Teil Herausforderung ist dabei und Fehlschläge gab es genug:

  • 3 mal so ausgesperrt, dass die DVD samst „linux rescue“ nur noch helfen konnte
  • Die Filesysteme so verbogen, dass SELinux mal wieder gar keinen ran lassen wollte
  • Die Passwortpolicy so hart gemacht, dass selbst mir kein Passwort mehr einfiel das noch unter „merkbar“ lief.
  • Die bash bekam immer genau dann einen timeout, wenn ich weiter machen wollte, 3 mal habe ich ihr sogar beim schliessen zusehen müssen.
  • Und weitere Nicklichkeiten mit dem Kernel/SELinux und Co, die mich zwar nervten, aber die ich mit den Betroffenen letztlich kompromisslos regelte.
  • Das die Wiki Seite dazu schon ein Inhaltsverzeichnis hat, dass schon gescrollt werden muss. Dabei habe ich sehr viel noch auf Zusatzseiten (oder rote wikiwörter ^^) ausgelagert.

Letztlich muss ich aber sagen, wer böse von anderen denkt oder denken will und eine zwanghafte Leidenschaft zum friggeln mitbringt, finden hier in so einer Aufgabe gerade zu ein Paradies.

Und die Freude ist dann richtig groß, wenn das Baby dann ca. 2 Monate später fertig ist, okay ich konnte nicht Vollzeit daran arbeiten und habe live im Wiki mit dokumentiert, aber 3 Wochen sollte man rechnen. Auch wenn ich mit dem Wiki eine Leidenschaft zum Dokumentieren entwickle, wer sowas wie das hier anfängt, sollte sich echt Notizen machen. Denn wenn auf halber Strecke plötzlich ein lebenswichtiger Dienst versagt, benötigt man sehr schnell ein:

was habe ich eigentlich zuletzt gemacht, nach dem sichergestellten Zeitpunkt an dem der Dienst noch lief.

Mal sehen was der Herr, der offiziel noch Hackertools benutzen darf, dazu sagt.

Freitag, 13.06.2008 03:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

zu spät…

Nun so ist das eben…

Wer zu lange Urlaub hat (2 Arbeits- und 5 reale Tage) der muss damit rechnen das das System einem entgegen lächelt und sagt:

Ihr Passwort ist abgelaufen und zwar genau …. gestern .

Leider ist diese Meldung hardcodet, sonst hätte ich lieber ein:

möpmöpmöpmöööööp, Sie Herr Ars.ch, Du kommst hier nicht rein…

hinterlegt.

Ich würde mich überwacht füllen, wenn jetzt einer meint, ich hätte an der Uhr gedreht. 😈

Wer bitte kann den sooo blöd sein das vorher noch anzukündigen. Alles reiner Zufall, ehrlich. *pfeift*

Dienstag, 6.05.2008 09:11 Posted by | IT | , , | Hinterlasse einen Kommentar

Wo?

Heute eine Anruf. Ich gehe ran und melde mich gleich mal mit:

Nein, ich habe nix getan

Auf der Anderen Seite Pause . Danach:

Das würde ich so nicht sagen, vielleicht hast Du ja doch…

Dann kommt es zum Grund des Anrufs und zu folgendem Dialog:

Er: Also wo ist den der Drucker (anm. Author: der Drucker so riesig das der nur zu dritt bewegt werden kann) im $Zimmername?

Ich: Im $Zimmername, oder hat den jemand geklaut.

in mein Büro gefragt, kommt die Antwort:

Kollege: Ja den habe ich hier im Schubfach…

Ich (ins Telefon): $Kollege hat ihn, sollen wir den wieder aufstellen.

Er: Nee, wie finde ich den Drucker

Ich: Geh in $Zimmername und seh nach links…

Er: Oh man, das ist ja echt schwierig mit euch zu arbeiten oder hier anzurufen.

Der Anrufer ist nicht neu in der Firma und kennt uns recht gut, nach dem mein Lachkrampf geendet ist, gebe ich ihm die gewünschte Antwort:

Er: ich stehe im Drucker suchen.

Ich: gehe auf $Druckserver da sind alle Drucker

Er: ja

Ich: und dort ist $Druckername der in $Zimmername.

Er: schönen Feiertag….

Mittwoch, 30.04.2008 15:17 Posted by | IT | , | Hinterlasse einen Kommentar

Wenn Admin in der Role des DAUs

Es ist schon etwas befremdlich, wenn Du als gestandener Admin einen Supportcall auf machst und dort von einem Techniker/Admin wie der aller hinter letzte Dau behandelt wirst. Ich war gestern mal wieder in einer solchen Situation.

ich: $Angebot funktioniert nicht mehr wie es soll

Support: Wir haben das nur ein Update gemacht

I: Dabei ist aber $Angebot geschrottet wurden.

S: Naja das könnte dieses Problem sein $URL_zu_genau_dem_Problem_bei_genau_dem_update. Ich könnte ja das wie dort beschrieben machen oder die Daten extern korrigieren.

I: $Angebot ist herunter gefahren, Sie können loslegen!

$Sehr_lange_Zeit später, war nix passiert und der arme Admin geht her und korrigiert die Daten von Hand mit den Hexeditor. Aber wie hat meine Großmutter immer gesagt:

Was Du nicht willst das man dir tu‘, das füg‘ auch keinem Andren zu.

Okay nach diesem Grundsatz hier mein Betriebssystem für alle M$ Mitarbeiter:

dd if=/dev/urandom of=neuesos.iso bs=1G count=5 😈

Aber ich musste schon feststellen, dass unsere Benutzer es mit uns sehr wohl viel viel viel ….(unzählige viels später)…viel besser haben, als wir das verdienen. 🙂

Freitag, 25.04.2008 07:00 Posted by | Admin, IT | , | Hinterlasse einen Kommentar

Honig ums Maul…

…geschmiert bekommen wir Admins hier. Nachtigall ich hör dir trapsen..

Da ist doch was im Busch? Wenn er uns so in den Himmel hebt, weiß er doch von einem Übel, dass uns demnächst überrollen soll.

Dienstag, 22.04.2008 19:21 Posted by | IT | , | Hinterlasse einen Kommentar

Kommunikation mit der BASH (1)

Ja es ist so eine Sache mit den Befehlen, nicht war Herr Leidensgenosse?

Heute war einer der Tage an denen ich wieder mal dreifach überlegen sollte vor einem Return.

Was war passiert, eigentlich nichts ungewöhnliches, außer das cp das tut was es immer macht: Alle Argumente die als Pfad auf zufassen sind in das letzte Argument kopieren. Leider war das mit dieser Anweisung nicht ganz so gewollt:

cp -r $meinhome/.ssh neueruser1/ neueruser2/ neueruser3/….

Somit hat der letzte User in der Liste einige interessante Ordner hinzu erhalten, die er gar nicht haben wollte und die Anderen gingen leider leer aus. Musste ich also doch eine Schleife bitten das zu erledigen.

Freitag, 18.04.2008 07:19 Posted by | Linux, RHEL | , , | Hinterlasse einen Kommentar

Sicherheit

Es ist mal wieder so weit. Wir haben bislang nur RHEL3 und 4 in aller (Updates) Farben in unseren „sichereren“ Bereichen. Nun haben wir RHEL 5.1 (außer Cluster) erfolgreich auf unseren Systemen evaluiert und nun geht es ans Härten.
Also SELinux war mit RHEL4 gekommen. Mit RHEL 5 ist es so schon ganz nutzbar. Da erinnert mich mein Kollege, dass da doch ein Weihnachtsgeschenk der NSA war. Also beginnen wir doch mal mit den Studien…
Okay das Template wird wirklich hart. Hoffen wir mal das danach noch das geht, was die Maschinen eingentlich aus macht.
Ich bin aber guter Hoffnung, schlieslich ist RHEL ja nach CC EAL 4.0+ zertifiziert. Somit sollte es so was von härtbar sein. Im August mache ich dann den RHCSS also den Sicherheitskurs zu RHEL, somit kann ich jetzt schon mal üben.

Dienstag, 8.04.2008 18:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

Was für ein 1. April

Der gestrige Tag hat meinen Counter ganz gut in die Höhe getrieben.

Die Hauptsuchanfrage des gestrigen Tages will ich aber nicht unkommentiert lassen:

fieser admin aprilscherz

Okay heute bin ich immer noch Platz 1 und 2.

Aber wer bitte sucht sowas? Ich finde da schon 2 Zielgruppen dafür:

  1. Admins denen die Phantasie fehlt
  2. DAUs die von ihren Admins in den April geschickt wurden und nun nach Gewissheit suchen.

weitere Vorschläge?

Update:

Hier die Sammlung von buffed darunter auch

    • für Flo der kreativste Scherz:

    Wowwiki tauscht mit Guildwiki 4 Punkte

    • Dirks erst gefundener:

    Guild Wars 2 eingestellt

    Update 2:

    Der vom Redhat Magazin fehlte auch noch. Das habe ich hiermit nachgeholt. Sollte ich wohl mal auf unseren Workstations testen 🙂

    Ja die google Anfragen sagen mir, der von der iX muss auch noch hier her.

    Mittwoch, 2.04.2008 09:43 Posted by | Allgemein | , , | 1 Kommentar

    IBM Schulung

    So wird man ein richtiger Admin/BOfH:

    Spielt mit beim IBM Spiel „nicht mein Problem„.

    Das finde ich echt mal eine gelungene Marketing Idee. Hier kann man das Trainieren was einen guten Admin ausmacht: Problem anderen Unterschieben und ihnen Beweisen das sie auch wirklich daran schuld sind. 😈

    Mittwoch, 2.04.2008 09:34 Posted by | IT | , , , , | Hinterlasse einen Kommentar

    Von einer seltenen Spezies

    Es gibt in jedem IT Betrieb irgendwo eine Ansammlung von Menschen. Viele haben Angst vor dieser Rasse. Als das wahre Böse der IT verschrieen, werden sie von Bits und Bytes angezogen wie Motten vom Licht. Aber es gibt kaum ein Mittel gegen diese Rasse. Weder „was ich nicht seh‘ kann mir nix tun“ noch ein „Es ist nichts in der Dunkelheit und Licht vertreibt das Nichts“.

    Das schlimmste der Rasse ist dass sie alle Eigenschaften von „Powerusern“ assimiliert haben. Die Testen die Hard- und Software nicht nur bis an die Grenzen, die sind gerade zu versessen darauf, herauszufinden was passiert, wenn man im hohen Bogen diese Grenzen überspringt.

    Es geht sogar soweit, dass sie sich selbst aus dem System aussperren, nur um dieser Lust zu frönen.

    Wenn ihr um Autobahnstaus einen Bogen macht, so bitte ich euch, macht um Entwickler noch einen viel größeren, sonst … Ihr wisst was in Horrorfilme mit denen passiert, die sagen “ ich bin gleich wieder da“? … Ich wollte euch nur warnen. 😈

    Mittwoch, 26.03.2008 08:20 Posted by | IT | , , | 1 Kommentar