das Böse aus dem Erdgeschoss

Die Leiden des kleinen Admins

hat die Paranoia erst mal Pause?

Ich hatte ja bereits vor laaaanger Zeit erwähnt, dass ich  dabei wäre ein RHEL 5.1 nach NSA Vorgaben etwas abzudichten. Ich bin mir nicht ganz sicher ob diese Paranoia erst dadurch entstanden oder schon vorher da war und nur angesammelt wurde, um diese Projekt auch hin zu bekommen.

Wenn man ein Linux sicher machen will, muss man schlecht von allen denken, grundsätzlich ist jeder (selbst ich?) dem System, dass du gerade in den Händen hast, feindlich gesonnen. Alle wollen es kaputt machen, zerstören oder gar missbrauchen. Aber es gibt eine winzige Gruppe, die müssen auch Rechte bekommen die sonst keiner hat. Weil irgendwas muss dieses Linux letztlich tun und dazu gibt es Benutzer und Admins die die Aufgaben zuweisen und überwachen. Damit die aber auch wirklich auf jeden Fall genau nur das tun, dafür mache ich die ganze Sch… hier.

Okay ein gewisser Teil Herausforderung ist dabei und Fehlschläge gab es genug:

  • 3 mal so ausgesperrt, dass die DVD samst „linux rescue“ nur noch helfen konnte
  • Die Filesysteme so verbogen, dass SELinux mal wieder gar keinen ran lassen wollte
  • Die Passwortpolicy so hart gemacht, dass selbst mir kein Passwort mehr einfiel das noch unter „merkbar“ lief.
  • Die bash bekam immer genau dann einen timeout, wenn ich weiter machen wollte, 3 mal habe ich ihr sogar beim schliessen zusehen müssen.
  • Und weitere Nicklichkeiten mit dem Kernel/SELinux und Co, die mich zwar nervten, aber die ich mit den Betroffenen letztlich kompromisslos regelte.
  • Das die Wiki Seite dazu schon ein Inhaltsverzeichnis hat, dass schon gescrollt werden muss. Dabei habe ich sehr viel noch auf Zusatzseiten (oder rote wikiwörter ^^) ausgelagert.

Letztlich muss ich aber sagen, wer böse von anderen denkt oder denken will und eine zwanghafte Leidenschaft zum friggeln mitbringt, finden hier in so einer Aufgabe gerade zu ein Paradies.

Und die Freude ist dann richtig groß, wenn das Baby dann ca. 2 Monate später fertig ist, okay ich konnte nicht Vollzeit daran arbeiten und habe live im Wiki mit dokumentiert, aber 3 Wochen sollte man rechnen. Auch wenn ich mit dem Wiki eine Leidenschaft zum Dokumentieren entwickle, wer sowas wie das hier anfängt, sollte sich echt Notizen machen. Denn wenn auf halber Strecke plötzlich ein lebenswichtiger Dienst versagt, benötigt man sehr schnell ein:

was habe ich eigentlich zuletzt gemacht, nach dem sichergestellten Zeitpunkt an dem der Dienst noch lief.

Mal sehen was der Herr, der offiziel noch Hackertools benutzen darf, dazu sagt.

Freitag, 13.06.2008 03:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

Udated F8

Ja mein Kollege hat diese schon mal erwähnt, die Fedora respins. Was das sind? Also da wäre diese Seite. Dort wird die Install CD von Fedora um aktualisieren Pakete verändert, um eine „uptodate“ CD-Set/DVD anbieten zu können. Die kann man sich dann per jigdo oder torrent herunterladen.

Wer also mal ein aktuelles Fedora brauch, sollte dort mal vorbei rauschen.

Donnerstag, 1.05.2008 15:11 Posted by | Fedora | | Hinterlasse einen Kommentar

F9B1 durch die Hintertür

Ja das direkte update meiner Fedora 9 Alpha auf Beta 1 ging mangels erkennen des Software-RAIDs nicht.

Also musste ich das nach dem WP update meines privaten Blogs nun auch meine F9 Partition mal auf die Beta heben.

Heute sahe ich nun zum erstenmal das neue Layout/Outfit. Sieht schmuck aus, nur dass es hier gerade keinen funktionierenden Firefox mehr gibt.

Dienstag, 8.04.2008 20:22 Posted by | Fedora | , , , | Hinterlasse einen Kommentar

Sicherheit

Es ist mal wieder so weit. Wir haben bislang nur RHEL3 und 4 in aller (Updates) Farben in unseren „sichereren“ Bereichen. Nun haben wir RHEL 5.1 (außer Cluster) erfolgreich auf unseren Systemen evaluiert und nun geht es ans Härten.
Also SELinux war mit RHEL4 gekommen. Mit RHEL 5 ist es so schon ganz nutzbar. Da erinnert mich mein Kollege, dass da doch ein Weihnachtsgeschenk der NSA war. Also beginnen wir doch mal mit den Studien…
Okay das Template wird wirklich hart. Hoffen wir mal das danach noch das geht, was die Maschinen eingentlich aus macht.
Ich bin aber guter Hoffnung, schlieslich ist RHEL ja nach CC EAL 4.0+ zertifiziert. Somit sollte es so was von härtbar sein. Im August mache ich dann den RHCSS also den Sicherheitskurs zu RHEL, somit kann ich jetzt schon mal üben.

Dienstag, 8.04.2008 18:57 Posted by | Linux, RHEL | , , , , , | 1 Kommentar

Web 2.0 intern

Da wir nur mit Groupware und Office-Produkten handieren, Notes8 einen Linux Client mit Blog Funktion hat und die Zusammenarbeit und Dokumentationen eigentlich immer zu kurz kommen, steigt der Bedarf nach internem WEB2.0 ohne Internetzugriff.

Also werde ich mal testen in wie weit da im Haus ein Interesse besteht. Einige kann ich mir vorstellen wären sehr erfreut über  Web2.0 im Intranet. 😈

Nun stellt sich mir die Frage Wiki, Blog, Forum oder gar eine Kompination?

<Ironie>
Einige Web2.0 Angebote kann ich mir im Intranet eher schlechter Vorstellen, ob wohl ein intraFlickr für die peinlichen Fotos oder YouIntranet für die mitgeschnitten Prunksitzungen, oder ein SecoundLife als Schulungs-/ Sitzungsraumersatz …
</Ironie>

ich komme wieder auf ganz böse Ideen umso mehr ich darüber nach denke…

Freitag, 28.03.2008 10:12 Posted by | Allgemein, IT | , , , , , | Hinterlasse einen Kommentar

wahwahwaaah 3

Ich stand mir mal wieder selbst auf den Fuß. Um euch davor zu bewahren will ich folgende „Weisheit“ nicht für mich behalten:

Wenn Du Skripte schreibst oder eine Shell bedienst, bedenke das „/tmp/<datei>“ nicht zwangsläufig auch „<datei>“ ist. Solltest du zwischen 2 Skripten ein cd oder ähnliches machen, wird das zwangsläufig zu unerwarteten Ergebnissen führen.

Donnerstag, 27.03.2008 10:04 Posted by | Linux | , , , , | Hinterlasse einen Kommentar

Arbeitsverweigerung

OpenLDAP 2.3 mit seinem slapo_ppolicy geht mir derzeit tierisch gegen den Strich.

Esrt will ich einem armen Kollegen helfen und die pwdFailureTime zurücksetzten, da bekomme ich sogar als rootdn eins auf die Finger von wegen nicht berechtigt.

Okay, es ist ein internes Feld, da könnte man dererlei Eigenheiten mal gerade eben noch verzeihen.

Heute hat es aber ein Slave übertrieben. Man möchte meinen, das dankt der neuen LDAP-Replika (syncrepl) er eine Ahnung haben könnte wer der Master ist, aber nein was sagt der ldapadd da netter weise zu mir, seinem Admin also Herr und Meister?

Server is unwilling to perform (53)
additional info: shadow  context; no  udate referral

Ein “ ich habe schlechte Laune und kann dich grad nicht leiden.“ hätte es auch getan.

Donnerstag, 27.03.2008 08:13 Posted by | Linux | , , , | 1 Kommentar

Cluster gegen Admin

Ein ungleicher und zutiefst unfairer Kampf.

Aber das fiese ist die Doku, also der Autor,….

nein, ich lasse mich auf dieses Niveau herab, aber lest selbst wie man RedHat Cluster debugged:

6.6. Diagnosing and Correcting Problems in a Cluster

Montag, 10.03.2008 15:06 Posted by | IT, Linux, RHEL | , , , , | Hinterlasse einen Kommentar

Schütze den Admin

Ja wenn man glaubt, die RHEL Version einer Software wäre zu alt. Gibt es hier <klick mich> eine kurze Einweisung, wie man die rollback Funktion von rpm nutzen kann um mal die aktuelle Version zu testen.

Donnerstag, 6.03.2008 17:14 Posted by | Fedora, RHEL | , , , , , | Hinterlasse einen Kommentar

wahwahwaaah 2

Ups das scheint sich zu einer Serie auszuweiten.

Man stelle sich vor, ein Admin benötigt eine VM.

  • er cloned eine fertige VM
  • er konfiguriert Samba
  • er konfiguriert das Netz
  • er konfiguriert die Namenauflösung
  • er registriert den Server in der Domain

bloß um letztlich beim starten festzustellen:

es ist gar kein Samba installiert. 😥

Donnerstag, 6.03.2008 12:21 Posted by | Linux | , , , , , | Hinterlasse einen Kommentar