Schlagwort-Archive: security

Next one please…PPA Import Skript v0.1

Nachdem auf den Launchpad-PPA-Seiten nun nicht mehr der Fingerprint des jeweiligen OpenPGP-Keys zu finden ist, sondern dessen Key-ID, ist das Import-Skript nicht mehr funktionabel...

Darum hier die neue Version:

Zum Download

Als Paste

Neben der Anpassung an die Änderung bei Launchpad, wird nun auch getestet ob das benötigte Paket "curl" installiert ist, und falls nicht automatisch aus den Paketquellen installiert.

Spam- und Virenfilter für den Mailserver mit Spamassassin und ClamAV

Mailboxes

Nachdem wir ja letztes Mal die Grundkonfiguration des Mailservers abgeschlossen haben, gibt es heute zwei Extras, die nicht fehlen sollten. Und zwar Spam- und Virusfilter. Ersteres wird bei uns Spamassassin erledigen, die Viren überlassen wir dem freien Virenscanner ClamAV.

Zur Tat. Erst natürlich die benötigte Software installieren:
sudo apt-get install spamassassin spamc clamav clamav-daemon mutt cpio arj zoo nomarch lzop cabextract pax unrar lha

Wie ihr seht werden auch einige Packer/Entpacker mit installiert, damit ClamAV auch zum Beispiel zip-Archive prüfen kann.

Spamassassin einrichten

Dazu bearbeiten wir die Datei '/etc/spamassassin/local.cf' wiefolgt:

rewrite_header Subject ***SPAM***
Wenn diese Zeile aktiv ist wird in jeder Spam-Mail '***SPAM***' am Ende der Betreffzeile angehängt.
Diese Zeile bestimmt ab welchem Wert Mails als Spam markiert werden:
required_score 6.31
Ebenfalls de-kommentieren und den Wert entsprechend ändern. Falls zu viel Spam durchkommt sollte dieser Wert gegebenenfalls nach unten korrigiert werden, bzw. anders herum wenn zu viele reguläre Mails das Spam-Tag erhalten.
Diese beiden Zeilen sorgen dafür das der Bayessche Filter zum erkennen von Spam benutzt wird und dieser automatisch trainiert wird:
use_bayes 1
bayes_auto_learn 1

Um unseren Bayes-Filter nicht durch Header zu verwirren, die von anderen Mailservern (z.B. dem des Providers) oder unserem getmail angefügt wurden, werden diese durch die folgenden Zeilen ignoriert:
bayes_ignore_header X-Bogosity
bayes_ignore_header X-Spam-Flag
bayes_ignore_header X-Spam-Status
bayes_ignore_header X-getmail-filter-classifier

Danach muss Spamassassin noch aktiviert werden, dazu wird in der Datei '/etc/default/spamassassin', die Zeile "ENABLED=0" in "ENABLED=1" umgeschrieben.

Dann kann Spamassassin gestartet werden:
sudo /etc/init.d/spamassassin start

Jetzt müssen wir nur noch getmail sagen, das es Spamassassin die Mails zur Prüfung geben soll. Dazu fügen wir folgenden Absatz in die 'getmailrc' des jeweiligen Benutzers ein:
[filter-spamassassin]
type = Filter_external
path = /usr/bin/spamc
arguments = ("--max-size=100000", )

Beim nächsten Aufruf von getmail sollte dieses die empfangenen Mails durch Spamassassin checken lassen. Prüfen kann man das wiefolgt:
Mail an die entsprechende Mail-Adresse schicken, dann getmail als Benutzer (nicht als root) aufrufen:
getmail
Dann den Posteingang checken:
mutt -f /home/benutzer/mail
Dort sollte dann eine E-Mail liegen, die mit Enter aufgerufen wird. Im oberen Bereich sollten dann Zeilen ähnlich dieser gefunden werden:
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on server
Dann wurde alles richtig gemacht, ansonsten noch einmal alle Einstellungen checken, bzw das getmail-Log unter '/home/benutzer/.getmail/log'.

ClamAV einrichten

Da wir ClamAV oben schon mit installiert haben und er von sich aus schon eingerichtet ist, muss nur der folgende Abschnitt in die getmailrc des jeweiligen Benutzers eingefügt werden:
[filter-clamav]
type = Filter_classifier
path = /usr/bin/clamdscan
arguments = ("--stdout", "--no-summary", "-")
exitcodes_drop = (1, )

Damit werden Mails die Viren enthalten automatisch verworfen. Falls das nicht gewünscht ist und die Mails trotzdem zugestellt werden sollen (was ich nicht unbedingt empfehlen würde), muss die letzte Zeile so lauten:
exitcodes_keep = (0,1)

Damit wäre auch diese Einrichtung geschehen und es kann Spam- und Virenfrei ge-E-mailt werden.

Um die Mails in eurem Mail-Programm automatisch in den Spam-Ordner werfen zu lassen, müsst ihr dort einstellen das die Header von Spamassassin benutzt werden sollen. Wie das geht findet ihr in der Dokumentation eures jeweiligen Mailprogrammes.

Natürlich gilt auch hier wieder: Für etwaige Schäden, oder ähnliches was durch Benutzung dieses Tutorials geschehen sollte, übernehme ich keine Haftung. Das Setup habe ich selbst in Betrieb und es funktioniert. Schreibfehler sind aber natürlich nicht ausgeschlossen. Falls euch etwas auffällt bitte ich um eine kurze Nachricht, damit ich gegebenenfalls Korrekturen machen kann.

DNS-Lücke – Update jetzt!

Heute dürfte wieder ein Traffic-reicher Tag auf den Datenautobahnen werden. Denn so langsam trudeln die Updates für eine Lücke im "Internet-Telefonbuch" DNS. DNS-Server sorgen dafür das Adressen wie www.zeroathome.de in die passende IP-Adresse zu übersetzen. Durch die Lücke in so ziemlich allen Implementierungen des DNS-Systems (betroffen sind Versionen aller großen Hersteller - ISC, Cisco, Microsoft), können solche Telefonbucheinträge verändert bzw. umgeleitet werden. Das läßt sich zum Beispiel für Phishing-Attacken nutzen, in dem von der Adresse einer Bank z.B. auf einen eigenen Server umgeleitet wird.

Ob der DNS über den ihr gerade surft betroffen ist kann auf der Seite des Entdeckers der Lücke überprüft werden. Das seit gestern veröffentlichte Update schließt die Lücke übrigens nicht komplett, sondern erschwert lediglich dessen Ausnutzung. Wirkliche Abhilfe wird wohl erst die Einführung von DNSSEC schaffen, was aber wohl nicht so schnell passieren wird. Bis dahin heißt es, nicht nur für Betreiber eines DNS-Servers, Augen und Ohren offen halten!

Mehr Infos unter folgenden Adressen:

https://www.adminlife.net/allgemein/kritische-dns-luecken-erzeugen-updatewelle/

http://www.heise.de/newsticker/Massives-DNS-Sicherheitsproblem-gefaehrdet-das-Internet--/meldung/110641/

Einrichtung von Nessus unter Ubuntu[Security]

Aus diversen Fernsehserien der 90er und auch der heutigen Zeit lernen wir: "Traue niemandem" und "Jeder lügt". Diese Philosophien lassen sich, ohne Schwierigkeiten, auch auf Netzwerke und die darin befindlichen Computer übertragen. Beim betreuen eines Netzwerkes ist eine gewisse Paranoia sicher nicht nachteilig und oft sogar nötig.
Darum installieren wir heute den Vulnerability Scanner Nessus.

Weiterlesen

Wenn beim random der Zufall fehlt…

...dann ist es Zeit mal wieder sein System auf den neuesten Stand zu bringen. So geschehen im openssl-Paket von Debian und allen Distributionen, die auf Debian basieren. So auch Ubuntu und Konsorten.

Durch eine Debian-spezifische Anpassung des Paketes ist es möglich den Output des Random Number Generators vorherzusagen. Da dieser dazu verwendet wird Keys zur Verschlüsselung von zum Beispiel SSH oder OpenVPN Verbindungen zu erzeugen, sollten die zur Verfügung stehenden aktuellen Pakete eingespielt werden.

Betroffen sind alle Pakete ab Version 0.9.8c-1. Bei Ubuntu betrifft das alle Versionen ab Ubuntu 7.04. Im Update ist ein Tool enthalten, das versucht verwundbare Keys im System zu finden und neue zu generieren. Dennoch sollte man auch selbst noch einmal überprüfen ob evtl. auf anderen Systemen noch Keys verwendet werden, die auf einem betroffenen System erstellt wurden.

Genaueres zum Vorgehen in den Security Advisories von Debian und Ubuntu (siehe unten)

Ich wünsche einen vergnüglichen Abend 🙂

Das Debian-Advisory

Und das ganze nochmal in Ubuntu