Re: [lmn] Brute-Force Attacken auf SSH-Port...

[Jesko Anschütz]

Hallo :)

> Am 02.10.2015 um 23:58 schrieb Michael Hagedorn 
> :
> 
> 
> 
>> Es ist wirklich nicht zu empfehlen, Standard-Ports mit wichtigen Diensten 
>> offen zu haben, wenn es nicht _unbedingt_ sein muss…
> 
> Meinst du nicht, dass Nicht-Standardports mittlerweile genauso
> ausprobiert werden?

nunja, es ist wohl sehr viel einfacher auf Standard-Ports. Bei unserem Server, 
der nicht auf Standard lauscht, existiert in auth.log kein einziger Versuch von 
Außerhalb.
Beim ESXi-Server, den ich (versehentlich) nach außen auf Standard 22 offen 
hatte, waren es tausende fehlgeschlagene Einlogversuche.

> Als Maßnahme bleibt ja nur fail2ban,
wenn das System das bietet, ja. ESXi kann das imo nicht.

> pub-key-Auth.
ja, so habe ich das jetzt gelöst…

> und vielleicht noch
> ein Portknocker davor …

das ist auch spannend :) aber ich glaube mit key-Auth ist man schon ganz gut 
dabei .)

> oder fällt dir noch etwas gutes ein?
> 

nein…

Viele Grüße, Jesko




signature.asc
Description: Message signed with OpenPGP using GPGMail
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Brute-Force Attacken auf SSH-Port...

[Jörg Richter]

Hallo Alois,

> Am 03.10.2015 um 10:16 schrieb Alois Raunheimer :
> 
> Hallo Ihr,
> 
> im IPFIRE kann man eisntellen von welchen Ländern Zugriffe auf den IPFIRE 
> erfolgen dürfen. Ich habe das ganz restriktiv eingestellt. Nutzt diese 
> Einstellung nichts?
> 
> Gruß
> 
> Alois

Bei der LML ist der IPFire von außen überhaupt nicht erreichbar, egal aus 
welchem Land - das sollte man auch nicht ändern.

Es werden allenfalls einzelne Ports weitergeleitet wie zum Beispiel  für 
SSH zum Server. Und hier ist es in der Tat sehr sinnvoll, nicht die 
Standardports zu verwenden, die Angriffe sind so um viele Größenordnungen 
seltener.


Viele Grüße

Jörg Richter


>> Am 3. Oktober 2015 um 09:29 schrieb Markus Rupprecht 
>> :
>>> Am 02.10.2015 um 23:58 schrieb Michael Hagedorn:
>>> 
 Es ist wirklich nicht zu empfehlen, Standard-Ports mit wichtigen Diensten 
 offen zu haben, wenn es nicht _unbedingt_ sein muss…
>>> Meinst du nicht, dass Nicht-Standardports mittlerweile genauso
>>> ausprobiert werden?
>>> 
>>> Als Maßnahme bleibt ja nur fail2ban, pub-key-Auth. und vielleicht noch
>>> ein Portknocker davor ... oder fällt dir noch etwas gutes ein?
>> Nur der Hinweis: bei unserer Ipfire heißt der fail2ban "clone" Guardian. 
>> Jetzt wo ich das lese, fällt mir ein, dass ich mich bei unserer neuen 6.1 
>> bisher auch noch nicht darum gekümmert habe...
>> 
>> Muss ich mir nächste Woche mal ansehen.
>> 
>> Gruß,
>> Markus
>> 
>> 
>> ---
>> Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
>> https://www.avast.com/antivirus
>> 
>> 
>> ___
>> linuxmuster-user mailing list
>> linuxmuster-user@lists.linuxmuster.net
>> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
> 
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Kennwortregeln in Linuxmuster

[auktionen-ebay]

Hallo Liste,
wie starte ich denn so einen Feature-Request zur Einhaltung von Kennwortregeln?

> Am 21.09.2015 um 15:18 schrieb Holger Baumhof :
> 
> Hallo,
> 
> das würde ich im Frontend abfangen: also wäre das ein Featurerequest für
> die Schulkonsole.
> 
> Viele Grüße
> 
> Holger
> -- 
> Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Brute-Force Attacken auf SSH-Port...

[jonny]

hallo,

>> Es ist wirklich nicht zu empfehlen, Standard-Ports mit wichtigen Diensten 
>> offen zu haben, wenn es nicht _unbedingt_ sein muss…

es muß NIE unbedingt sein...

> Meinst du nicht, dass Nicht-Standardports mittlerweile genauso
> ausprobiert werden?

nein, werden sie nicht. die chinascripte laufen immer nur auf
standardports. leute, die den port ändern haben nämlich bereits ein
sicherheitsbewusstsein und sind somit für die massenscripte uninteressant.

> Als Maßnahme bleibt ja nur fail2ban, pub-key-Auth. und vielleicht noch
> ein Portknocker davor ... oder fällt dir noch etwas gutes ein?

ich baue, betreibe und betreue mittlerweile seit 25 jahren
internetserver. von anfang an habe ich für telnet/ssh und ftp die
default ports geändert.
durch diese maßnahme wurden und werden 99,9% der angriffe bereits abgewehrt.
daß telnet mittlerweile ganz zu und ssh nur über client key benutzbar
ist, halte ich für selbstverständlich.
allein diese maßnahme schützt aber nicht vor den zehntausenden
logeinträgen, wenn man nicht auch den port ändert...
portknocking halte ich für eine schöne spielerei, um den zugriff in sein
privates lan zu schützen.
aber selbst vertraue ich hier ebenfalls auf ssh tunneling mit client key...

jonny
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Horde3 Umlaute

[M. Resch]

Hallo zusammen,

> > Könnte es sein, dass auch die Einstellung für die Kodierung im Browser eine 
> > Rolle spielt?
> BOOOING..
> 
> da muss der Hund begraben liegen...
> ich kann mit Safari und Chrome die Dateien herunterladen,... mit Firefox 
> kommt ein Fehler.

Im Wiki steht nun ein Workaround, der mit allen drei Browsern funktioniert:

http://www.linuxmuster.net/wiki/anwenderwiki:webapps:horde:dateimanager_umlaute

Grüße,
Martin

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Booten von Festplatte, Fehlermeldung "Error 15: File not found"

[Jens Stolze - GSE]

Am 26.05.2015 um 18:45 schrieb Christoph Krebs:
> Sooo, nun habe ich die Vorschläge der letzten Zeit durchprobiert, hier
> die Ergebnisse:
> 
> Festplatte defekt?
> -> War tatsächlich bei einem Laptop so, die Platte war dann auch Schuld
> daran, dass ich von dem Gerät keine Images ziehen konnte...
> Allerdings war bei drei anderen getesteten Geräten, die den
> Error-15-Fehler auch schon hatten, kein Festplattenproblem feststellbar.
> Ich gehe daher davon aus, dass das Grundproblem nicht an defekten
> Festplatten liegt. Das Problem mit den fehlerhaften Images aus den
> letzten paar Mails wäre damit aber geklärt.

Moin allerseits,

obigen Fehler hatte ich jetzt auch, ein neu installierter PC wollte
nicht lokal starten, aus dem Netz dagegen ja. X Sachen durchprobiert,
viel viel Zeit verbracht ;-(( Meine Lösung für das Problem fand sich,
als ich dann eine neue LINBO-CD zum Booten erstellen wollte. Die
Anleitung findet man unter

http://www.linuxmuster.net/wiki/anwenderwiki:linbo:linbo_boot_cd_erstellen

Der letzte Satz der Anleitung erinnerte mich daran, dass ich schon mal
ein Problem hatte, dass die Datei linbofs.lz nicht in der Cachepartition
zu finden war, so war das jetzt auch bei diesem PC. Nachdem ich sie aus
/var/linbo auf dem Server per linbo-scp in die Cachepartition kopiert
hatte, startete der PC endlich wie gewünscht ;-)

Doch wodurch passiert das, dass die Datei mal rüberkopiert wird, mal
nicht? Ich benutze eine LML-6.1-Server der auf dem aktuellen Stand ist,
daran sollte es eigentlich nicht liegen. Das einzige, was vielleicht den
Server aus den Takt bringen könnte, wäre der Umstand, dass ich doch
i.d.R. einige Sachen parallel am Server mache. I.d.R. wird nicht nur ein
PC neu installiert, meist sind es mehrere hintereinander. Ggf. verändert
man auch die start.conf mal oder ändert die Zuordnung zu einem Raum in
der /etc/linuxmuster/workstation und macht einen import_workstation.
Doch sollte den Fehler verursachen können?

cu, Jens


___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Neue Clients - Ausschreibung

[T . Küchel]

Hallo Stefan,

Am 03.10.2015 um 11:42 schrieb Senft, Stefan:
> Hallo,
> 
> nun ist es endlich soweit, dass 25 - 30 neue Clients angeschafft werden
> mit einem Budget von 500€ - 600€ pro Computer (ohne Monitor). Die
> Stadtverwaltung schreibt aus und ich kann Vorgaben machen. Bisher habe
> ich nur Intel-Rechner und habe Leasing-Rückläufer gekauft (z.B. HP
> dc7700 etc). Da es diesmal aber eine Neuausstattung ist, kauft die Stadt
> Neugeräte. Leise Geräte (passiv gekühlte Grafikkarte) mit stabilem
> Gehäuse (keine abbrechenden Einschaltköpfe etc.) wären mir wichtig. Ich
> werde ab nächstem Schuljahr dann LMN6.x mit LinuxMint-Clients 64bit
> (+Leoclient mit XP) einsetzen.
> 
> 1. Gibt es schon irgendwo etwas zur Ausschreibung von Clients für
> LMN(6.1), was ich als Vorlage verwenden kann?

Immer wieder hier in der Liste.

> 
> 2. Tipps zu neuen Clients immer gerne, da ich mich mit Neugeräten nicht
> so auskenne: AMD vs Intel, Zuverlässige Hersteller und Verkäufer, welche
> Bauteile besser meiden, welche sind zu empfehlen...
> 

nur folgende:
* auf SSD würde ich bestehen,
* Integrierte Graka mit DVI/HDMI Ausgang (je nachdem, welche Monitore
ihr habt)
* kein optisches Laufwerk (außer Lehrer-PC)

außer den wenigen Tipps, die Frage, ob du deine Erfahrung am Ende im
Wiki einpflegen kannst (vllt. gibt es dort im Anwenderwiki schon was).
Ich hatte schon lange geplant Empfehlungen (auf Marken, nur wenn es
begründet werden kann) im Handbuch landen könnten.

VG, Tobias


> Mit besten Grüßen
> 
> Stefan
> 
> 
> P.S: v.a. @Holger: Ich habe mich nun doch für 64bit-Clients entschieden,
> denn ich lasse unsere 55Stück Lenovo T60 auf Core2duo aufrüsten von
> meiner E-Medien--AG. Dann müssen wir nicht über 50 neue Notebooks
> anschaffen und sind für unter 1000€ in der 64bit-Welt mit nur einem
> Ubuntu-Image!
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Kennwortregeln in Linuxmuster

[Holger Baumhof]

Hallo ??,

> wie starte ich denn so einen Feature-Request zur Einhaltung von 
> Kennwortregeln?

hier:

http://www.linuxmuster.net/wiki/linuxmusternet:bugs:start

Viele Grüße

Holger

-- 
Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Neue Clients - Ausschreibung

[T. Küchel]

Hallo Holger,

Am 04.10.2015 um 00:22 schrieb Holger Baumhof:
> bei AMD heißt es immer: die sind nicht so robust: das ist uralter Quatsch.
> Was stimmt ist: die AMD haben oft schlechtere Mainboards: z.B. eben
> keine IntelPro Karte Onboard, sondern eine Realtec: das stimmt: das ist
> schade. Dafür gibt es INtel Mainboards auch erst ab 80 EUR während man
> bei AMD schon ein gutes für 50 EUR bekommt.
> Nimmst du einen HP mit AMD Prozessor, dann dürften die auch solider
> ausgestattet sein.
> 
> Wer vPro bezahlen will (Q-Chipsätze) und weiß wie man es verwendet, hat
> damit einen echten Vorteil (BIOS übder das Netzwerk flashen ..).

und kauft sich auch immer eine Hintertür mit ein... vermute ich schon
länger, und würde jetzt nach dem ich diesen Artikel kenne auch davon
ausgehen:

http://heise.de/-2835910

(offensichtlich ist mir 2013 das hier durch die Lappen gegangen:
http://heise.de/-1968742)

VG, Tobias
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Neue Clients - Ausschreibung

[Holger Baumhof]

Hallo Stefan,

> 1. Gibt es schon irgendwo etwas zur Ausschreibung von Clients für
> LMN(6.1), was ich als Vorlage verwenden kann?

hab ihch nicht.
Meine letzte Ausschreibung lief so: ich bin zu 3 Firmen hin und hab mir
Angebote zu folgenden Eckdaten machen lassen:

DualCore Prozessor
2 GB RAM
min 160 GB Sata Platte
350 WATT Netzteil von Fortron Source
Gehäuse beliebig (Front USB und Audio und Abschließbar)
ASUS Mainboard
max. 45 Watt im Leerlauf

Am Ende waren es AMD X2 mit 2,4 GHz.
Die Intel Angebote waren um die Hälfte teurer, oder es waren unverschämt
langsame Celerons.

Heute würde statt der Platte sowas drin stehen:
120 GB SSD (Marke: Kingston)

Und ja: ich schreibe die Marke dazu: ich will keinen Schrott.
Und bei Netzteil, SSD und Mainboard wird gerne schrott verkauft: also
schreibe ich die Marke dazu (Samsung SSDs sehe ich übrigends auch als
Schrott an: so viele Firmwareprobleme die im letzten Jahr hatten.. da
hab ich keien Lust drauf: alle 6 Monate 50 Rechner mit neuer SSD
Firmware zu versehen). Die Kingston sind zwar nur halb so schnell wie
die Samsung, aber da ist mir noch nie eine kaputt gegangen oder hätte
eine Macke gehabt (und ich hab über 80 von denen im Einsatz).
Das ist mir wichtiger.
Genauso Mainboards: was ich da Ärger mit anderen Herstellern hatte: nein
Danke.
Netzteile genauso.
Meine Fortron Source aus der ersten Ausstattung (inzwischen 13 Jahre
alt) sind alle 40 Stück ohne Probleme gelaufen, bis die Duron 1400 in
den Ruhestand gingen.
Alle nachfolgenden Rechner haben nurnoch FSP Netzteile bekommen.

Aber: ich mache eben keine Ausschreibung, sondern lasse mir Angebote
direkt machen.
Und ich stelle immer selber zusammen: deswegen kostet ein Client bei mir
auch 300-400 EUR und nicht 500-600 EUR.

> 2. Tipps zu neuen Clients immer gerne, da ich mich mit Neugeräten nicht
> so auskenne: AMD vs Intel,

bei AMD heißt es immer: die sind nicht so robust: das ist uralter Quatsch.
Was stimmt ist: die AMD haben oft schlechtere Mainboards: z.B. eben
keine IntelPro Karte Onboard, sondern eine Realtec: das stimmt: das ist
schade. Dafür gibt es INtel Mainboards auch erst ab 80 EUR während man
bei AMD schon ein gutes für 50 EUR bekommt.
Nimmst du einen HP mit AMD Prozessor, dann dürften die auch solider
ausgestattet sein.

Wer vPro bezahlen will (Q-Chipsätze) und weiß wie man es verwendet, hat
damit einen echten Vorteil (BIOS übder das Netzwerk flashen ..).

> Zuverlässige Hersteller und Verkäufer, welche
> Bauteile besser meiden, welche sind zu empfehlen...

Wenn ich business Komplettrechner kaufen würde so würde ich sagen:
Notebooks nur noch von Lenovo.

Bei Rechnern: DELL kenne ich nicht: HP habe ich im Semianr (die gleichen
die du von den paedML Windows Fortbildung kennst: DC 7900).
Das sind ordentliche Kisten: HP kann ich da empfehlen.
Lenovo Rechner habe ich keine.

> P.S: v.a. @Holger: Ich habe mich nun doch für 64bit-Clients entschieden,
> denn ich lasse unsere 55Stück Lenovo T60 auf Core2duo aufrüsten von
> meiner E-Medien--AG.

wenn das geht ist das ja super.
Sind die CPUs gesockelt und das BIOS nimmt die C2D, dann ist das auch
garnicht so sehr ein Aufwand.
Du mußt halt Wärmeleitpaste kaufen :-)

Viele Grüße

Holger
 Dann müssen wir nicht über 50 neue Notebooks
> anschaffen und sind für unter 1000€ in der 64bit-Welt mit nur einem
> Ubuntu-Image!


-- 
Mein öffentlicher PGP-key ist hier hinterlegt: pool.sks-keyservers.net
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Brute-Force Attacken auf SSH-Port...

[Markus Rupprecht]

Am 02.10.2015 um 23:58 schrieb Michael Hagedorn:



Es ist wirklich nicht zu empfehlen, Standard-Ports mit wichtigen Diensten offen 
zu haben, wenn es nicht _unbedingt_ sein muss…

Meinst du nicht, dass Nicht-Standardports mittlerweile genauso
ausprobiert werden?

Als Maßnahme bleibt ja nur fail2ban, pub-key-Auth. und vielleicht noch
ein Portknocker davor ... oder fällt dir noch etwas gutes ein?


Nur der Hinweis: bei unserer Ipfire heißt der fail2ban "clone" Guardian. 
Jetzt wo ich das lese, fällt mir ein, dass ich mich bei unserer neuen 
6.1 bisher auch noch nicht darum gekümmert habe...


Muss ich mir nächste Woche mal ansehen.

Gruß,
Markus


---
Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
https://www.avast.com/antivirus

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Brute-Force Attacken auf SSH-Port...

[Alois Raunheimer]

Hallo Ihr,

im IPFIRE kann man eisntellen von welchen Ländern Zugriffe auf den IPFIRE
erfolgen dürfen. Ich habe das ganz restriktiv eingestellt. Nutzt diese
Einstellung nichts?

Gruß

Alois

Am 3. Oktober 2015 um 09:29 schrieb Markus Rupprecht <
rupprec...@ullstein-realschule-fuerth.de>:

> Am 02.10.2015 um 23:58 schrieb Michael Hagedorn:
>
>>
>> Es ist wirklich nicht zu empfehlen, Standard-Ports mit wichtigen Diensten
>>> offen zu haben, wenn es nicht _unbedingt_ sein muss…
>>>
>> Meinst du nicht, dass Nicht-Standardports mittlerweile genauso
>> ausprobiert werden?
>>
>> Als Maßnahme bleibt ja nur fail2ban, pub-key-Auth. und vielleicht noch
>> ein Portknocker davor ... oder fällt dir noch etwas gutes ein?
>>
>>
>> Nur der Hinweis: bei unserer Ipfire heißt der fail2ban "clone" Guardian.
> Jetzt wo ich das lese, fällt mir ein, dass ich mich bei unserer neuen 6.1
> bisher auch noch nicht darum gekümmert habe...
>
> Muss ich mir nächste Woche mal ansehen.
>
> Gruß,
> Markus
>
>
> ---
> Diese E-Mail wurde von Avast Antivirus-Software auf Viren geprüft.
> https://www.avast.com/antivirus
>
>
> ___
> linuxmuster-user mailing list
> linuxmuster-user@lists.linuxmuster.net
> https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
>
___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Re: [lmn] Brute-Force Attacken auf SSH-Port...

[Michael Hagedorn]

> im IPFIRE kann man eisntellen von welchen Ländern Zugriffe auf den
> IPFIRE erfolgen dürfen. 
Kannst du kurz nachsehen, wo/wie du das eingestellt hast?

Ich habe hier die meisten Zugriffe auf Port 14013 -- scheint unsere
Fritzbox selbst zu sein?? Unser IPfire hängt selbst hinter der FritzBox,
so dass die meisten Angriffe auf Standardports erst gar nicht bis dahin
vordringen. Aber wie gesagt: Die Ports vom IPFire gehören sicher
mittlerweile zum Standard-Repertoire der Angreifer?!?


Michael

___
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user