Posts Tagged “sicherheit”

Mit PAM und SSH lässt sich auch ohne zentralen Login-Server ein passables SSO realisieren. Damit entfällt das lästige Passwort-eingeben beim SSH-Login oder mounten via SSH.

1. SSH-Schlüssel erstellen: Entweder über die Konsole ($ ssh-keygen) oder über das GUI:
   1. Schlüsselmanager öffnen:

      

   2. "Neuer SSH-Schlüssel" auswählen:
      

      

   3. Als Kommentar am besten user@host eingeben. Dann kann man den Schlüssel später besser zuordnen:

      

   4. Als Passphrase kann man zum Beispiel einen Satz nehmen und ein paar Buchstaben vertauschen, auslassen oder durch Zahlen ersetzen. So kann zum Beispiel aus "Der Himmel ist grau und es regnet." der Passphrase "derH!mm3Li$tgraUndESrgnt." werden. Da ist alles drin, was man sich in einem guten Passwort wünscht: Groß- und Kleinbuchstaben, Zahlen und sogar Sonderzeichen und merken kann man sich das dann auch relativ gut.

      

2. Die entsprechende Bibliothek für PAM mit $ sudo aptitude install libpam-ssh installieren
3. Nun müssen noch die entsprechenden Anwendungen von der neuen Möglichkeit in Kenntnis gesetzt werden. Dazu in den Konfigurationsdateien in /etc/pam.d nach @include common-auth suchen und in die Zeile darüber @include pam-ssh-auth eintragen. Anschließend noch nach @include common-session suchen und darüber @include pam-ssh-session eintragen.

   GDM (Anmelde-Manager)

   /etc/pam.d/gdm

   Login auf der Konsole

   /etc/pam.d/login

   sudo

   /etc/pam.d/sudo: Nur @include pam-ssh-auth. Falls der Key falsch eingegeben wird, fällt sudo auf das normale Password zurück. Um das zu deaktivieren, kann man #@include common-auth mit einer Raute deaktivieren.

Update: Mir ist grade aufgefallen, dass man das unter Ubuntu so gar nicht braucht, weil da der Gnome-Keyring-Manager das alles verwaltet. Macht aber nix: funktioniert ja auch unter andern Distributionen ;-)

Read More

Nachdem Computer, Mobiltelefone und Spielekonsolen schon länger das Ziel von Hackern avancierten, folgt nun das erste Küchengerät: die Kaffeemaschine.

Über den Internetzugang, der eigentlich zu Wartungszwecken gedacht ist, soll es laut heise online, unter anderem möglich sein das Pulver-/Wasserverhältnis zu manipulieren. Was kommt als nächstes? Die Abschaltung der Gefriertruhe über das Internet oder die Online-Brandstiftung mit dem Backofen?

Read More

Heute mal einen Ausflug in die Windowswelt. Da ich unter Windows (XP) nicht als Administor arbeite, muss ich nach Installationen immer mal wieder die Zugriffsrechte der Programmordner anpassen. Wer schonmal versucht hat die Zugriffsrechte per Konsole zu ändern, hat sich wahrscheinlich mit dem Konsolenprogramm cacls (change access control lists) rumschlagen müssen. Die Crux mit dem Programm ist, dass es noch aus Windows-NT-Zeiten stammt und seitdem von Microsoft nicht mehr gepflegt, sondern nur noch mitgeliefert wird. (Besserung verspricht erst Windows Vista, das das neuere icacls enthält.) Sehr leicht vergisst man man die Option /e und schon werden die Zugriffsrechte nicht ergänzt, sondern ersetzt. Und da man sich in Windows auch von Ordnern und Dateien aussperren kann, hat man auf einmal keinen Zugriff mehr auf das soeben installierte Programm. Um die Rechte wieder zu erlangen muss man Eigentümer der Datei sein, und dabei kommt man an das nächste Problem von cacls: Eigentümer ändern geht nicht. Eine kurze Suche bei Google brachte dann die Alternative mit dem Namen SetACL zutage das deutlich mächtiger ist und zudem unter der GPL veröffentlicht.

Bei der Übertragung von Daten über eine unverschlüsselte und ungesicherte Verbindug besteht immer die Gefahr einer Manipulation. Zu einem Sicherheitsrisiko kann das zum Beispiel dann werden, wenn ein Program von einem vertrauten Anbieter heruntergeladen wird (zum Beispiel die neuste Firefox-Version). Wenn nun entweder der Server des Anbieters kompromittiert wurde oder beim Download eine Manipulation stattfindet, indem ein Trojaner oder ähnliche Malware eingebaut wird ist das oberflächlich nicht zu erkennen. In gutem Glauben an die Korrektheit des Anbieters wird nun die Anwendung installiert, doch im Hintergrund gräbt sich auch die Malware ins System ein.

Ein gutes Mittel solche Manipulationen zu unterbinden ist die Signierung von angebotenen Dateien. Dadurch wird - eine sichere Schlüsselübergabe vorausgesetzt - eine Manipulation sofort aufgedeckt. Ist der Schlüssel nicht sicher übergeben worden wird die Manipulation doch immerhin etwas erschwert.

Soviel zur Theorie, pratkisch funktioniert das ganze prima mit GnuPG:

$ # Datei signieren:
$ gpg --sign --detach-sign ich_bin_eine_datei
$ # oder kürzer:
$ gpg -sb ich_bin eine_datei

$ # Signatur prüfen:
$ gpg ich_bin_eine_datei.sig

Schön wäre natürlich wenn die Browser das nun noch automatisiert implementieren würden ;-) Oder wenigstens eine Erweiterung im Windows-Kontext-Menü...

Mehr Informationen zu GnuPG und digitalen Signaturen

Read More

Ab sofort können mir verschlüsselte E-Mails geschickt werden! Dank Mozilla Thunderbird und Enigmail ist das sowohl unter Linux als auch unter Windows kein Problem!

Mein Public-Key ist über den Keyserver pgpkeys.pca.dfn.de verfügbar (ID: 0xE644EAB2) oder kann natürlich auch von davidfuhr.de heruntergeladen werden (Rechtsklick, “Ziel speichern unter…”).

Fingerprint: F242 78FA A91E A55B FD97 C7BB FBC5 DEFE E644 EAB2

Weiterführende Links:

• GnuPG Homepage
• GnuPT-Portal

Read More