Archive for the ‘security’ Category

Frischer Build nach HeartBleed, Package-Upgrade für shell.uugrn.org

Wednesday, April 9th, 2014

Im Zuge von HeartBleed musste kurzfristig alles aktualisiert werden, was auf OpenSSL 1.0.1 für x

Entsprechend gab es – neben allen anderen Jails – auch wieder zahlreiche Softwareupdates für shell.uugrn.org

Have fun!
Raphael

SSL für *.uugrn.org

Friday, April 15th, 2011

UUGRN e.V. hat sich ein richtiges Wildcard-Zertifikat für seine verschiedenen SSL basierten Dienste geleistet. Da wir davon ausgehen, dass dieses Zertifikat von nahezu allen Clients akzeptiert wird, haben wir alle SSL basierten Dienste darauf umgestellt.

Have fun!

Raphael

Interims-Update auf 7.3-RELEASE-p1

Thursday, July 1st, 2010

Wir fahren auf unseren Vereinsservern noch weitgehend das alte FreeBSD 7.2. Dieses hatte am 30.6.2010 seinen offiziellen End-of-Live Termin und wird daher nicht mehr supportet. (more…)

Update auf shell.uugrn.org

Wednesday, March 10th, 2010

Heute waren eine handvoll Update auf shell.uugrn.org fällig, darunter u.a. mit OpenSSL, sudo und ksh93.

Das komplette Delta gibts im Wiki.

Have Fun!
Raphael

PS: auch nett: Die Updates seit 3/2009.

Updates auf shell.uugrn.org

Wednesday, December 30th, 2009

Heute waren diverse kleinere Updates auf shell.uugrn.org, u.a. verbunden mit dem (Security-)Update auf PHP 5.2.12, siehe auch phpinfo()

Have fun!

Raphael

Security Update und Reboot auf top.uugrn.org

Sunday, October 4th, 2009

Am Freitag (2. Oktober 2009, 22 Uhr CEST) abend wurden verschiedene Security Advisories für FreeBSD veröffentlicht. Es dreht sich dabei um das Problem, dass der Kernel dazu gebracht werden kann (aufgrund von Bugs), Code an der Adresse 0 (null) auszuführen. Schafft man es nun, dort Code abzulegen und den Kernel ausführen zu lassen, kann man die volle Kontrolle über das System erlangen. 2 der 3 Security Advisories beziehen sich in diesem Kontext auf Bugs, bei dem der Kernel dazu gebracht werden kann, genau das zu tun.

Die Version 7.2-RELEASE-p4 behebt diese Probleme bzw. bietet einen Workaround an. Aus diesem Grund habe ich top.uugrn.org rebootet und damit auch alle Jails neu gestartet.

Ein sehr ähnliche Methode betrifft übrigens auch Linux-Kernel die älter als ein paar Wochen sind, mehr Infos unter heise.de.

Gruß
Raphael

System verschlüsseln mit geli(8)

Sunday, July 26th, 2009

TrickSTer hat mich auf die Idee gebracht, mal auszuprobieren, wie man ein komplettes FreeBSD System mit geom(8) verschlüsseln kann. Meine Inspiration dazu war dieser Artikel, jedoch gefällt mir hier der Ansatz nicht, dass ich von USB booten muss.

Meine Strategie ist, dass ich alles auf einer Platte haben will und deswegen verschlüssel ich nicht die ganze Platte (/dev/ad0.eli bzw. /dev/ad0), sondern nur ein Slice (Partition) davon. Der unverschlüsselte Teil (/dev/ad0s1) wird nur zum Booten verwendet, das eigentliche System wird allerdings unter /dev/ad0s2 komplett verschlüsselt laufen und hat keine unverschlüsselten Filesysteme aktiv.

Darüber hinaus wird ein separates unverschlüsseltes dump-Device eingerichtet, da swap (= default dumpdevice) ebenfalls verschlüsselt werden soll und ein dumpdevice möglichst “einfach” sein sollte.

Im UUGRN-Wiki habe ich dazu das Kochrezept zum System verschlüsseln mit geli(8) dokumentiert.

Have fun!

Raphael