U ptim es - Beoba ch tu n gen German Unix User Group
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Uptimes
Mitgliederzeitschrift der
German Unix User Group
Beobachtungen am Honeypot
Unix-Geschichte – wie alles begann
Dateirechte für Fortgeschrittene
2012-2
U P T IMES S OMMER 2012 I NHALTSVERZEICHNIS
Inhaltsverzeichnis
Tag zusammen!
von Anika Kehrer 3
Liebe Mitglieder!
von Wolfgang Stief, Vorsitzender des Vorstands 5
sage@berlin
in Berlin macht das Jens Link 7
Versammlungswesen
von Anika Kehrer 8
Offene Sicherheit
von Sven Uebelacker 10
Stille Beobachter
von Andreas Bunten und Torsten Voss 13
Alles, was Recht ist
von Nils Magnus 18
Geschichtsstunde
von Jürgen Plate 22
T-Shirts ...
von Hella Breitkopf 27
Nachlese
von Anika Kehrer 28
Call for Presentations
vom Planungsteam 32
Legenden eines alternden Beagles
von Snoopy 34
Autorenrichtlinien 38
Über die GUUG 40
Impressum 41
GUUG-Mitgliedsantrag 42
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 2
U P T IMES S OMMER 2012 TAG ZUSAMMEN !
Tag zusammen! Wohin gehen wir?
UpTimes mit neuer Redaktion Frag mich was Leichteres!
Immer nach Hause.
Auf GUUG-Listen und in Gesprächen brandete
Frei nach Novalis
wiederholt die Diskussion auf, dass man doch gern
wieder eine „richtige“ UpTimes hätte. Was „richtig ist“,
weiß ich nicht. Doch hier ist die neue UpTimes.
von Anika Kehrer
Auf der neu belebten Redaktionsmailingliste ging Bildern, für die nächsten ruft der CfP. Im ganzen
es in den letzten sechs Wochen heiß her. Das ist Heft gibt es mit Geek and Poke jetzt immer wieder
zum Beispiel dem neuen Layout geschuldet: Ro- mal zwischen den Artikeln eigene Comics in der
bin Schröder hat aus LaTeX so einiges heraus- UpTimes. Kurz: Wehe, jemand findet diese Aus-
gekitzelt. Immerhin entstammt der erste Layout- gabe doof. :-)
Entwurf einem konventionellen Office-Programm. Und wenn doch? Der Entstehungsprozess
Wie würden die darin so leicht von der Hand ge- der UpTimes ist mit Mailingliste und Wiki-
henden Fancy-Elemente wie farbige Aufmacher- Dokumentation transparent. Jeder kann sich ein-
kästen oder Kopf- und Fußzeilen aussehen, umge- bringen: Mit Redaktion, Schlussredaktion, LaTeX-
setzt im reduzierten LATEX-Stil? Ich finde: Richtig Gestaltung und Bilderrecherche erobern sich re-
elegant. Ich bin echt begeistert. Doch ich hoffe vor daktionell interessierte GUUG-Mitglieder einen
allem, dass es Euch gefällt. Platz im Impressum. Als Autor bieten sich mit
In der neuen UpTimes ergänzt die neue Ru- Veranstaltungsberichten und Buchrezensionen –
brik Vereinsleben die bisherigen Fachbeiträge, zum
Empfehlungen wie Kritiken – überschaubare Text-
Beispiel mit Portraits der Regionalgruppen. Den
mengen. Wer für ein ganzes Thema brennt,
Anfang macht Berlin. Ein Artikel zeigt, was sich
schöpft mit einem Fachartikel aus den Vollen.
in den Vorstandssitzungen so getan hat. Am
In der UpTimes steht Euch die ganze Unix-Welt
liebsten wird die Vereinsrubrik mit eigenen Ar-
offen, von Hardware bis Warehouse. Und bei
tikeln von Euch der Platz für eine publizisti-
700 GUUG-Mitgliedern liest das ein kompetentes
sche Informations- und Meinungsplattform in der
Fachpublikum. Ihr.
GUUG, neben den Fachartikeln.
Für Fachartikel gibt es die Themenrubrik. Zum Am wichtigsten ist in der UpTimes neben der
Thema Geschichte holt Jürgen Plate in dieser Aus- fachlichen Diskussion das Vereinsleben. Daher
gabe die lange, tolle Unix-Geschichte ins Ram- schickt Themen, Texte, Erörterungen, Howtos, Bil-
penlicht. In Sachen Security zeigen Andreas Bun- der, Links, Rätsel, Witze. Schickt, was Ihr den an-
ten und Torsten Voss, was alles um ihre Honey- deren in der UpTimes zeigen wollt. In Eurer Up-
pots herumschwirrte, und Sven Uebelacker stellt Times. Denn für niemanden sonst ist dieses Heft
OpenDNSSEC vor. Als Sysadmin hält Nils Ma- gemacht.
gnus mit Feintuning von Dateirechten ein Plädoy- Ihr erreicht die Redaktion unter . Schickt Inhalte und Feedback an
ist noch nicht alles. Für Humoristisches und Li- mich – – oder gleich direkt an
terarisches gibt es ab sofort die Rubrik DownTi- die Liste. Abonniert die Liste, wenn Ihr Euch wirk-
mes. Snoopy ist mit neuen Legenden dabei! Bei den lich einbringen wollt. Tippt, malt, lötet, stanzt.
Events sprechen Collagen von den letzten FFG in Egal wie: Lasst von Euch hören!
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 3
U P T IMES S OMMER 2012 TAG ZUSAMMEN !
Über Anika
Anika Kehrer hat Literaturwissenschaft, Geschichte und Politik studiert
und wohnt in der Heimat Berlin sowie in der Jobheimat München. Sie
beschäftigt sich als freie Journalistin mit Informationstechnik, bis hin zur
Elektrotechnik, und mit Open-Source-Technologie, von Community Cul-
ture bis Versionsverwaltungssoftware.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 4
U P T IMES S OMMER 2012 L IEBE M ITGLIEDER !
Liebe Mitglieder! Wie? Was? Warum? ist Stentors Redekreis.
Grußwort vom Vorstand Gruß, Bitte, Rat, Erzählung, Wünsche, Klagen,
Vorwürfe, Schmeichleien, sind alles bei ihm Fragen;
Und wenn er euch nichts mehr zu fragen weiß,
Fragt er: Was sollt’ ich sie doch fragen?
von Wolfgang Stief, Vorsitzender des Vorstands
Friedrich Wilhelm Gotter
„Hurra! Endlich wieder eine UpTimes!“, werden in diesen Formaten zuhause fühlt, weshalb es ak-
viele von euch begeistert ausrufen. Mich freut das tuell keine Ambitionen in diese Richtung gibt.
auch sehr. Nachdem etliche Versuche eines Neu- Wenn jemand diese Lücke füllen möchte, sind wir
starts in den vergangenen Jahren meistens aus sehr dankbar.
Zeitgründen gescheitert sind, haben wir für diese Ab sofort soll die UpTimes wieder mehrfach im
Ausgabe ein bisschen Geld in die Hand genom- Jahr erscheinen, an einen Plan wagen wir uns im
men und eine Chefredakteurin bezahlt, die den Moment aber noch nicht. Da halten wir es so, wie
Laden zusammenhält und alle Mitwirkenden vor- die Debianer: „It’s done, when it’s done.“ Wer Ide-
antreibt. Danke Anika! en oder Beiträge hat, meldet sich bitte per Mail an
Langjährige Mitglieder und UpTimes-Leser se- oder .
hen sofort, dass das Layout ganz anders ist als frü- Zum Ende dieser Ausgabe gibt es auch Autoren-
her. Der Vorstand hat in 2010/2011 die Überarbei- hinweise. Für Fachartikel können wir sogar Hono-
tung des äußeren Erscheinungsbildes in Auftrag rar bezahlen. Insbesondere möchte ich Mitglieder
gegeben, an das sich die UpTimes jetzt sinnvoller- aufrufen, die auch Fachbücher schreiben, uns das
weise anpasst. Und irgendwann wird schließlich mitzuteilen. Wir stellen die Bücher gerne in der
auch der Webauftritt entsprechend gestaltet. UpTimes vor.
Eine weitere Neuerung ist, dass die UpTimes
Entgegen der früheren Ausrichtung mit über-
jetzt als PDF erscheint. Wir denken, das ist zeit-
wiegend Fachartikeln soll in Zukunft auch die
gemäß. Unter den Mitgliedern gibt es beide Lager:
Vorstandsarbeit verstärkt in der UpTimes Platz
Solche, die seit Jahren ohnehin nur noch am Bild-
finden. Damit soll der Verein transparenter wer-
schirm lesen (und begeisterte E-Book-Leser sind),
den.
und die Fraktion, die auf dem morgendlichen Weg
Zum Abschluss dieses Grußworts möchte ich
ins Büro lieber ein Stück Papier zum Lesen in der
dem Team hinter dieser Ausgabe danken für wirk-
Hand hält.
Die Verbreitung als Bytes ist jedoch für die lich beeindruckendes Engagement: Allen voran
GUUG logistisch um vieles einfacher, außerdem Anika, die mit fordernden Mails ein beachtliches
mit deutlich weniger Kosten verbunden. Die wir Tempo vorgelegt hat. Danke an Robin, der die gan-
andererseits wieder in eine bezahlte Chefredak- zen Layout-Ideen nach LATEX überführt hat. Wer
teurin investieren können. :-)Ein der Papierfrak- LATEX kennt, weiß, dass das nur bedingt geeignet
tion geschuldeter Kompromiss ist das Layout im ist, um eine Zeitschrit zu layouten. Großer Dank
A4-Format, das auch gedruckt ordentlich aussieht. auch an Hella, die sich auch dieses Mal um das
Zum Lesen am Bildschirm würde sich ja etwas in Titelbild und die Titelgestaltung gekümmer hat.
16:9 oder 4:3 besser eignen. . . Von einer Veröffentli- Und schließlich noch Danke an Oliver Widder,
chung als PDF versprechen wir uns außerdem eine der uns seine Comics auf Anfrage von Anika un-
weitere Verbreitung, als das bisher mit gedruckten ter CC-BY-SA für zukünftige Ausgaben zur Verfü-
Ausgaben möglich war. gung stellt.
Die UpTimes entsteht auch weiterhin in LATEX. Nun wünsche ich euch viel Spaß mit dieser
Prinzipiell haben wir damit die Möglichkeit, zu- Ausgabe und freue mich schon auf die Arbeit am
sätzliche E-Book-Formate (ePub u. a.) anzubieten. nächsten Heft, das noch in diesem Jahr kurz vor
Unter den derzeit Engagierten ist keiner, der sich Weihnachten erscheinen soll.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 5
U P T IMES S OMMER 2012 L IEBE M ITGLIEDER !
Über Wolfgang
Wolfgang Stief hat Linux während des E-Technik-Studiums kennen und
schätzen gelernt (Kernel 0.99). Seit 1998 verdient er sein Geld überwie-
gend mit Solaris, Storage-Systemen und verteilten Dateisystemen. Wenn
er gerade mal nicht beruflich oder für die GUUG unterwegs ist, züchtet er
Gemüse, treibt sich in sozialen Netzwerken herum oder macht Musik.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 6
U P T IMES S OMMER 2012 SAGE @ BERLIN
sage@berlin Ick sitze da und esse Klops.
Die Lokalgruppe der Hauptstadt Uff eenmal kloppt’s.
Ick sitze, staune wundre mir,
In mehreren Städten treffen sich GUUG-Mitglieder und uff eenmal jeht se uff, de Tür.
andere Unix-Interessierte regelmäßig in Person. Dafür Ick jehe hin und kieke,
muss einer die Organisation übernehmen. und wer steht draußen? Icke.
Berliner Spruch
in Berlin macht das Jens Link
Wie lange gibt es die Berliner Regionalgruppe? Leute zum Sysadminday und zu einem spontanen
Jens: Die Idee entstand im Herbst 2005, das erste Treffen vor Weihnachten.
Treffen war im Januar 2006. Habt Ihr Lieblingsthemen oder Themen, die
Wie setzen sich die Berliner (Abbildung 1) zu- häufiger vorkommen?
sammen? Jens: Wir versuchen, die Themen möglichst weit
Jens: Hauptsächlich Admins, hängt aber auch zu streuen. Es kommt aber immer auf die Vortra-
zum Teil von den Vorträgen ab. genden an. Wenn Wünsche der Teilnehmer kom-
men, versuche ich auch, einen passenden Sprecher
zu finden.
Wieviele Teilnehmer kommen in der Regel zum
Berliner Treffen?
Jens: Zum Vortrag so zwischen zehn und dreißig.
Zum Bier danach dann immer so zwischen zehn
und zwanzig.
Wie kamst Du dazu, die Berliner Lokalgruppe
unter Deine Fittiche zu nehmen?
Jens: Da heißt die Antwort leider: Weil es sonst
keiner macht. Wobei ich im Monat so zehn bis 15
Minuten für die Orga brauche. Ein fester Ort für
Vorträge und ein großer Pool von Vortragenden
erleichtern die Sache ungemein.
Abbildung 1: sage@guug Berlin traf sich am 07. Juni Über Jens
2012 zum Vortrag DNSSEC von Lutz Donnerhacke in
den Telekom Innovation Laboratories (T-Labs). Anwe-
send waren mehr als 20 Personen. Schnappschuss: Flo-
rian Streibelt.
Wo in Berlin trefft Ihr Euch, und warum?
Jens: Vorträge finden meistens an der Technischen
Universität Berlin statt, wir waren aber auch schon
zu Vorträgen bei Cisco oder IBM.
Sind Eure Treffen eher Stammtische, oder gibt es
bei Euch auch Vorträge oder Workshops?
Jens: Wir versuchen, jeden Monat einen Vortrag Jens Link ist freiberuflicher
anzubieten. Termin ist der erste Donnerstag im Computer-Geek, der sich auf Netz-
Monat. In den meisten Fällen klappt das auch. werke hauptsächlich von Cisco
Nach dem Vortrag gehen wir dann zum gemütli- spezialisiert hat. Zum Monitoren
chen Teil in einem Restaurant über. Fällt der Ter- nutzt er freie Software wie Nagios
min auf einen Feiertag, verzichten wir auf den Vor- oder Cacti. Besonders interessiert
trag. Außerdem treffen sich immer noch ein paar er sich für IPv6-Security.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 7
U P T IMES S OMMER 2012 V ERSAMMLUNGSWESEN
Versammlungswesen Zweck des Vereins ist,
Aus MV und Vorstand 2010 - 2012 Forschung, Entwicklung und Kommunikation
offener Computersysteme,
GUUG-Vereinsmitglieder diskutieren auf Mailinglisten insbesondere Unix-artiger Betriebssysteme
und treffen sich in Regionalgruppen. Mitgliederver- und dazugehöriger Software zu fördern.
sammlung und Vorstandssitzungen sind hingegen
§ 2 GUUG-Satzung
langweilig. Oder?
von Anika Kehrer
Knapp 1.300 Subskribenden tummeln sich der- Organisator von Regionaltreffen, als Rechnungs-
zeit auf den -Listen, dem virtu- prüfer, in der Wahlkommission oder direkt in dem
ellen Salon Unix-geneigter Admins, Architekten 9-köpfigen Vereinsvorstand.
und Programmierer aus dem deutschsprachigen Während sich die Mitglieder jährlich zusam-
Raum. Die Listen entstanden nach dem Vorbild menfinden – oft an demselben Ort wie das Früh-
der System Administrators Guild der Usenix vor et- jahrsfachgespräch – trifft sich der Vorstand mehr-
wa 12 Jahren als Projekt im Schoß der German Un- mals pro Jahr. Er führt die Feder bei Details
ix User Group: ein 1984 eingetragener Verein, in des Vereinslebens, zum Beispiel IT-Infrastruktur,
dem sich eine Gruppe Menschen mit obengenann- Event-Beteiligungen oder strategische Maßnah-
ten Attributen zum Zwecke gemeinsamer Hand- men, und bereitet Beschlüsse der Mitgliederver-
lungsfähigkeit zusammenschloss. sammlung vor.
Die SAGE-Listen – genauso wie die regionalen Seit rund zwei Jahren hat sich der Vorstand
Treffen der GUUG – setzen keine Vereinsmitglied- zum Ziel gesetzt, die Vereinsarbeit transparenter
schaft voraus. „SAGE-Onlys“ erhalten jedoch kei- zu machen. Zweck ist, die Kommunikation zwi-
nen Einblick in Vereinsinterna wie Finanzen, und schen Spitze und Basis zu beleben – und so für
sie besitzen keine Stimme bei Wahlen oder Ent- mehr aktive Teilhabe zu interessieren. Auf der Vor-
scheidungen über GUUG-Aktivitäten. Welche die- standssitzung vom 29. Oktober 2011 in Köln und
se sind, ist hier den Protokollen aus Mitgliederver- vom 7. Januar 2012 in Bochum fielen dafür einige
sammlung, Vorstandssitzungen und anderen Tref- wichtige Entscheidungen.
fen entnommen, ausgewählt und anonymisiert.
Öffnung des Vorstands
Teilhabe in Zahlen
Die interne Kommunikation des Vorstands kann
Von den derzeit rund 700 Vereinsmitglie- mit Vorstandsbeschluss von Oktober 2011 auch
dern subskribieren mit Stand von 2012 etwa von GUUG-Mitgliedern geteilt werden, die nicht
die Hälfte die Vereins-Diskussionsliste . Allerdings entstand diese Lis- erfüllen. Wer möchte, bittet den Vorstand um Ein-
te erst lange nach Gründung des Vereins. Inzwi- bindung in die Kommunikation. Der Vorstand ent-
schen kommt jedes neue Mitglied auf diese Liste, scheidet dann über die Aufnahme in die Lese-
nur die Altmitglieder wurden nie nachgezogen. /Schreibgruppe für Liste und Wiki.
Genau wegen dieser Divergenz hat der Vorstand Diese Methode der Einbindung auf Antrag hal-
neuerdings die Liste ins Le- ten die Vorständler für sinnvoller, als eine ei-
ben gerufen, deren Abonnentenliste sich aus der gene neue Aktiven-Mailingliste der GUUG ein-
Mitgliederdatenbank speist und somit wirklich je- zurichten. Mit dem Veto-Recht behält sich der
den erreicht – doch dazu mehr unter dem Punkt Vorstand vor, seinen geschützten Kommunikati-
‚Kommunikation im Verein‘. onsraum nicht unkontrolliert nach außen zu öff-
An der jährlichen Mitgliederversammlung nah- nen. Und das Stimmrecht bei Abstimmungen
men 2010 rund 40 Personen teil, 2011 waren es bleibt den von den Mitgliedern gewählten Vor-
50. Etwa zwei Dutzend Vereinsmitglieder bringen standsmitgliedern vorbehalten. Der Vorstand be-
sich aktiv in das Vereinsleben ein, zum Beispiel als tont aber:
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 8
U P T IMES S OMMER 2012 V ERSAMMLUNGSWESEN
Mitgliedern soll damit ermöglicht wer- Facebook- und Google-Plus-Seiten vervollständi-
den, den Verein aktiv mitzugestalten gen inzwischen den Auftritt der GUUG im Web
und die Vorstandsarbeit transparenter 2.0. (Anmerkung der Redaktion: Kann mal bitte
zu erleben. Wir freuen uns explizit auf jemand einen Artikel darüber schreiben, was das
aktive Teilnahme an den Diskussionen. Web 3.0 oder gar 4.0 sein soll?)
Eine weitere Neuerung im Jahr 2012 ist der
Die GUUG-Spitze beschloss außerdem im ge- GUUG-Newsletter, den der Vorstand in den bei-
nannten Meeting 2011, seine Protokolle ab sofort den schon genannten Sitzungen diskutiert und
im internen Vereins-Wiki zu veröffentlichen, um beschlossen hat. Demnach gibt es jetzt die neue
eine weitere Kommunikationslücke zu den ande- Read-only-Mailingliste , die
ren Mitgliedern zu schließen. Genau wie bei der für die Kommunikation des Vorstandes an die
Öffnung der Kommunikationswege ist auch hier- Mitglieder gedacht ist: Der Newsletter soll quar-
bei die Herausforderung, empfindliche Daten zu talsweise über die Vereinsaktivitäten informieren.
schützen, damit die Persönlichkeitsrechte vor dem Damit niemand den Newsletter als Ärgernis emp-
dann breiteren Publikum gewahrt werden. findet, will der Vorstand für seine Relevanz und
Diese Bearbeitung des Protokolls, das ja in sei- saubere Formatierung Sorge tragen. Seine erste
ner primären Funktion auch erst einmal geschrie- Ausgabe ging im April 2012 über die Bühne, Ver-
ben werden will, stellte sich als deutlicher Mehr- zeihung, Liste.
aufwand heraus, wie in der darauffolgenden Vor- Auch die monatlichen Termine der Lokal- und
standssitzung am 7. Januar 2012 in Bochum zur Regionaltreffen gehen fortan über den Mitglieder-
Sprache kam. Doch das Gremium bekräftigte aber Verteiler und entfallen auf der Liste . Im Gegensatz zu der neuen
– und hinkt daher in der Ausführung bislang et- Ankündigungsliste, die nur als Leseliste gedacht
was hinterher. Die entsprechende Wikiseite hat ist, soll die GUUG-Member-Liste interaktiver Dis-
der GUUG-Vorstand bisher daher noch nicht sinn- kussion zwischen allen Vereinsmitgliedern vorbe-
voll bekannt geben können. halten sein.
Auf der Vorstandssitzung von Oktober 2011
Kommunikation im Verein wurde auch die bezahlte Chefredaktion der Up-
Times beschlossen. :-)Da diese neue UpTimes-
Schon auf der Mitgliederversammlung von März Redakteurin übrigens die Vereinsmailinglisten
2011 wurde die GUUG-Präsenz bei Twitter, Iden- nicht lesen kann, sind die Vereinsmitglieder ge-
tica und in der Blogosphäre offiziell. Anläss- fragt, hier in der UpTimes zu kommentieren, ein-
lich des Frühjahrsfachgespräches 2012 erhielt zuordnen oder einfach zusammenzufassen, was
dann der neue GUUG-Blog einen Schwung vor- ihnen auf den Listen bemerkenswert erscheint.
Ort-Berichte aus der Feder der GUUG-Presse- Das gilt genauso für die SAGE-Listen bei fachli-
Mitarbeiterin Corina Pahrmann. Weitere GUUG- chen Themen. Wer will, kann etwas einfach runter-
Mitglieder nutzen das Blog seitdem zum Beispiel schreiben, einschicken – und in der UpTimes einen
für Ankündigungen von Regionaltreffen. Auch neuen Rahmen geben.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 9
U P T IMES S OMMER 2012 O FFENE S ICHERHEIT
Offene Sicherheit One Key to rule them all,
OpenDNSSEC hilft, DNSSEC zu verwalten one Key to find them,
one Key to bring them all
OpenDNSSEC ist bei der Suche nach einer geeigne- and in the Resolver bind them.
ten DNSSEC-Lösung eine wertvolle Option. Die aktive
modified from Lord of the Rings, Miek Gieben, NLnet Labs
Weiterentwicklung lässt auf viele neue Features in
naher Zukunft hoffen.
von Sven Uebelacker
Seit Sommer 2011 ist auch die .de-TLD-Zone von kann die viel diskutierten Begehrlichkeiten staat-
DENIC signiert, wie viele andere TLD-Domains. licher Einrichtungen, das Internet kontrollieren
Netzwerkadministratoren können DNSSEC [1] oder gar zensieren zu wollen, minimieren, eben-
daher für die eigenen Domänen ausrollen. Viele so wie auch MITM-Angriffe, wenn es gelingt, die
Betreiber von authoritativen Nameservern, beson- letzte Meile der DNSSEC-Validierung zum Benut-
ders kleinere, stellt das vor die Herausforderung, zer zu überwinden. Denn das Vertrauen in DNS-
Anpassungen an ihrem derzeitigen Workflow vor- Antworten sollte streng genommen nicht an den
zunehmen und zusätzliche Ressourcen einzupla- ISP delegiert werden. Bis eine Validierung auf Cli-
nen. OpenDNSSEC ist ein Hilfsmittel, DNSSEC ent/Benutzerebene stattfindet, wird aber leider
fehlerfrei umsetzen, damit Kunden in den Genuss wohl noch einige Zeit vergehen.
von überprüfbaren Resource Records kommen. DNSSEC sichert nicht nur bisherige, auf DNS-
basierenden Dienste ab, sondern es kann auch
zur Grundlage für darauf aufsetzende neue Ent-
Sinn von DNSSEC wicklungen werden, wie beispielsweise die IETF-
Arbeitsgruppe DNS-based Authentication of Named
Dass DNS für immer mehr Dienste Verwendung Entities (DANE) [5] zeigt.
findet, hat wohl niemand anfangs vermutet. Sei-
ne Ausfallsicherheit durch Dezentralität (zum Bei-
spiel Anycast-DNS) und die weltweit eindeuti- Deployment von DNSSEC
ge Hierarchie brachte und bringt viele in Ver-
Große Unternehmen, die bereits Anycast-DNS-
suchung. So präsentierte zum Beispiel Werner Server oder zumindest ein einwandfrei funk-
Koch auf dem Frühjahrsfachgespräch 2012 das tionierendes Konfigurationsmanagement betrei-
Projekt STEED [2], wo er Informationen zu X.509- ben, werden keine großen Schwierigkeiten haben,
Zertifikaten und OpenPGP-Schlüsseln über DNS- DNSSEC zu deployen. Wie bei geheimen Schlüs-
Einträge verteilt. Damit will er einen neuen, be- seln üblich, sollten diese auch hier in einer ge-
nutzerfreundlicheren Ansatz von Ende-zu-Ende- schützten Umgebung liegen: Die Signierung soll-
Verschlüsselung etablieren. Denn das Vertrauens- te also auf einem dedizierten System passieren
modell vom OpenPGP-Web-of-Trust, so Koch, ha- und nicht auf produktiven, weltweit erreichba-
be sich laut des ACM-Beitrages „Why Johnny ren authoritativen Nameservern. Falls ein Konfig-
can’t encrypt: a usability evaluation of PGP 5.0“ Management vorhanden ist, ist dies meist einfach
[3] nicht bis zum Endbenutzer durchgesetzt. Ge- für das Verteilen der signierten Zonen erweiter-
rade wegen der weitreichenderen Einsatzzwecke bar. Jedoch müssen sich kleine und mittlere Un-
von DNS ist eine Absicherung mit DNSSEC daher ternehmen sowie private DNS-Serverbetreiber oh-
dringend geraten. ne Konfigmanagement Gedanken machen, wie sie
Überprüfbare und verlässliche DNS- die Zonen ausrollen wollen – von einem einfachen
Antworten dienen zunehmend auch der Absi- Rsync von einem abgeschotteten (virtualisierten)
cherung von Infrastrukturen: Es dämmt bekannte Signiersystem bis zum Aufbau eines Konfigmana-
DNS-Angriffe ein, wie zum Beispiel Dan Kamins- gements ist alles möglich.
kys DNS Cache Poisoning [4], was zu einem zusätz- Unbedingt zu verhindern ist das Ausliefern
lichen Schub im Einsatz von DNSSEC führte. Es von falsch signierten Zone-Dateien. Denn fehlge-
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 10U P T IMES S OMMER 2012 O FFENE S ICHERHEIT
schlagene Validierungen können einige Verwir- blickt alle DNSSEC-Schlüssel und -Zonen. Es
rung stiften. Zusätzlich müssen die Zonen re- springt in die Bresche, wo Standardwerkzeuge
gelmäßig neu signiert werden, wobei ein kurzer für DNSSEC nicht weiterhelfen können, wie sie
Übergangszeitraum mit zwei öffentlichen Schlüs- etwa in bind9 enthalten sind: Schlüsselverwal-
seln angeboten werden sollte. Andernfalls könn- tung, Policy Handling oder Hardware Accelera-
te auf noch nicht aktualisierten Resolvern oder tion. Für Letzteres liefert das Projekt auch gleich
in Caching-Nameservern die Situation eintreten, die freie Software SoftHSM [11] mit, die ein
dass alte öffentliche Schlüssel nicht mit den neuen HSM (Hardware Security Module) emuliert. Denn
Signaturen validieren, oder umgekehrt. Diese ho- OpenDNSSEC nutzt eine PKCS#11-Schnittstelle
he Anforderung an die Korrektheit der (Signatur-) zur ausgelagerten Schlüsselverwaltung. Dies ist
Daten als auch die neue Komplexität ist manuell für Entwicklungs- und Testumgebungen, aber
nicht mehr zu bewältigen. auch für spätere Skalierbarkeit oder bei gewachse-
nen Sicherheitsanforderungen eine sinnvolle Her-
Empfehlung: OpenDNSSEC angehensweise.
Neben einigen kommerziellen Lösungen wie Se-
cure64 existieren auch FLOSS-Softwareprojekte
für die Organisation des DNSSEC-Workflows. Ein
beliebtes Tool ist OpenDNSSEC [6], das zum Bei-
spiel Matthijs Mekking von NLnet Labs eben-
falls auf dem Frühjahrsfachgespräch 2012 vor-
gestellt hat. NLnet Labs [7] ist eingefleisch- Die aktuelle, stabile Version ist derzeit 1.3.9.
ten DNS-Admins durch ldns [8] oder dem dar- In der 1.2er Version ersetzten die Entwickler
in enthaltenen drill (dig für DNSSEC) bekannt. den ursprünglich in Python implementierten Si-
OpenDNSSEC wird kontinuierlich weiterentwi- gner durch einen in C geschriebenen. Versi-
ckelt. Derzeit wird es etwa von Surfnet.nl [9], on 1.3 steigerte die Performance beim Signie-
dem niederländischen Forschungs- und Wissen- ren um ein vielfaches. Im vierten Quartal 2012
schaftsnetz, und von der schwedischen .se-ccTLD- wird Version 2.0 mit vielen neuen Features er-
Verwaltungsstiftung [10] produktiv eingesetzt. wartet, etwa Unterstützung von unsignierten Zo-
nen (pass-through) und verschiedene Rollover-
Mechanismen (für Policys und Algorithmen). Die
darauffolgende Version 2.1 soll die dynamischen
Updates erweitern und einen Datenbankadapter
schaffen. OpenDNSSEC und SoftHSM existieren
für verschiedene GNU/Linux-Distributionen und
BSD-Varianten. SoftHSM wurde auch nach Micro-
Das BSD-lizensierte OpenDNSSEC automati- soft Windows portiert. Details zur weiteren Ent-
siert den kompletten Signierprozess und über- wicklung enthält der Release Plan [12].
Literatur
[1] Website von DNSSEC: https://www.dnssec.net/
[2] Website von STEED: http://g10code.com/steed.html
[3] ACM-Beitrag zu OpenPGP: https://dl.acm.org/citation.cfm?id=1251421.1251435
[4] Dan Kaminskys DNS Cache Poisoning: http://www.kb.cert.org/vuls/id/800113
[5] IETF-Arbeitsgruppe DANE: https://datatracker.ietf.org/wg/dane/charter/
[6] Website von OpenDNSSEC: https://www.opendnssec.org/
[7] Website von den NLlabs: https://www.nlnetlabs.nl/
[8] Website von Ldns: https://www.nlnetlabs.nl/projects/ldns/
[9] Niederländisches Forschungs- und Wissenschaftsnetz Surfnet: https://dnssec.surfnet.nl/
[10] Schwedische .se-ccTLD-Verwaltungsstiftung: https://www.iis.se/
[11] Website von SoftHSM: https://www.opendnssec.org/softhsm/
[12] Release Plan OpenDNSSEC: https://www.opendnssec.org/about/release-plan/
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 11U P T IMES S OMMER 2012 O FFENE S ICHERHEIT
Über Sven
Sven Uebelacker ‚arbytet‘ bei einem IT-Sicherheitsunternehmen in Ham-
burg. IRL tanzt er Lindy Hop und verbringt den Sommer gern chillend
grillend auf seiner Tux-Terrasse. Seit 1995 arbeitet er mit Unix-/Linux-
Betriebssystemen und dem Schwerpunkt IT-Sicherheit und Datenschutz.
Zurzeit ist er Mitorganisator des Hamburger Software Freedom Days
(Samstag, 15.09.2012, http://sfd-hamburg.de/).
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 12U P T IMES S OMMER 2012 S TILLE B EOBACHTER
Stille Beobachter Ein Honigtöpflein vom Netze hervor
SSH-Angreifern mit Honeypots nachstellen war fröhlich gesprossen im löchrigen Flor.
Da kam ein Schlawiner und naschte fein –
Wie sich Angreifer verhalten, liest man entweder in die müssen wohl beide füreinander sein.
Büchern, oder man beobachtet sie bei frischer Tat.
Frei nach J. W. von Goethe
Das ermöglichen absichtlich schwache Lock-Systeme
– sogenannte Honeypots.
von Andreas Bunten und Torsten Voss
Sieht man sich als Administrator die Logfiles ei- Low Interaction Honeypots
nes SSH-Servers an, stößt man in der Regel auf
viele Anmeldeversuche, die nicht von den eige- Um erste Informationen über die SSH-Angreifer
nen Benutzern stammen. Es handelt sich in den herauszufinden, setzten wir zunächst Low In-
meisten Fällen nicht um versehentliche Verbin- teraction Honeypots ein. Sie beherbergten einen
dungen, sondern um Angreifer, die gezielt versu- OpenSSH-Server mit leicht modifiziertem Quell-
chen, den Server zu übernehmen. Man nennt die- code: Eine erweiterte Protokollierung notiert das
eingegebene Passwort und verhindert, dass ein
se Angriffe SSH Account Probes oder auch Brute-
Angreifer sich tatsächlich anmelden kann. Der
Force-Angriffe.
modifizierte OpenSSH-Server läuft auf Systemen,
Dahinter steht, dass Angreifer sich zum Opfer-
die ansonsten nicht per SSH erreichbar wären. Zu
System verbinden und eine Reihe von typischen
den Systemen zählt eine Reihe von Cisco-NAS-
Passwörtern durchprobieren. Grundsätzlich ist Systemen (NSLU2) an privaten DSL-Anschlüssen.
dies ein recht simpler Angriff. Bei der Aufklä- Die kleinen NAS-Systeme lassen sich unter Debian
rung einer Vielzahl solcher Angriffe fiel den Au- Linux betreiben und verbrauchen angenehm we-
toren auf, dass immer wieder die gleichen Tools nig Strom.
und Skripte zum Einsatz kamen. Weiterhin mach-
te es den Anschein, dass der Großteil der Angriffe Rang Konto Zugriffe Passwort Versuche
auf nur wenige Gruppen zurückzuführen sei. Die- 1 root 193.134 123456 19.500
2 test 5.634 password 9.475
se Erkenntnis war für die Autoren der Ausgangs-
3 admin 5.074 1234 5.209
punkt, um SSH-Angriffe mit Hilfe von Honeypots 4 bin 3.729 12345 3.981
näher zu untersuchen. 5 oracle 3.260 123 3.805
6 guest 2.329 qwerty 3.460
7 user 2.246 abc123 3.340
8 postgres 1.608 test 3.192
Honeypots
9 mysql 1.558 root 2.539
10 nagios 1.453 1q2w3e 2.342
Lance Spitzner vom Honeynet-Projekt [1] defi-
niert einen Honeypot als eine Ressource, de- Tabelle 1: Top 10 der angegriffenen Konten und ver-
ren Wert darin liegt, von einem Angreifer miss- wendeten Passwörter
braucht zu werden. So allgemein diese Defi-
Wir registrierten im Frühling 2012 insgesamt
nition klingt, so unterschiedlich sind konkrete
602.698 illegitime Anmeldeversuche. Aufgrund
Honeypot-Implementierungen. Um eine Klassifi- der Quell-IP und des zeitlichen Zusammenhangs
kation durchzuführen, kann man unterschiedlich lassen sie sich zu 1909 Angriffen zusammenfassen.
vorgehen (siehe [2] als ausführliche Referenz). Wir Wir fanden so unter anderem heraus, welche Kon-
unterscheiden im Folgenden Honeypots einerseits ten mit welchen Passwörtern angegriffen werden.
nach ihren Möglichkeiten zur Interaktion, ande- Die jeweiligen Top 10 sind Tabelle 1 zu entneh-
rerseits danach, wie leicht Angreifer den Honey- men. Sie überraschen nicht übermäßig. Angriffs-
pot als solchen erkennen. ziel ist vor allem das Konto root - dieses ist schließ-
lich auf jedem Linux- und UNIX-System vorhan-
den. Die Passwörter sind typische ‘Musst Du aber
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 13U P T IMES S OMMER 2012 S TILLE B EOBACHTER
sofort ändern‘-Passwörter oder stellen Muster auf Rang Land Anzahl
1 China 598
der Tastatur dar.
2 Korea 286
Die Anzahl der Anmeldeversuche pro Angriff 3 USA 213
ist sehr unterschiedlich. Wenige Angreifer probie- 4 Russland 79
5 Indien 57
ren sehr viele Konten und Passwörter aus. Der Re- 6 Deutschland 54
kordhalter versuchte 30.689 Anmeldungen. Über 7 Brasilien 50
8 Niederlande 43
70 Prozent der Angriffe versuchten es allerdings 9 Türkei 42
weniger als 100 mal (Abbildung 1). 10 Großbritannien 41
Manche Muster in den Daten zeigen, welche
Tabelle 2: Top 10 der Länder, aus denen die Account-
Passwörter zu meiden sind: Zum Beispiel ent- Probe-Angriffe stammen
spricht bei einem Drittel aller Anmeldeversuche
das versuchte Passwort dem Namen des Kontos.
Ein Konto webmaster mit dem Passwort webmaster Virtuelle Honeypots
wird demnach sehr wahrscheinlich von einem An-
Wir wollten mehr darüber herausfinden, was die
greifer kompromittiert.
Angreifer nach erfolgreicher Anmeldung mit den
Systemen vorhaben. So kamen wir zu virtuellen
Honeypots. Wir verwendeten die Software kip-
po [3], um ein verwundbares Linux-System mit
schwachem Root-Passwort zu simulieren. Es hilft,
erfolgreiches Eindringen vorzutäuschen: In einer
Shell-Session kann sich der Angreifer nun inner-
halb des simulierten Dateisystems umsehen und
Befehle ausführen, etwa um Downloads zu starten
und zusätzliche Werkzeuge auf dem System zu
installieren. Heruntergeladene Programme auszu-
führen ist jedoch nicht möglich, da sonst ein Aus-
bruch aus der simulierten Umgebung droht.
Kippo protokolliert, wann die Angreifer wel-
che Eingaben tätigen, sodass wir den Angreifern
über die Schulter sehen. Ein typisches Vorgehen
besteht darin, zuerst den Download einer großen
Abbildung 1: Histogramm zur Anzahl von Anmelde- Datei anzustoßen, um die Online-Verbindung zu
versuchen pro Angriff bis 100 Anmeldeversuche. testen. In den meisten Fällen diente dafür das Ser-
vice Pack 3 für Microsoft Windows 2000. Einige
wenige Angreifer nutzten auch den Service von
Cachefly.net, um die Anbindung zu testen. Nach
Manche Funde in den Daten sind allerdings diesen ersten Tests interessierten sich die Angrei-
so verwunderlich, dass man sich fragt, ob es sich fer vor allem für Denial-of-Service-Tools und die
um Konfigurationsfehler auf Seiten der Angreifer Software psyBNC. PsyBNC leitet eine Verbindung
handelt. Bei 177 Anmeldeversuchen wurden bei- per Internet Relay Chat (IRC) um und verschleiert
so die Quelle der Verbindung. Vereinzelt wurde
spielsweise Passwörter verwendet, die länger als
auch versucht, einen TeamSpeak-Server aufzuset-
30 Zeichen waren, obwohl die Chance, ein so lan- zen, Webmin zu installieren oder einen Half-Life-
ges Passwort zu erraten, extrem gering ist. Weiter- Gameserver in Betrieb zu nehmen.
hin zielten einzelne Angriffe auf die Konten Ter- Als grundlegende Erkenntnis haben wir festge-
minator, Tolkien oder username, die wahrscheinlich stellt, dass es zwei Arten von Verbindungen zum
Honeypot gibt. Zum einen sind die bereits be-
nicht sehr verbreitet sind.
kannten Account Probes zu sehen. Bei erfolgrei-
Die IP-Adressen der Angreifer lassen sich Län- cher Anmeldung beendet der Angreifer die Ver-
dern zuordnen. Die zehn häufigsten Länder, aus bindung allerdings sofort wieder. Zum anderen
denen die Verbindungen stammen, zeigt Tabelle 2. erfolgt etwas später eine neue Verbindung von
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 14U P T IMES S OMMER 2012 S TILLE B EOBACHTER
einem anderen System. Dabei kommt sofort das leiten. Natürlich führt der Honeypot nicht wirk-
richtige Konto mit dem korrekten Passwort zum lich einen Neustart durch und gibt nur eine Mel-
Einsatz. Nun werden auch interaktiv Befehle ein- dung aus, die den Angreifer vermuten lässt, dass
gegeben, und in der Regel landet weitere Software die Verbindung getrennt wird. Tatsächlich bleibt
auf dem Honeypot. er weiter mit dem Honeypot verbunden, und es
Wir schließen daraus, dass die ersten Angriffe wird jede weitere Eingabe protokolliert.
von bestimmten Systemen aus durchgeführt wer-
den – wahrscheinlich von kompromittierten Syste-
men. Danach werden erfolgreich erratene Anmel- High Interaction Honeypots
dedaten geerntet und möglicherweise von dem ei-
Wir wollten herausfinden, was die Angreifer mit
genen System der Angreifer aus genutzt, um sich
den auf das Opfer-System gebrachten Werkzeu-
interaktiv mit dem neuen Opfer-System zu verbin-
gen konkret vorhaben. Dazu mussten wir einen
den.
Schritt weitergehen und High Interaction Honeypots
Rang Land Anzahl einsetzen. Wir überlassen den Angreifern damit
1 Rumänien 1184 die volle Kontrolle über ein echtes System.
2 USA 336 Das System protokolliert ausführlich, was pas-
3 Italien 311 siert, und ist aus Sicherheitsgründen nur mit ei-
4 EU 167
5 Spanien 149
nem Quarantäne-Netzwerk verbunden. Ein Gate-
6 Deutschland 77 way zum Internet überwacht alle Verbindungen.
7 Libanon 69 So ist es möglich, ausgehende Angriffe zu stop-
8 Großbritanien 60 pen, bevor Dritte geschädigt werden. Zur Sicher-
9 Mazedonien 58
heit wird der High Interaction Honeypot nur be-
10 Frankreich 52
aufsichtigt betrieben. Sobald ein Angreifer Zugriff
Tabelle 3: Top 10 der Länder, aus denen die interaktiven erlangt, löst das Alarm aus, und das Vorgehen
Sitzungen der Angreifer stammen lässt sich live beobachten.
Der Betrieb eines High Interaction Honeypots
Tabelle 3 ordnet die IP-Adressen der interakti- ist mit erheblichem Aufwand verbunden, sodass
ven Sitzungen Ländern zu. Dies scheinen die ei- den Autoren noch nicht viele Sitzungen der An-
genen Systeme der Angreifer zu sein, und das Er- greifer vorliegen. Die Versuche dauern noch an.
gebnis unterscheidet sich überraschend stark von Die Technik ist allerdings sehr vielversprechend,
Tabelle 2. da die Angreifer nun fast die gleichen Möglich-
keiten besitzen, die ihnen ein echtes System bietet.
Die Angreifer nehmen weitere Downloads vor, in-
stallieren Rootkits und fehlende Pakete über das
Paket-System, und sie legen neue Benutzer an.
Weiterhin ist nun der konkrete Einsatz von An-
griffswerkzeugen zu beobachten (Abbildung 3).
Eine beispielhafte Angreifer-Session zeigt ein Vi-
deo unter [6].
Abbildung 2: Ein Angreifer, der mit einem virtuellen
Honeypot verbunden ist, versucht das System zu stop-
pen und hat die Verbindung vermeintlich getrennt.
Leider ist die Simulation des Opfer-Systems
durch Kippo nicht vollständig. Die vom Angreifer
auf das System gebrachte Software ist nicht aus-
führbar, und manche üblichen Befehle funktionie-
ren nicht. Speziell gibt es keinen Editor in Kippo.
Die Angreifer bemerken daher in der Regel bald,
dass etwas nicht stimmt. In Abbildung 2 ist die
Sitzung eines Angreifers zu sehen, der versucht, Abbildung 3: Die Angreifer starten auf dem High Inter-
das System zu stoppen, um einen Neustart einzu- action Honeypot eines ihrer Angriffs-Werkzeuge.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 15U P T IMES S OMMER 2012 S TILLE B EOBACHTER
Exkurs: So vermeide ich, Opfer zu werden
Folgende Punkte helfen, Angreifer von den eigenen Servern fern zu halten:
Starke Passwörter durchsetzen
Verwenden alle Benutzer starke Passwörter, droht keine Gefahr durch SSH Account Probes. Admins
setzen zum Beispiel mittels geeigneter PAM-Module eine Black List offensichtlich schlechter Passwörter,
oder sie erzwingen eine gewisse Komplexität. So ist es möglich, ein Konto nach einer bestimmten Zahl
von Fehlversuchen temporär zu sperren. Die Angreifer können dann allerdings das Root-Konto durch
ständige Anmeldeversuche blockieren.
Erreichbarkeit einschränken
Es kann sehr helfen, das eigene Netzwerk von außen zu untersuchen, um herauszufinden, wie viele
SSH-Server man tatsächlich betreibt. Wer nicht alle SSH-Server aus dem Internet erreichen muss, sollte
zu diesen auch keine Verbindungen zulassen.
Logs zentral auswerten
In Firewall-Logs fällt es auf, wenn jemand mehrfach in kurzer Zeit Verbindungen zu den SSH-Servern
aufbaut. In den Logfiles der SSH-Server sind vielfache Fehlversuche verdächtig. Idealerweise laufen die
Logs zentral zusammen und werden automatisch analysiert. So lassen sich Angreifer und eventuelle
Angriffe von eigenen bereits kompromittierten Systemen erkennen und blockieren.
Key-Fingerprints kontrollieren
SSH-Keys stellen eine gute Alternative zu Passwörtern dar. Wurden diese sicher generiert, lassen sie
sich nicht in der gleichen Weise erraten wie Passwörter. Es sollte aber unbedingt bedacht werden, dass
Anfreifer auch SSH-Keys stehlen können. Die Schlüssel-Dateien sollten daher immer mit einem Passwort
versehen werden. Um eine Anmeldung per SSH-Key zu ermöglichen, werden die Fingerprints der Keys
in authorized_keys-Dateien hinterlegt. Es ist ratsam, die Fingerprints der verwendeten SSH-Keys zu
kennen und gelegentlich zu prüfen. Andernfalls ist es einem Angreifer nach einem erfolgreichen Einbruch
möglich, den Fingerprint seines eigenen SSH-Keys beispielsweise zu denen des Backup-Systems hinzu
zu schmuggeln, um sich von nun an unbemerkt anzumelden [4]. Weiterhin lässt sich mit einer derartigen
Kontrolle sicherstellen, dass Benutzer bereits gestohlene SSH-Keys nicht weiter verwenden.
Ist ein System kompromittiert, empfiehlt es sich, dort nicht einfach die Dateien der Angreifer zu löschen
und zur Tagesordnung zurückzukehren. Es ist praktisch nie klar, welche Manipulation die Angreifer vor-
nahmen und ob sie nicht sogar noch Zugriff haben. Ein kompromittiertes System sollte auf jeden Fall
mittelfristig neu installiert werden [5].
Fazit pots zu kombinieren und beispielsweise nur be-
stimmte Angreifer in den High Interaction Honey-
Die anfängliche Vermutung der Autoren, dass es pot zu locken, die vorher mit den anderen Honey-
nur wenige Gruppen von Angreifern gibt, ha- pots identifiziert wurden.
ben die bisherigen Ergebnisse bestätigt. Vor al- Neben den erlangten Informationen über die
lem der hohe Anteil an rumänischen Systemen Angreifer und ihr Vorgehen hat der Einsatz von
stellt uns allerdings noch vor ein Rätsel. Wir ha- Honeypots weitere Vorteile. Zum einen ist es
ben festgestellt, dass die eigentlichen Account- spannend, den Angreifern über die Schulter zu
Probe-Angriffe praktisch immer von kompromit- schauen und ihnen dadurch individuell zu begeg-
tierten Systemen ausgehen. Dies sollten die betrof- nen. Zum anderen erlangen wir Zugriff auf die
fenen Administratoren bedenken, wenn Kontakt Werkzeuge der Angreifer: Denial-of-Service-Tools,
zur vermeintlichen Quelle eines Angriffs aufge- Rootkits und Scan-Skripte. Durch Tests lassen sich
nommen wird. die von den Werkzeugen hinterlassenen Spuren
Um die letzten offenen Fragen zu klären, geht ermitteln, um besser auf echte Sicherheitsvorfälle
der Einsatz der Honeypots weiter. Unser Ziel ist, reagieren zu können. So kann ein High Interacti-
die Daten der verschiedenen Klassen von Honey- on Honeypot, zu dem der Angreifer gerade Zu-
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 16U P T IMES S OMMER 2012 S TILLE B EOBACHTER
gang hatte, gezielt auf Spuren des Angriffs unter- Sicherheitsvorfall zu trainieren.
sucht werden, um das eigene Vorgehen bei einem
Literatur
[1] Homepage des Honeynet-Projekts: http://honeynet.org/
[2] Niels Provos und Thorsten Holz: Virtual Honeypots, From Botnet Tracking to Intrusion Detection.
Addison-Wesley Longman, 2007
[3] Homepage der Honeypot-Software Kippo: http://code.google.com/p/kippo/
[4] Andreas Bunten: 99 Backdoors on my UNIX Host. Frühjahrsfachgespräch der GUUG, März 2012
[5] Andreas Bunten: Kompromiss nach Kompromittierung? S. 57ff. In: kes – Die Zeitschrift für
Informations-Sicherheit, Ausgabe 4, August 2011
[6] Session eines SSH Angreifers: http://vimeo.com/39218661
Über Andreas und Torsten
Andreas Bunten (Bild) ist seit 1996 im Bereich Unix-Administration und
Security tätig. Er war acht Jahre Mitglied des Emergency Response Teams
des Deutschen Forschungsnetzes im DFN-CERT und hat dabei eine Viel-
zahl kompromittierter Systeme untersucht. Seit drei Jahren berät und un-
terstützt er die Kunden der Controlware GmbH im Bereich IT-Sicherheit.
Torsten Voss (ohne Bild) studierte technische Informatik und arbeitet seit
2006 beim DFN-CERT im Emergency Response Team des Deutschen For-
schungsnetzes. Sein Schwerpunkt ist die Vorfallsbearbeitung und die Auf-
klärung von Kompromittierungen.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 17U P T IMES S OMMER 2012 A LLES , WAS R ECHT IST
Alles, was Recht ist Vielleicht können wir wollen,
Dateirechte im Unternehmenseinsatz sollen aber nicht?
Vielleicht müssen wir können,
Das Prinzip von Dateirechten kennen Unix-Admins dürfen aber nicht?
seit Jahrzehnten. Trotzdem reizen nur wenige ihre Gehe nicht verloren in
Möglichkeiten aus. Ein Plädoyer für eine unterschätzte der Welt der Zugriffsrechte.
Technik.
Frei nach Fred Fredson
von Nils Magnus
Linux-Distributionen sind – zumindest was Be- ten aber bereits die ganz konventionellen Unix-
nutzerrechte angeht – oft für den Desktop-Betrieb Zugriffsrechte einen guten Grundschutz.
eingerichtet. Admins gehen dafür meist von ei- In Umgebungen wie den Webanwendungen ei-
nem oder nur wenigen Anwendern auf einer Ma- nes LAMP-Stack beispielsweise besteht das Sys-
schine aus. Diese Anwender trennen sie einerseits tem oder die VM aus den Standardkomponen-
untereinander und andererseits von den System- ten des Betriebssystems sowie individueller An-
benutzern. Die Bordmittel der Lese-, Schreib- und wendungssoftware, etwa ein CMS, ein Blog oder
Ausführungsrechte erreichen bereits eine recht or- ein fachspezifisches Programm. Was davon über
dentliche Separierung von privaten Daten – im das Paketmanagement aus den Repositories der
Hinblick auf Datenschutz und Privatsphäre eine Distributionen kommt, ist im Hinblick auf Rech-
nützliche Sache. Diese Rechte haben dazu beige- te meist durchdacht. Das Ändern von Pfaden oder
tragen, dass Unix einen so guten Ruf im Hinblick Berechtigungen führt fast immer zu Verschlimm-
auf Sicherheit und Betriebsstabilität genießt. besserungen.
Das betrifft nicht nur die Funktionsweise der Andere Dateien erhalten ihre Rechte von In-
Rechte, die im Kern über Jahrzehnte unverändert stallern, individuellen Werkzeugen zur Software-
blieb. Eine ebenso wichtige Rolle spielt, welche Verteilung oder bestenfalls einem Konfigurations-
Dateien und Verzeichnisse welche Berechtigun- werkzeug wie Puppet und Consorten. Gerade bei
gen, Eigentümer und Gruppen erhalten. Hier hat Individual-Software stellt sich die Frage, wie nicht
sich in den letzten Jahren enorm viel getan. Das nur Zugriffsrechte, sondern auch Eigentümerver-
führt dazu, dass moderne Derivate dem System- hältnisse, Gruppen sowie die Gruppenmitglied-
schaften von Usern zu vergeben sind. Hier ist der
verwalter nur wenig Anlass bieten, Systemverwal-
lokale Administrator gefragt, im Spagat zwischen
tungsaufgaben unter Rootrechten durchzuführen.
Absicherung und Wartbarkeit zu balancieren.
Spezialfall Serverinstallation User-Typen
Auf Server-Installationen liegen die Anforderun- Es lassen sich drei Arten von Benutzern un-
gen jedoch anders. Hier gilt es weniger die terscheiden. Erstens sind dort die System-User,
Anwender untereinander zu trennen, sondern die von Paketen automatisch bei der Installati-
eher, Applikationen vor externen Angreifern zu on angelegt werden. Beispielsweise bringt das
schützen, die sich allein statistisch vorhandener als Online-Hilfe meist eingesetzte Paket Mandb
Software-Schwachstellen bemächtigen. seinen eigenen User man mit. Diesem User ge-
Auf diese Frage hat die Betriebssystemzunft hören dann gecachte Manpages unterhalb von
eine ganze Reihe von Antworten parat: Audit- /var/cache/man. Die System-User haben einen
Rahmenwerke wie SELinux oder App-Armor festen Zweck für einen Systemdienst und erlauben
überwachen Zugriffe, erweiterte Attribute verwal- in der Regel kein interaktives Login. Falls notwen-
ten granular Rechte, Container- und Virtualisie- dig, erhalten autorisierte persönliche Accounts die
rungslösungen sperren ganze Anwendungen in Möglichkeit, etwa mittels sudo oder entsprechen-
besser handhabbare Schachteln ein. Trotz dieser den Gruppenrechten für diese User zu agieren.
Techniken, die alle ihre Berechtigung haben, bie- User, die eine Mitgliedschaft in der Gruppe admin
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 18U P T IMES S OMMER 2012 A LLES , WAS R ECHT IST
besitzen, dürfen Sudo benutzen, um so einzelne nicht verändern. Das verhindert Manipulationen
Kommandos mit Root-Rechten auszuführen. (Abbildung 1). Also kommen pro Anwendung
Zweitens repräsentieren die persönlichen User zwei Funktions-User zum Einsatz: der Laufzeit-
natürliche Personen. In der Regel sind sie die ein- User und der Software-User.
zigen, denen ein interaktives Login gestattet ist.
Auch Wartungsarbeiten sollten Administratoren
unter persönlichen User-Accounts durchführen,
um so per Auditing nachträglich nachzuvollzie-
hen, wer was getan hat. Im Serverbetrieb sind den
Accounts Fachaufgaben zugeordnet, sodass hier
kaum personenbezogene Daten anfallen, die ge-
sonderte Schutzmaßnahmen entsprechend §3 Abs.
1 BDSG (Bundesdatenschutzgesetz) nötig machen.
Für persönliche User ist ein Verzeichnisdienst
mit Abstand die skalierbarste Variante. Mit eini-
gen Abstrichen ist die Verwaltung auch durch ko-
pierte und synchronisierte Benutzerdatenbanken
möglich, etwa /etc/passwd und /etc/shadow.
Einen Mittelweg stellt das Verteilen der Benutzer-
daten durch das Konfigurationsmanagement dar.
Die dritte Form von Benutzeraccounts sind in-
dividuelle Funktions-User: Sie implementieren Zu-
griffsschutz zwischen Anwendungen und Diens-
ten, sind aber nicht Teil eines vordefinierten Abbildung 1: Die Aufteilung wirkt wie eine Schutz-
mauer vor externen Angreifern. Sollte der Server-
Software-Pakets. Vom interaktiven Login unter
Prozess einmal kompromittiert sein, kann er nur we-
diesen Funktions-Usern sehen erfahrene Admi- nige Daten manipulieren (dunkel), denn die Software
nistratoren möglichst ab: Sie erreichen das Glei- und ihre Dokumente (hell) kann er nur lesen.
che durch Werkzeuge wie Sudo oder Gruppen-
mitgliedschaften. Gerade Letztere werden oft zu Als dritte und vierte Anforderung kommen
Gunsten von Eigentümerschaften unterschätzt, nun dazu, dass Betriebsmitarbeiter in zweierlei
wie sich gleich zeigen wird. Denn bei der Viel- Weise auf die Anwendung einwirken: Um bei-
zahl von kleinen Einstellungen gerät leicht aus spielsweise Caches zu löschen oder Indices auf-
dem Blick, welche Anforderungen die Rechte- zubauen, benötigen sie die Rechte, die denen des
Einstellungen eigentlich umsetzen sollen. Laufzeit-Users entsprechen. Gelegentlich ist wei-
terhin ein Update oder ein neues Deployment der
Du darfst, du nicht Software nötig. Dazu reichen dann die Laufzeit-
Rechte nicht mehr aus – der damit betraute Admin
Als erstes benötigt die Software zur Laufzeit meist muss die Dateien der Software selbst verändern.
Schreibrechte, etwa um Benutzereingaben zu spei- Dazu benötigt er die Rechte des Software-Users.
chern oder spätere Ausgaben zu cachen. Die An-
wendung nutzt daher zu ihrer Laufzeit einen spe- Gruppen-Typen
ziellen Laufzeit-User – einmal außen vor gelassen,
dass noch feiner granulierte Szenarien während Um das zu erreichen, könnten sich Systemverwal-
der Laufzeit die UID ändern. ter einfach unter dem gerade benötigten Account
Dieser Laufzeit-User wird bei verwundbarer einloggen, oder sich diese Rechte per Sudo an-
Software zur Beute eines Einbrechers. Alles, was eignen. Doch wenn sich jeder bei Bedarf als ein
für den Laufzeit-User lesbar ist – und das sind fast Funktions-User anmeldet, geht die Nachvollzieh-
alle Daten der angegriffenen Anwendung – kann barkeit verloren.
dann auch der Angreifer einsehen. Noch schlim- Dieses Vorgehen ist bei geschickter Planung gar
mer wäre, wenn er Daten und Code auch verän- nicht nötig. Damit sich bestimmte Objekte wie Da-
dern könnte. Die zweite Anforderung heißt daher, teien und Verzeichnisse von mehreren Subjekten
einen Software-User einzusetzen, der in der Regel manipulieren lassen, ist eine konzeptionelle Ver-
keine Prozesse startet, aber Eigentümer der Soft- schiebung der Rechte vom Eigentümer zur Eigen-
ware ist. Seine Dateien kann der der Laufzeit-User tümergruppe notwendig. Das bedeutet aber, dass
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 19U P T IMES S OMMER 2012 A LLES , WAS R ECHT IST
solche Objekte durchgängig umfassende Grup- Alles, was man braucht
penrechte besitzen müssen, insbesondere Schrei-
brechte. Um diese Gewalt auf mehrere Benutzer Insgesamt vier Admins verwalten die kleine Un-
aufzuteilen, legt der Systemverwalter also je eine ternehmenswebsite, die als Vhost in einem Apa-
Laufzeit-Gruppe und eine Software-Gruppe an. Sie che läuft. Alfred und Anton kümmern sich um den
sind auch die primären Gruppen der zugehörigen täglichen Betrieb und unterstützen die Redakteure
Funktions-User. mit Datenimporten. Daher sind sie Mitglieder der
Laufzeit-Gruppe cmsrun. Ihre Kollegen Bert und
Nun gilt es, in der Benutzerverwaltung alle
Abteilungsleiter Ben halten den Kontakt zu den
Mitarbeiter in die Laufzeit-Gruppe aufzunehmen,
Entwicklern des CMS und die Software aktuell.
die Laufzeit-Aufgaben haben. Und wer verant-
Bert und Ben sind daher Mitglied der Software-
wortlich für Updates und Deployments ist, er-
Gruppe cmssoftware. Manchmal vertreten Bert und
hält durch einen Eintrag in /etc/group eine Mit- Ben auch ihre Kollegen, daher sind sie zusätzlich
gliedschaft in der Software-Gruppe. Aus prakti- Mitglied der Gruppe cmsrun. Alle zusammen ha-
schen Erwägungen sind die Software-User zusätz- ben als primäre Gruppe cmsteam.
lich Mitglieder der Laufzeit-Gruppe. Auf diese Eine ähnliche Struktur, aber andere Zuord-
Weise können sie im Rahmen von Deployments nungen hat das Team, wenn es sich um die
auch Laufzeit-Daten (re-)initialieren. In kleinen webbasierte Zeiterfassung kümmert. Dort kommt
Teams kann eine Person theoretisch auch mehrere die Laufzeit-Gruppe chronorun und die Software-
Rollen einnehmen. Begrüßenswert ist jedoch, die- Gruppe chronosoftware zum Einsatz. Im Gegen-
se Aufgaben voneinander zu trennen. satz zum klassischen Ansatz bestimmt damit nicht
Um trotz unterschiedlicher Gruppen zusam- mehr in erster Linie der Besitzer, sondern die
menzuarbeiten, hat sich meist eine Team-Gruppe Gruppe den Zugriff auf Dateien, insbesondere für
bewährt, die auch gleichzeitig als primäre Grup- das Schreiben.
pe aller persönlichen Accounts in einer Abteilung Diese Entscheidung ist essenziell und birgt ei-
oder Teilorganisation herhält. Persönliche Grup- nige Stolpersteine: Neu angelegte Dateien für das
pen, die gleichlautend mit dem Benutzeraccount CMS müssen immer der Gruppe cmssoftware ge-
sind, benötigt dann niemand mehr. hören, also Schreibrechte besitzen, sonst sind die
Folgendes Beispiel erläutert das Szenario (Ab- Kollegen schnell außen vor und beklagen sich zu
recht. Am besten hat sich dabei der Eintrag umask
bildung 2).
002 in einem Startskript wie der .bashrc erwiesen,
sowie der Einsatz des Tools newgrp: Es öffnet eine
neue Shell, deren primäre Gruppe der Anwender
es durch ein Argument festlegt. Ein Cronjob, der
unterhalb eines Verzeichnisses alle Schreibrech-
te und Gruppenzugehörigkeiten regelmäßig repa-
riert, kann anfangs ebenso nützlich sein. Noch bes-
ser ist jedoch, die Verursacher aufzuspüren und
für Abhilfe zu sorgen.
Verantwortung teilen
Abbildung 2: Der Systemverwalter teilt die Macht auf
Mit der Aufteilung in Software- und Laufzeit-User
zwei User auf. Die Software und die Webdokumen-
te unterhalb von /var/www gehören cmssoftware, bis und -Gruppen verbessern Admins einerseits die
auf das Verzeichnis .../cache: Dieses Verzeichnis Sicherheit ihrer Anwendungen und sind anderer-
schreibt der Serverprozess, der unter cmsrun läuft, zur seits in der Lage, fein zu steuern, wer welche
Laufzeit. Aufgaben im Tages- und Update-Geschäft über-
nimmt. Ein wenig Disziplin bei Einrichtung und
Betrieb ist dazu allerdings notwendig.
U P T IMES – M ITGLIEDERZEITSCHRIFT DER G ERMAN U NIX U SER G ROUP E .V. Seite 20Sie können auch lesen
