blog.koprolalie.com

Ich habe hier bewusst nicht das komplette Root-Dir verschlüsselt da ich es arg nervig finde zusätzliche Medien zum booten wie z.B. USB-Sticks zu nutzen. Deshalb stelle ich hier auch nur die Passwort-Methode vor. Voraussetzung für das ganze ist eine extra Partition die später als Homeverzeichnis dient.

Verschlüsselt wird in diesem Beitrag das Homedir in dem der Nutzerspace liegt und das Swap.

1.) Laden der Module

modprobe dm_crypt aes sha256 blowfish (loop)
WICHTIG: Diese Module in die /etc/modules eintragen das sie beim Boot automatisch geladen werden.

2.) Installieren der nötigen Software

apt-get install cryptsetup
luks-Erweiterungen sind schon im Paket enthalten.

3.) Umstellen des Swap

### Begin ### vim /etc/crypttab ###
swap /dev/sda2 /dev/urandom swap,cipher=twofish-cbc-essiv:sha256
### End ### vim /etc/crypttab ###
Mit dem Eintrag in der crypttab wird ein verschlüsseltes Swap in den Devicemapper geladen. (/etc/mapper/swap)

### Begin ### vim /etc/fstab ###
/dev/mapper/swap none swap sw 0 0
### End ### vim /etc/fstab ###
Hier muss nur der Eintrag des Swap-Spaces editiert werden. (In meinem Fall von /etc/sda2 nach /etc/mapper/swap)

4.) Umstellen des Homedirs

cryptsetup -c aes-cbc-essiv:sha256 -s 256 luksFormat /dev/sda3

Falls ihr hier irgendwie nicht weiterkommt könnte das daran liegen das ihr "YES" kleinschreibt. ^_^
Hier wird dann das Passwort zum späteren entschlüsseln der Partition abgefragt.
Ggf. mit fdisk die Partition erstellen falls sie noch nicht vorhanden ist.

Als nächstes wird der verschlüsselte Space entschlüsselt um ihn zu formatieren. Dieser ist dann unter /dev/mapper/home zu finden.

Entschlüsseln, hier wird jetzt das Passwort abgefragt.
cryptsetup luksOpen /dev/sda3 home

Formatieren mit ext3.
mkfs.ext3 /dev/mapper/home

Jetzt wird ein Verzeichniss zum Einbinden des verschlüsselten Home’s erstellt.
mkdir /mnt/home

Einbinden des Home’s.
mount /dev/mapper/home /mnt/home

Kopieren des unverschlüsselten und im Root-Dir liegenden Homedir’s.
cp -ax /home/* /mnt/home/

### Begin ### vim /etc/crypttab ###
home /dev/sda3 none luks,retry=3
### End ### vim /etc/crypttab ###
Durch diesen Eintrag wird das entschlüsseln des Homedir’s initialisiert, man wird beim Booten aufgefordert das Passwort einzugeben. (/dev/mapper/home)

### Begin ### vim /etc/fstab ###
/dev/mapper/home /home ext3 defaults 0 2
### End ### vim /etc/fstab ###
In der /etc/fstab wird nur der Device-Pfad für das Homedir editiert / addiert.

Als letztes muss der Inhalt des alten Home’s gelöscht werden. Ist das passiert reicht ein Reboot und euer Home- und Swap-Space ist verschlüsselt. (Ihr werdet natürlich beim booten nach eurem Passwort für das verschlüsselte Dateisystem gefragt.)

5.) Das letzte Wort.

- Kein Support
- Ich übernehme keine Haftung für schäden usw.
- Bei mir hats funktioniert, bätsch

Auszug aus archive.org
Sandra hat seit längerem endlich wieder einen bezahlten Auftrag. Sie soll für den "Interessenverband RFID" (Radio Frequency Identification) einen Werbefilm für die neue Micro-Chip-Technologie herstellen. Der Film soll einen Kongress in der Berlin-Brandenburgischen Akademie der Wissenschaften eröffnen, an dem hochrangige Politiker und viele Journalisten teilnehmen werden.

Nur wenige Wochen nach der Veranstaltung werden im Bundestag und vor der EU-Kommission wichtige Beschlüsse zum Thema RFID vorgelegt werden - die Veranstaltung ist also dazu gedacht, die Politiker von der neuen Technologie zu überzeugen. Nicht zuletzt geht es um einen Milliardenauftrag für die Hersteller und jede Menge Arbeitsplätze, wenn der Chip nicht nur in den Reisepass, sondern auch in den Personalausweis integriert werden wird.

"Auf Nummer sicher?" arbeitet neben der skizzierten Spielfilmhandlung ebenfalls mit Experten-Interviews, echtem Dokumentarmaterial und einer Mischform aus dokumentarischen Aufnahmen, in denen fiktive Figuren auftauchen und findet so eine formal äußerst spannende und zeitgemäße filmische Mischform.

Offizielle Seite:
http://www.aufnummersicher-derfilm.de/

Offizieller Download:
http://www.archive.org/details/AufNummersicher/

In diesem Sinne: "Sammelklage gegen Vorratsdatenspeicherung"

Ausfüllen, ausdrucken, verschicken ist das denn so schwer ?

Fotomaterial zu finden unter gallery.koprolalie.com.

Ansonsten ist nur zu sagen das man nicht alles was in den Medien sieht / liest ernst nehmen sollte. Ich habe in mehreren Berichten zu dieser Demo zusammenschnitte der Ausschreitungen vom G8-Gipfel in Rostock gesehen. Tatsächlich aber gab es auf dieser Demo nur eine kleine Auseinandersetzung die meiner Meinung nach nicht erwähnenswert war.

In den Medien wurden auch die Teilnehmerzahlen wie Lottozahlen durch die Landschaft geschlagen. Im Radio 2000 Leute, im TV 8000 Leute und danach korrigiert auf 15000 Leute. Tatsächlich waren es dann über 15000 Leute.

Auf den Bildern wird nocheinmal verdeutlicht das sogar Familien mit Kindern und ältere Mitbürger mitdemonstrierten.

Auf der Seite http://www.cyberghostvpn.com/ gibt es einen kommerziellen Pendant vom Tor-Netzwerk. Dabei wird hier nur der Client als Binary zum Download angeboten um evtl. Sicherheitslücken wie beim Tor-Netzwerk auszuschliessen. Sie soll garantieren das der Nutzer wirklich anonym ist. Momentan läuft die ganze Sache im "Beta" Status jeder kann sich anmelden um es zu Testen. Hier unterteilt man in 2 Versionen.

1.) "Basic-Verson "For Free"   

- Anonymes Surfen mit bis zu 1000kb/s. Wir können leider keine Garantie der Verfügbarkeit geben
- Zwangstrennung nach 6 Stunden
- Neueinwahl möglich

2.) Premium-Version

- Kaum merklicher Geschwindigkeitsverlust
- Datendurchsatz mit bis zu 2000 kb/s
- Garantierte hohe Verfügbarkeit des Dienstes
- Bei Verbindungsverlust sofortige automatische Neuverbindung
- Zusätzlich:
  Sicherer 2-GB-Internetdatenspeicher für Ihre Daten durch 256-Bit-AES-Verschlüsselung

Ob der Basic-Dienst weiterhin auch im "Stable" der Software kostenfrei bleibt ist - fragwürdig. Ob der Dienst von der Bundesregierung verboten wird - wahrscheinlich. (Siehe Tor-Server-Betreiber Hausdurchsuchung.)

So hab mich mal über Nacht beigemacht und einen Terminalserver mit Debian für die kommende Epidemie-Lan aufgesetzt. Ziel soll es werden mehrere Gameserver-Images via PXE auf mögliche Server "diskless" übers Netzwerk zu booten, dabei sollen alle Architekturen optimiert zu verfügung stehen. (Wird wahrscheinlich Gentoo werden, dazu mehr evtl. in einem späteren Post.)

1.) Installation der benötigten Software.

apt-get install tftpd-hpa dhcp3-server syslinux nfs-kernel-server

2.) Konfiguration des DHCP-Servers.

rm /etc/dhcp3/dhcpd.conf
vim /etc/dhcp3/dhcpd.conf

### Begin ### /etc/dhcpd3/dhcpd.conf ###

allow booting;
allow bootp;

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.1 192.168.0.240;
option broadcast-address 192.168.0.255;
option routers 192.168.0.254;
option domain-name-servers 192.168.0.254;

filename "/pxelinux.0";
}

#Hier können alle Gameserver bzw. Clients eingetragen werden die via Netzwerk booten sollen.
#Die eindeutige Zuweisung von IP-Adressen ist hier sehr wichtig damit der Client die richtigen Rechte für den NFS-Server bekommen.

host pxe_client1 {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.23;
}

host pxe_client2 {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.0.24;
}

### End ### /etc/dhcpd3/dhcpd.conf ###

/etc/init.d/dhcp3-server restart

3.) Konfiguration des TFTP-Servers.

mkdir /home/tftproot
vim /etc/default/tftpd-hpa

### Begin ### /etc/default/tftpd-hpa ###

RUN_DAEMON="yes"
OPTIONS="-l -s /home/tftproot"

### End ### /etc/default/tftpd-hpa ###

/etc/init.d/tftpd-hpa restart

mkdir -p /home/tftproot/pxelinux.cfg
cp /usr/lib/syslinux/pxelinux.0 /home/tftproot/
vi /home/tftproot/pxelinux.cfg/default

### Begin ### /home/tftproot/pxelinux.cfg/default ###

LABEL client1
KERNEL vmlinuz-1
APPEND root=/dev/nfs initrd=initrd.img-1.nfs nfsroot=192.168.0.23:/home/nfsroot/client1 ip=dhcp rw

# (Weiteres Bsp.)
LABEL client2
KERNEL vmlinuz-2
APPEND root=/dev/nfs initrd=initrd.img-2.nfs nfsroot=192.168.0.23:/home/nfsroot/client2 ip=dhcp rw

### End ### /home/tftproot/pxelinux.cfg/default ###

4.) Konfiguration des NFS-Servers

mkdir -p /home/nfsroot/client1
vi /etc/exports

### Begin ### /etc/exports ###

#Hier die IPs der Clients eintragen
/home/nfsroot/client1 xxx.xxx.xxx.xxx(rw,no_root_squash,async,subtree_check)

### End ### /etc/exports ###

exportfs -rv

So cut … der Post wird später weiterbearbeitet. Muss jetzt schlafen.

http://www.heise.de/newsticker/meldung/96070 <- Hausdurchsuchung aufgrund besitzes eines "Tor-Servers", der Hammer aber ist, die haben nichtmal den Server mitgenommen! (Wobei das auch sinnfrei gewesen wäre.)

http://itnomad.wordpress.com/2007/09/16/tor-madness-reloaded/ <- Blog-Eintrag vom EX-Serverbesitzer.

Am schimmsten finde ich aber:

"Vor Kurzem konnte der Schwede Dan Egerstad mit einem manipulierten Tor-Exit-Node hunderte Passwörter von Behörden und Botschaften abphishen."

Hier der Link dazu: http://www.heise.de/security/news/meldung/95770

quelle: heise.de

Für den Fall man hat extrem viele Konfigurations-Leichen im Debian:

"dpkg -l|grep ^rc|awk ‘{print $2}’|xargs dpkg -P"

Damit wird dann alles schön säuberlich ‘weggepurgt’;
Ich hätte es nicht für möglich gehalten!

quelle: debianhowto.de

1.)
Um die Falschinterpretation von Backspace bei einer SSH-Session zu umgehen einfach folgendes einmalig in die Console des OSX Clients einhacken:

"defaults write com.apple.Terminal TermCapString xterm"

2.)
Um das bekannte Screen - "Wuff, Wuff" Problem zu umgehen einfach folgendes auf den Remotehost in die.bash_profile nach dem aufruf der .bashrc eintragen "export TERM=xterm".

3.) Update:
Krass!, ist mir gerade aufgefallen, damit sind auch die MC-Layout Probleme bei einer SSH-Session gelöst. Cool!

quellen:
atomized.org
blogaholic.de

Hierbei ist zu beachten das wir diesmal keine User unter 18 Jahren in die Halle lassen.
Natürlich werden wir jetzt auch ab 18 Turniere durchführen was der eigentliche Sinn und Zweck dieser Maßnahme ist. Also Ü18!

Hier noch ein paar Eckdaten:

Einlass: 30.11.2007 - 17:00 Uhr
Ende der Veranstaltung: 02.12.2007 - 14 Uhr
Veranstaltungsort: Neulewin / Mehrzweckhalle
Maximale Anzahl der Gäste: 160
Liga-Support: Wird später bekannt gegeben…

VK: 15€
AK: 20€

Das Catering wird wieder Vorort sein und euch Essen & Trinken zu günstigen Konditionen bieten. (Insider wissen das im Eintrittspreis jeden Samstag früh und Sonntag früh kostenfreie und frische Brötchen + Zubehör (Zeug zum draufschmieren) abzugreifen sind, aber hier gilt die Devise "Wer zuerst kommt, mahlt zuerst" also nicht wundern wenn sich andere User damit den Magen aufpumpen und für euch keins mehr übrig bleibt.)

Die Turniere werden wir im Laufe der nächsten Woche bekannt geben. Kollegiales & Organisatorisches gequatschte wird dann dazu führen das ihr die Spiele spielen müsst die wir uns im suff ausgedacht haben. *scherz* (Da würde am Ende sowieso nur "Russisch Roulett" als Final rauskommen, so wie ich das Team kenne :). Ihr könnt davon ausgehen das das Turnierlisting anderen ab 18 Lans ähnelt.

grüße,
DAS EPI-TEAM

http://www.epidemie-lan.de