WE ARE ROOT

Hier nur ein paar aktuelle Nachrichten zu – teils krassen – Sicherheitsproblemen kurz notiert:

• Höhere Zugriffsrechte durch Schwachstelle in Linux-Kernel
• F-Secures Antivirus für Server prüft einige Dateien nicht
• Webmin ermöglicht Ausführung beliebiger Befehle
• Schwachstellen in IBM WebSphere erlauben DoS-Attacke

Die Bugs sind bereits alle gefixt, die Updates sollten schnellstens eingespielt werden.

Offen ist noch dieser, zumindestens gibt es noch kein neues Debian-Paket:

• Schwachstelle in OpenSSL

Aber nicht nur wir müssen unsere Hausaufgaben machen:

• Adobes Webserver sperrangelweit offen

Für mich ist es zwar schon zu spät, aber es könnte ja durchaus noch Menschen geben, die das Update auf 2.3 noch vor sich haben.

Auf bueltge.de wird ein Plugin vorgestellt, welches die arbeitsreiche Testphase vor dem Upgrade vereinfachen und verkürzen soll.

Da ich es nicht mehr brauche, habe ich es allerdings nicht testen können.

Nach einer intensiveren Erprobungsphase habe ich soeben die Umstellung von WordPress 2.2.3 auf 2.3 abgeschlossen.

Der aufmerksame Besucher wird gemerkt haben, dass sich das Seitendesign ebenfalls geändert hat. Dies ist u.a. der neuen Tagfunktion zu verdanken, die mit ihrer dynamischen Tag-Wolke nun die statische Kategorieliste im Menü ersetzt.

Bei der Umstellung war teilweise etwas Zähneknirschen angesagt, denn ein paar Plugins (z.B. Google-Sitemap-Generator ) benötigten ein Update.

Weiterhin wurde z.B. bei neuen Kommentaren kein Comment-Type mehr eingetragen (Feld blieb leer in DB) , was meine selbst erstellte Trennung von Trackbacks und Kommentaren durcheinander brachte. (Ich werde dies demnächst mal als Plugin auslagern.)

Diese Tests und Fixes dauerten insgesamt länger als gedacht (und gewünscht), aber nun
habe ich gleich ein paar neue Plugins aktiviert, z.B. die Möglichkeit, einen Kommentar-Thread zu abonieren, um Updates via Mail zu erhalten (mit subscribe to comments) sowie die Anzeige der letzten Kommentare in der Sidebar (mit get-recent-comments).

UPDATE: Ich habe gerade noch das SEHR vermisste Plugin gefunden, dass die Arbeit mit Tags enorm erleichtert: Click Tags! (Natürlich habe ich das erst gefunden nachdem ich alle Beiträge nachgetaggt habe.)

Ich hoffe, dass nun alles wie gewünscht funktioniert. Sollte eine Funktion nicht wie gewohnt oder gedachte arbeiten würde ich mich über einen Hinweis sehr freuen.

Die neue Version 2.3 von WordPress ist nun draußen und es hat sich wieder einiges getan.

WordPress-Deutschland hat sich die Neuerungen im Detail angesehen und auch gleich erklärt.

WordPress Deutschland Blog » Zehn Dinge die du über WordPress 2.3 wissen solltest

Ich persönlich freue mich am meisten über das intergrierte Tagging, da dies nun ohne Plugins unterstützt wird.

Allerdings wurden wohl so viele Änderungen vorgenommen, dass nicht klar ist, ob ein Update reibungslos funktioniert. Daher ist ein vorheriges Backup und ein Test, vor allem in Bezug auf die Funktionsfähigkeit der Plugins, wohl sehr zu empfehlen.

Entwicklerstatement zur neuen Version (englisch)

Ich warte allerdings noch, bis die fleißigen Bienchen von WordPress-Deutschland die komplett übersetzte Version veröffentlichen – erfahrungsgemäß dauert das nur wenige Tage.

NACHTRAG (26.09.07): Die deutsche Version ist schon online…. Respekt!

WARNUNG: Zur Zeit verbreitet sich folgender Wurm rasend schnell im Netz!

(o)(o)…..
.(__)….
..(_)…..Güden tog
..(_)..
..(_)….
..(_)…..isch bin en hägga aus Leipzsch
.(_)….
(_)….un diss iss en selbstprögrammirder
.(_)…..
…(_)…bösartscher Combjuderwurm
….(_)….
….(_)….
…(_)…
…(_)..Da isch noch ni sö viel weeß vom
.(_)…..Combjuder
..(_)…iss des en manueller Wurm
..(_)….
.(_)…..
..(_)…
….(_)….Also löschen se bidde
…(_)….
..(_)…alle Dadeien von de Festpladde
..(_)..
(_)…..
(_)…
(_)….und schickese den Wurm
.(_)…..
..(_)…an alle die se kennen.
…(_)…
…(_)….
..(_)…
(_). Vielen Dank für Ihre Mitorbeid.

Sagt später nicht, ich hätte euch nicht gewarnt!

Quelle: via ICQ von Chris

Microsofts Fehlercodes sind zwar eine schöne Idee, das Problem ist aber, dass uns niemand die Liste mit den Erklärungen derselben übergeben hat.

Das hat Microsoft wohl selbst gemerkt und daher ein Suchformular für Fehlermeldungen bereitgestellt:

Events And Errors Message Center: Advanced Search

Ich habe es noch nicht getestet (vielleicht ist es ja auch nur ein Fake ), aber hoffentlich hilft es mal im Ernstfall.

gefunden via: iTRIXX-Newsletter

Nachtrag: Zumindestens wenn man dem Formular glauben darf, hat Vista weder Fehler noch Fehlercodes, denn es taucht noch (?) nicht darin auf.

Da denkt man erst immer böse über ein Unternehmen und reift dann mit zunehmendem Alter zur Entscheidung, dass dies alles etwas Übertrieben ist und sich das Unternehmen sicherlich professionell verhält und dann passiert das:

Microsoft spielt heimlich Updates ein

Ich bin diesbezüglich voll und ganz der Meinung von Heise, denn wenn ich die Option “Nur benachrichtigen” einschalte, dann will ich auch, dass Windows/Microsoft das respektiert.

Diese Art Workarounds und “Abkürzungen”, der sich die Redmonder dort wieder mal betätigt haben sind wirklich kontraproduktiv: Ich weiß nun, dass MS jederzeit auf meinem System Software installieren kann.

Schafft das Vertrauen? Nein!

Bestärkt mich das darin, weiterhin den Update-Client regelmäßig nach Updates suchen zu lassen? Eher nicht.

Ich stelle mir auch gerade die Frage, was die Herren von MS bisher schon installiert haben und noch planen auf meinem System einzurichten…

Alles in allem bleibt ein ungutes Gefühl bei Windows und ein Strich mehr auf der laaaaaaangen Pro/Contra-Liste mit der Überschrift “Warum sollte ich Linux nutzen?”.

Hmmm… als ich diese Überschrift las, dachte ich zunächst: Oh-oh !

Aber nach genauerem Studium des Artikels konnte ich mich dann doch wieder entspannen, denn es handelt sich

1. bisher noch um eine Forschungsgruppe und
2. ist deren Ziel den DBA (Datenbankadministrator) zu ersetzen.

Am besten wäre es doch aber, als Admin beschäftigt zu werden und sich so ein System einzurichten – aber so, dass der Arbeitgeber das nicht weiß. Dann könnte man den ganzen Tag DINGE™ tun und braucht sich um die Systeme nicht zu kümmern (bzw. hätte mal endlich Zeit xy richtig zu konfigurieren).

Zum Artikel: Admins bald überflüssig? @ TecChannel.de

Matthias von adminlife.net hat seit neuestem Greylisting wieder ausgeschaltet, da er die Erfahrung gemacht hat, dass die Spammer sich bereits angepasst haben.

Bye Bye Greylisting! @ adminlife.net

Dies könnte bei mir ja theoretisch auch der Fall sein. Zudem sollte seit der Einrichtung von policyd-weight, die Anforderungen an das eingerichtete sqlgrey nicht mehr so hoch sein. Daher werde ich mal eine intensive Logfile-Analyse bereiben und sehen, wieviel Spam wirklich noch durch sqlgrey abgefangen wird und was durch die Tests von policyd-weight abgefangen wird.

Das Abschaffen von sqlgrey hätte natürlich den Vorteil der unverzögerten Mailzustellung, die man aber – ehrlich gesagt – vielleicht einmal im Monat wirklich braucht.

Meine Erkenntnisse werde ich dann hier posten.

Wie sieht es bei euch aus? Habt ihr sqlgrey/postgrey in Aktion? Hat sich die “Abfangrate” verschlechtert? Welche Kombination von Spamtools setzt ihr ein?

Matthias halt mal wieder was Lustiges gefunden… ein Song über uns, die Sysadmins:

Der Sysadmin Song | adminlife.net

Sehr lustig und trotzdem (?) wahr…

Das wollte ich mir nur mal wieder für später merken…

Ein Howto zum Schreiben von WordPress-Plugins, sowohl für “in the loop” als auch außerhalb des Loops.

Tutorial, wir schreiben ein simples WordPress-Plugin

Viel Spaß…

PS: Ich arbeite derzeit an mehreren Plugins… also: Stay tuned!

Eric Range hat in seinem Blog eine ziemlich einfache Lösung vorgestellt, mit der man mit einer WordPressinstanz mehrere Domains bewirten kann, die aber unter jeder Domain als eigenständiger Blog (User, Theme, aktivierte Plugins, Settings usw.) agiert.

Multi-(Sub)Domain-WordPress @ Open Sourced Brain.

Eigentlich will ich mir hier das nur merken, weil ich das bei Gelegenheit mal testen will… Falls es doch noch jemand anderen interessiert: Umso besser!

In einem früheren Artikel versprach ich, eine Postfix-Konfiguration zu posten, die nach (meinen) neuen Erkentnissen eingerichet ist.

So sah meine Konfiguration nach der Einrichtung von sqlgrey aus:

[...]
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
reject_invalid_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unauth_destination
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client dnsbl.ahbl.org
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dul.dnsbl.sorbs.net
reject_rbl_client bl.spamcop.net
check_policy_service inet:127.0.0.1:60000
reject_unknown_client
warn_if_reject reject_unknown_hostname
permit
[...]

Mehrere Hinweise aus der Postfix-Mailgruppe brachten mich jedoch auf folgende Konfiguration, die weiter unten noch genauer erläutere:

#
# restrictions
#
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_delay_reject = yes

#
# Recipient Restrictions
#

smtpd_recipient_restrictions =
    reject_unlisted_sender
    reject_unlisted_recipient
    reject_unknown_sender_domain
    reject_unknown_recipient_domain
    permit_sasl_authenticated
    permit_mynetworks
    reject_invalid_hostname
    reject_non_fqdn_sender
    reject_non_fqdn_recipient
    reject_unauth_destination
    #policyd-weight
    check_policy_service inet:127.0.0.1:60001
    #sqlgrey
    check_policy_service inet:127.0.0.1:60000
    reject_unknown_client
    reject_unknown_hostname
    permit

Es handelt sich hier natürlich nur um einen Ausschnitt aus der main.cf, diese Parameter sind sehr wichtig, wenn es darum geht, welche Mails von Postfix zur Zustellung angenommen werden.

weiterlesen…

Es ist immer wieder das gleiche: Sobald man denkt, dass man das System perfekt eingerichtet hat, bekommt/ findet man gleich mehrere Hinweise, die einen daran zweifeln lässt.

Ausgangslage

Bei vielen, die sich halbwegs um einen spamgeschützten Postfix-Mailserver kümmern, wird die Konfiguration ungefähr so aussehen:

[...]
smtpd_recipient_restrictions =
permit_sasl_authenticated
permit_mynetworks
reject_invalid_hostname
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unauth_destination
reject_unknown_sender_domain
reject_unknown_recipient_domain
reject_rbl_client dnsbl.ahbl.org
reject_rbl_client cbl.abuseat.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dul.dnsbl.sorbs.net
reject_rbl_client bl.spamcop.net
check_policy_service inet:127.0.0.1:60000
reject_unknown_client
warn_if_reject reject_unknown_hostname
permit
[...]

Anmerkung: Diese Konfiguration hatte ich bereits hier gepostet, wurde von mir nun aber mehrfach verfeinert (siehe weiter unten).

Wie man sehen kann, sind mehrere RBL-Checks (Realtime-Blackhole-List) in der Konfiguration, welche bei jedem SMTP-Connect von anderen Mailservern überprüft werden und bei einem positiven Treffer sofort zum REJECT führen. Dies hat zwar funktioniert, birgt aber die Gefahr, dass man einen legitimen Mailserver ablehnt, weil er durch einen Fehler in einer der RBL landete.

Besser wäre es also doch, wenn man nachschauen könnte, ob der Mailserver in mehr als einer dieser RBLs steht. Mit Boardmitteln von Postfix ist dies vorerst nicht möglich.

Einführung in policyd-weight

Hier kommt policyd-weight als policy-Server ins Spiel und bietet folgende Zusatzfunktionen in der Standardkonfiguration an (Auszug von der Website):

• Score-basierte Auswertung von RBL/RHSBL
• Score-basierte Auswertung der Beziehung und Korrektheit von DNS-Einträgen, HELO und MAIL-FROM
• Caching von a) DNS-Request und b) Score-Ergebnissen (= Beschleunigung und weniger Traffic)
• eigene, schnelle DNS-Lookup.Routine
• frei konfigurierbare Scores und RBLs (sinnvolle Standardwerte bereits enthalten)
• keine Datenbank-Abhängigkeit
• Einrichtung auch nur für eine Teilmenge von Mails/Mailservern nutzbar (via postfix restriction classes)

Policyd-weight arbeitet als Policy-Server mit Postfix zusammen und entgegen z.B. AMAViS noch auf der Ebene des SMTP-Connects und ist daher in der Lage, Postfix einen REJECT der Verbindung zu empfehlen und die Mail erst gar nicht anzunehmen zu lassen. (Dies ist auch im Hinblick auf die Rechtslage ein wichtiger Unterschied.)

Diese Vorteile sprechen ja deutlich für den Einsatz von policyd-weight und daher nahm ich mir auch gleich die Installation vor, welche im Folgenden beschreiben werde.

weiterlesen…

Als halbwegs begabter Admin ist man oft der Ansprechpartner für alltägliche IT-Probleme anderer. Fragen aller Art bekommt man persönlich, via Telefon, per Mail oder liest sie in einem Forum und oft genug beschleicht einen das Gefühl, dass sich der Fragende nicht die kleinste Mühe gemacht hat, das Problem selbst zu lösen.

Genau für diese Menschen gibt es nun eine Seite, die die Antwort auf alle fast alle Fragen hat:

www.gidf.de

(Linktip von Klemens)

Meine (fast) tägliche Pflichtseite bash.org brachte mich mal wieder zum Schmunzeln heute:

<svarog>You know, the only good thing about Vista
<svarog>Is that even the viruses have compatibility issues.

Selbst nach meinen wenigen Erfahrungen mit Vista kann ich das nur verstehen…

Mit dem wachsenden Aufkommen von Spam und den dazu eingeleiteten Gegenmaßnahmen müssen auch rechtliche Aspekte in den Fokus eines Admins bzw. eines beauftragenden Geschäftsführers kommen.

Der hier verlinkte Artikel der c’t ist bereits älteren Datums, aber jedoch nichtsdestotrotz aktuell.

Hier geht’s zum c’t-Artikel (26/2003, S. 186)

Die einzige Möglichkeit des Spamhandlings ohne eine dieser Betriebsvereinbarungen und/oder Servicevereinbarungen zur Einwilligung der Spamfilterung ist imho die Ablehnung einer Mail (keine Annahmen = keine Zustellpflicht) oder – nach der Annahme – die unbedingte Zustellung der Mail, ggf. unter Hinzufügung von Spamtags.

Meine Frage an Euch, geschätzte Leser, ist, ob Ihr Vorlagen für solcher Art Vereinbarungen habt und wenn ja, ob ihr mir bzw. den anderen Lesern eventuell diese zur Verfügung könntet?!

Ich habe mir, nachdem ich der Postfix-Mailgruppe mehrere Hinweise las, die diversen Tools zur Logfile-Analyse angesehen und mich danach entschieden, ein paar auf regelmäßiger Basis einzusetzen.

Folgende Tools sind nun bei mir im Einsatz:

• pflogsumm: Postfix-Logs analysieren und zusammengefasst ausgeben (englische Version / deutsche Version)
  Es läuft nächtlich als cron, analysiert den vorherigen Tag und wird mir via Mail zugesendet.
• mailgraph: Postfix-Logs graphisch darstellen (z.B. ACCEPTs, REJECTs, BOUNCEs usw.) (Beispielausgabe)
• queuegraph: Postfix-Queue-Belastung wird graphisch aufbereitet
• couriergraph: Courier-Logs graphisch darstellen (z.B. LOGINs)
  Die *graph-Tools sind jeweils eine Kombination aus Perl-Script (laufen als cron (queuegraph) oder daemon (mailgraph/couriergraph)) und Web-CGI für die Ausgabe im Web.

Sämtliche Tools sind zwar als Debian-Pakete erhältlich, aber die deutsche Pflogsumm-Version kann man derzeit nur über den o.g. Download installiert werden.

Fragen? Probleme? Immer her damit, denn dafür sind die Comments da…

Laut der Entwicklernachricht handelt es sich wohl “nur” um einen Bugfix-Release, das Upgrade ist aber dringend empfohlen. Neue Funktionen sind allerdings nicht zu erwarten.

Ein Changelog ist leider noch nicht bereitgestellt worden, aber Interessierte können sich die Veränderungen im trac-System von WordPress ansehen.

Auch das Team von WordPress-Deutschland hat seine Hausaufgaben gemacht und sowohl die gesamte, vollständig deutsche Version als auch ein Archiv, das nur die geänderten Dateien zur Vorversion enthält, bereitgestellt.

Ich war gerade am Aufräumen und habe drei Packungen mit “Zone Alarm Antivirus 2006″ gefunden. Es handelt sich also um eine Kombination aus Firewall und Antivirus-Software.

Eine Testinstallation auf einem Rechner (Win XP Pro) ergab, dass die Software läuft und auch Virenupdates ziehen kann (trotz “2006″ im Titel). Laut Packungsangabe sollen die Updates für 1 Jahr inklusive sein.

Da ich die Software nicht mehr gebrauchen kann, dachte ich mir, dass ich hier vielleicht jemanden etwas Gutes tun kann und verschenke die zwei verbleibenden Packungen/Lizenzen.

Wer also Interesse hat schreibt bitte einfach einen Kommentar zu diesem Beitrag und gibt bitte im Formular eine gültige E-Mail-Adresse an (nicht im Text!). Mit den “Glücklichen” setze ich mich dann via Mail in Verbindung.