Reaktion auf die Kritik der Münchner Stadträte zum LiMux Projekt – administrator.de

Die Stadträte Sabine Pfeiler und Otto Seidl haben einen Antrag Notebooks und Tablets für den alltäglichen Gebrauch tauglich machen! zum Umgehen des IT-Sicherheitskonzept der Stadt an den Münchner Oberbürgermeister Dieter Reiter gesendet.

Hier mein Gegenantrag:

„…Der Stadtrat möge beschließen diese Stadträte so schnell wie möglich zu identifizieren und ihnen die Nutzung von privaten Hard- und Software dringend zu untersagen. Weiter sollten sie sich einer intensiven Schulung zum Themen Sicherheit in Behörden unterziehen. Als aktuelles Beispiel soll der „Bundestag Hack“ dienen. Wird im Zuge der Schulung erkannt, das kein Umdenken zu erkennen ist, sollte ggf. ein Rücktritt in Betracht gezogen werden…“

Quelle: administrator.de

Gitlab Zeitzone ändern

Irgendwie beim initialen Einrichten der Gitlab-Instanz vergessen die Zeitzone korrekt einzustellen.

Das geht auch nachträglich relativ einfach:

in der Datei /etc/gitlab/gitlab.rb folgende Zeile suchen und durch die gewünschte Zeitzone ersetzen:

gitlab_rails['time_zone'] = 'UTC'

Ich habe dort einfach Europe/Berlin eingetragen. Alle möglichen Zeitzonen findet man auf Wikipedia.

Danach einfach Gitlab via

sudo gitlab-ctl reconfigure

rekonfigurieren und abschließend via

sudo gitlab-ctl restart

neustarten.

DNS-Resolver wieder online

Da vor ein paar Tagen via DIY-ISP-Mailingliste iptables-Reglen für Rate-Limiting für einen offenen DNS-Resolver in meiner Mailbox gelandet sind, habe ich meinen DNS-Resolver mal wieder reaktiviert:

dnscache.netzspielplatz.de ( 144.76.72.180 / 2a01:4f8:191:90b3:9009::17 )

Mal schauen wie sich das Rate-Limiting so verhält und ob dann weiterhin massiv Abuse-Meldungen wegen irgendwelcher (Reflektor-) Attacken über meinen DNS-Resolver reinkommen.

[NSA325v2] fw_printenv: Warning: Bad CRC, using default environment

Gerade wollte ich mir auf einer meiner NSA325v2 aus dem laufenden Debian die uBoot-Umgebungsvariablen mittels fw_printenv ausgeben lassen und bekam nur folgende Rückmeldung:
Warning: Bad CRC, using default environment
bootcmd=bootp; setenv bootargs root=/dev/nfs nfsroot=${serverip}:${rootpath} ip=${ipaddr}:${serverip}:${gatewayip}:${netmask}:${hostname}::off; bootm
bootdelay=5
baudrate=115200

Dieses Problem lässt sich recht einfach lösen, in der fw_printenv Konfigurationsdatei ( /etc/fw_env.config ) passt die angegebene Partition nicht zur NSA325v2 Partitionsaufteilung.

Ersetzt man den vorhandenen Eintrag durch
/dev/mtd1 0x0000 0x20000 0x20000
gibt fw_printenv auch wieder brav die uBoot-Umgebungsvariablen aus.

Die freundlichen Damen und Herren vom CERT-Bund / BSI…

…haben via abuse@ Adresse freundlich darauf hingewiesen, dass ich einen offenen DNS-Resolver betreibe.  Wow! Das BSI scannt also, natürlich als Dienst an der Menschheit, „deutsche“ IP-Adressen auf Port 53. Oder haben sie mal wieder $irgendwoher eine Liste bekommen – wie damals die mit den Mailpasswörtern?

Jedenfalls ging diese Mail an meinen Hoster, der hat sie logischerweise an mich weiter geleitet.

Im lokalen Hackspace-Chat kamen ein paar nette Gedanken zur Mail: „Lese ich die Mail richtig, wenn die für mich so klingt, als wäre jeder DNS-Betreiber denen gegenüber rechenschaftspflichtig? Ist DNS damit staatlich beaufsichtigte Infrastruktur?“

„würde mich mal interessieren, ob es dafür ein Gesetz gibt oder ob das ein „freundlicher Hinweis“ ist in der Hoffnung, daß die Leute vor dem Absender ehrfürchtig auf die Knie gehen“

„falls ersteres: auch so eine WM-Errungenschaft?“

Sehr geehrte Damen und Herren,

CERT-Bund hat eine Liste in Deutschland gehosteter offener DNS-Resolver
erhalten. Diese können zur Durchführung von DDoS-Angriffen mittels
DNS-Amplification-Attacks missbraucht werden.

Nachfolgend senden wir Ihnen eine Liste betroffener DNS-Resolver in
Ihrem Netzbereich.

Format: ASN | IP | Timestamp (UTC) | Min. Amplification | DNS version

Wir möchten Sie bitten, den Sachverhalt zu prüfen und entsprechende
Maßnahmen zur Absicherung der DNS-Resolver zu treffen.

Bitte bestätigen Sie den Eingang dieser Benachrichtigung und informieren
Sie uns über die von Ihnen getroffenen Maßnahmen.

Liste der offenen Resolver in Ihrem Netzbereich:
24940 |   144.76.72.180 | 2014-07-01 04:05:15 | 1.3810 |

Mit freundlichen Grüßen
Team CERT-Bund

Ich habe beschlossen meinem Hoster einfach freundlich zu Antworten, dass das so gewollt ist und den Munin-Graph zum DNS der letzten 7 Tage mitzuschicken – im Peak 120 Anfragen/Sekunde – finde ich jetzt nicht Abuse-würdig.