Howtos und Anleitungen
Kurze Anleitungen und How-Tos zu unterschiedlichen Themen. Vielleicht ist für den ein oder anderen was dabei und hilft, ein Problem oder eine Aufgabe zu lösen, über die ich auch schonmal gestolpert bin. Das meiste hier wird mir selber eine gute Gedächtnisstütze sein. *g*
Mac OS X: Verschlüsselte Backups mit Time Machine
Mit Time Machine hat Apple eine interessante und einfache Backup-Lösung in MacOS X Leopard integriert. Für meinen Geschmack ist Time Machine allerdings ein klein wenig zu “einfach” geraten. Es lassen sich beispielsweise leider keine Einstellungen zu den Backup-Intervalle vornehmen und Time Machine kann nur auf ein Backup-Medium sichern. Zudem kann Time Machine leider keine verschlüsselten Backups anlegen, was gerade für mobile Nutzer ein “No-Go” darstellen dürfte. Eine externe Festplatte mit den gesamten Backup-Daten unterwegs zu verlieren ist keine schöne Vorstellung.
Gesicherter CVS-Server in chroot-Umgebung
Jedem Admin wird flau im Magen, wenn es darum geht einen öffentlich zugänglichen CVS-Server aufzusetzen. Allein der Umstand, dass die Datenübertragung zwischen Client und Server ohne Verschlüsselung stattfindet und Passwörter und Dateien aus dem Repository im Klartext durch's Netz wandern, erzeugt wenig Vertrauen. Zudem hatte GNU CVS in der Vergangenheit häufig mit Sicherheitsproblemen zu kämpfen. Abhilfe schafft hier der Einsatz von SSH als Übertragungsprotokoll. Wenn man den CVS-Server dann auch noch in einer chroot-Umgebung betreibt sollte man als Admin wieder ruhig schlafen können.
Wie man einen so gesicherten CVS-Server unter OpenBSD konfiguriert, kann man in diesem Artikel nachlesen.
SSH-Login mit Einmalpasswörtern
Manchmal kommt es vor, das man sich gerne per SSH auf einem System einloggen würde, man aber keinen "vertrauenswürdigen" Rechner zur Verfügung hat, von dem aus man dies tun kann. Gegen eine Man-In-The-Middle-Attacke hilft die Kenntnis des Server-Keys bzw. dessen Fingerprint. Aber gegen einen Keylogger, der alle Tastatureingaben aufzeichnet, kann man sich an diesem Rechner nur schwer schützen.
Whitelists für spamd generieren
Wer einen Greylisting-Filter einsetzt, kennt das Problem: vor allem bei großen Mailprovidern, die große Mailserverfarmen betreiben, kommt es immer wieder zu Problemen bei der Zustellung der elektronischen Post. Ein Grund hierfür ist oft, dass ein und die selbe E-Mail beim erneuten Zustellversuch von einem anderen Server (und damit mit einer anderen IP-Adresse) ausgeliefert und somit das automatische Whitelisting nicht oder nur verspätet funktioniert. Eine manuell gepflegte Whitelist mit solchen "Problemservern" hilft hier - das Ermitteln der Server kann aber bei Anbietern wie GMail oder AOL zum Ratespiel werden. Mit Hilfe von SPF-Einträgen im DNS kann man sich hier viel Arbeit sparen.
$HOME verschlüsseln mit OpenBSD-Bordmitteln
OpenBSD auf dem Notebook ist eine feine Sache. Aber was ist, wenn das Gerät abhanden kommt, man es verliert oder es gestohlen wird? So schmerzlich der Verlust der Hardware auch ist, ein Gedanke drängt sich schnell auf: was passiert mit meinen Daten auf der Platte? Wer hat jetzt Zugriff darauf? Es ist nicht schwer, mit Hilfe von vnconfig(8) oder dem Paket cfs aus den Ports einen sicheren Datensafe zu erhalten -- aber hat man auch wirklich alle wichtigen Dinge da immer drin?
In der folgenden Anleitung zeige ich einen Weg, wie man das Homeverzeichnis eines Nutzers mit Hilfe von OpenBSD-Bordmitteln sicher verschlüsseln kann.