Dezember 2023 – ugg.li Schnelle Hilfe für schnelle Admins

Liebe Grüße vom 37c3

Veröffentlicht am Dezember 29, 2023 von weed — 1 Kommentar ↓

Seit Jahren haben auch wir Admins von hier die Ehre (und große Freude), Gäste der risigen chaotisch-kreativen Veranstaltung sein zu dürfen, die von unseren tapferen Mit-Admins, Programmierern, Technikbegeisterten und digitallastigen Mitstreitern mit viel Liebe und Engagement auf die Beine gestellt wird.

Das Motto „Unlocked“ war nicht nur Leitfaden der Veranstaltung, sondern spiegelte sich auch in der Vielfalt der präsentierten Themen wider. Vom AI-Shadownprompting (*grusel*), Q-Kryptografie bis zu vielen Hacks für das alltägliche Leben war alles dabei. Hinter oder vielmehr „unter“ den Kulissen gibt und gab es aber mindestens genauso viel Aufregendes, witziges, überraschendes und großartiges.

Streams (online): https://streaming.media.ccc.de/37c3/
Vorträge für zuhause: https://media.ccc.de/c/37c3

Die Atmosphäre ist einzigartige Mischung aus Ernsthaftigkeit und anarchischem Spaß. Zwischen hochtechnischen Diskussionen über Sicherheitslücken und praktischen Workshops zum Basteln von Elektronik entsteht eine spontane Gemeinschaft, die sich durch ihre Liebe zur Technik und dem Drang, die Welt zu verstehen, vereinte.

Mit einem herzlichen Gruß an alle Mitkämpfenden, sei es vor Ort oder virtuell, schließen wir diesen Mini-Rückblick auf den 37C3. Möge das Chaos weiterhin gedeihen, die Kreativität immer siegen und die Admins niemals ihren Humor verlieren.

Bis zum nächsten Jahr!

Soll ich RAID0 nutzen? Oder lieber ein RAID5? Weise Worte zu HDD/SSD Storage

Veröffentlicht am Dezember 19, 2023 von weed — Keine Kommentare ↓

Die kurze Antwort: Nein.

Ein RAID0 zerstört alle Daten sofort beim Ausfall, ein RAID5 zerstört diese warscheinlich beim rebuild.

Oder wie es der weise User chopper viel zu oft kommentieren muss:

Hello, welcome to ServerFault.com, where junior sysadmins storage dreams come to be dashed across the unforgiving rocks of reality, only to be illuminated by wise old men sat in the lighthouse above scoffing about how they’ve seen all this a thousand times. Don’t use R0, or R5/50 – stick to R1/10 or R6/60 and you’ll be here less 🙂
https://serverfault.com/review/close/571285

Wie ist meine [WAN] IP? Liste von Sites die die eigenen IP-Informationen ausgeben

Veröffentlicht am Dezember 13, 2023 von weed — Keine Kommentare ↓

Notizen für schnelle Admins: Wie lautet meine aktuelle WAN-IP? Es gibt eine unübersichtlich große Menge Sites die die IP-Adress der verbindenden Clients ausgeben, mal mit mehr mal mit weniger Informationen.

Telnet

telnetmyip.com – Auch via telnet telnetmyip.com erreichbar

SSH

sshmyip.com – Auch via ssh sshmyip.com erreichbar

Konsole

IPv6: curl https://icanhazip.com

IPv4: curl https://ipinfo.io/ip

Webseiten (HTTP/HTTPS)

ipschwein.de – Das IP Schwein 🐖 kann HTTP und HTTPS, IPv4 und v6, HTTP-Headers.

ipalyzer.com – Zeigt die eigene IP, kann auch Portscans, GeoIP und ähnliches

moanmyip.com – Stöhnt die anfragende IP, kann keine v6 Adressen weil „too big, babe“

myip.dnsomatic.com – Gibt die anfragende (IPv4 only) Adresse plain aus, ohne extras

ipchicken.com – Das IP-Huhn 🐔 Kann v4 und v6, aber nur als HTML

ifconfig.io – Schnelle einfache IPv4 und v6 Informationen und Header

ipinfo.io/ip – Schnell und schmuckloses IPv4

checkip.amazonaws.com – Schnell und schmuckloses IPv4

wtfismyip.com – Gibt die fucking IPv4 UND fucking IPv6 Adresse

icanhazip.com – Schnell und schmucklos, hostes by Cloudflare

SSL-Weiterleitung (SSL-Redirect) im IIS einrichten (mit URL-Rewrite)

Veröffentlicht am Dezember 6, 2023 von weed — 2 Kommentare ↓

Diese kleine Schritt-für-Schritt Anleitung zeigt, wie man seine Website(n) im IIS so konfigurieren kann, dass eingehende http:// Anfragen zur Website sicherem https:// umgeleitet werden. Das passiert automatisch im Hintergrund mit einer „301“ HTTP-Meldung (permanent redirect), damit Browser und Clients das auch speichern können.

1. Das Microsoft IIS URL-Rewrite Modul herunterladen und installieren

2. Den „Internetinformationsdienste (IIS)-Manager“ öffnen, die Site um die es geht öffnen und das „URL Rewrite“ Modul öffnen

3. Oben rechts „Regel hinzufügen“ klicken …

4. dann eine „Leere Regel“ unter „Eingehende Regeln“ auswählen …

5. Den oberen Teil der Regel („Übereinstimmung mit URL“) folgendermaßen ausfüllen:
– Name: Ein sinnvoller Name fur die Kosmetik (Pro-Tipp: Keine Umlaute oder Emojies)
– „Angeforderte URL“: Entspricht dem Muster
– „Unter Verwendung von“: Reguläre Ausdrücke
– „Muster“: (.*)

6. „Bedingungen“ ausfüllen
– Die (leider zu kleine) Auswahl von „Logische Gruppierung“: Übereinstimmung mit allen Elementen
– Dann den Button „Hinzufügen“ rechts daneben klicken

7. Die „Bedingung“ ausfüllen, danach mit „OK“ schliessen
– Bedingungseingabe: {HTTPS}
– „Überprüfen, ob die Eingabezeichenfolge“: Entspricht dem Muster
– Muster: ^OFF$
– Groß-/Kleinschriebung ignorieren: aktiviert

8. Nachdem die Regel übernommen wurde, weiter unten im IIS nun eine „Aktion“ konfigurieren und die Änderung übernehmen:
– Aktionstyp: Umleiten
– Aktionseigenschaften „URL Umleiten“: https://{HTTP_HOST}/{REQUEST_URI}
– Abfragezeichenfolge anhängen: Deaktivieren
– Umleitungstyp: Dauerhaft
Oben rechts „übernehmen“

Ergebnis (schnelle Lösung)

Das ganze manifestiert sich mit dem Klick auf „Übernhemen“ auch in der entsprechenden web.config Datei der Site. Man kann den <rules> Block natürlich auch manuell bearbeiten und/oder kopieren.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="SSL-Weiterleitung" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="^OFF$" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{REQUEST_URI}" appendQueryString="false" />
                </rule>
            </rules>
        </rewrite>
    </system.webServer>
</configuration>

Windows LAN Manager-Hashes für Benutzerkonten abschalten

Veröffentlicht am Dezember 1, 2023 von weed — Keine Kommentare ↓

Windows speichert Benutzerkontokennwörter („Anmeldeinformationen“) grundsätzlich als Hash. Das ist auch eine gute Idee, denn wenn Angreifer die SAM-Datenbank erbeuten hilft diese nicht beim Einbruch weiter. In der Theorie.

Normalerweise, also „by default“ werden dabei sowohl einen LAN Manager-Hash („LM-Hash“) als auch einen Windows NT-Hashwert („NT-Hash“) abgelegt. Windows speichert beide Hashes dann entwerder in der lokalen Security Accounts Manager Datenbank (SAM)-Datenbank oder im Active Directory.

Der LM-Hash ist bekanntlich eher schwach und SEHR anfällig für Angriffe, die das Plaintext-Kennwort extrahieren. Am besten verhindert man also, dass Windows den LM-Hash überhaupt speichert. Das ist seit ein paar Jahren (~2012) auch praktisch nicht mehr nötig und nur noch zur Abwärtskompatiblität da. Windows 10 hat das Flag beispielsweise schon ab der Installation gesetzt.

Da eine lebendige Domäne aber selten aus den aktuellensten PCs und Betriebssystemen besteht, lautet unsere aktuelle Empfehlung „auf Nummer sicehr“ zu gehen.

Lösung

Man kann Windows die Speicherung der LM-Hashes per GPO verbieten. Achtung, selbige muss auch auf DCs angewendet werden. Die „Default Domain Policy“ ist zum Beispiel ein guter Ort für eine solche Änderung.

Computerkonfiguration > Windows-Einstellungen > Sicherheitsrichtlinien > Lokale Richtlinien > Sicherheitsoptionen > „Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern“

⚠️ Achtung: Bereits bestehende Hashes werden dadurch nicht sofort entfernt. Das passiert erst bei der nächsten Kennwortänderung.