Debian: Es gibt keine öffentlichen Schlüssel für die folgenden Schlüssel-IDs …

Veröffentlicht am von 2 Kommentare ↓

Problem

apt-get update schlägt „seit neuestem“ mit seltsamen Schlüsselpaar-Fehlermeldungen fehl:

root@geloud:~# apt-get update
OK   http://security.debian.org wheezy/updates Release.gpg
OK   http://security.debian.org/ wheezy/updates/main Translation-en
OK   http://security.debian.org wheezy/updates Release
OK   http://security.debian.org wheezy/updates/main Sources
OK   http://ftp.at.debian.org wheezy Release.gpg
OK   http://ftp.at.debian.org/debian/ wheezy/main Translation-de
OK   http://ftp.at.debian.org/debian/ wheezy/main Translation-en
OK   http://ftp.at.debian.org wheezy-updates Release.gpg
OK   http://ftp.at.debian.org/debian/ wheezy-updates/main Translation-en
OK   http://security.debian.org wheezy/updates/main amd64 Packages
OK   http://ftp.at.debian.org wheezy Release
OK   http://ftp.at.debian.org wheezy-updates Release
OK   http://ftp.at.debian.org wheezy/main Sources
OK   http://ftp.at.debian.org wheezy/main amd64 Packages
OK   http://ftp.at.debian.org wheezy-updates/main Sources
Hole:1 http://ftp.at.debian.org wheezy-updates/main amd64 Packages/DiffIndex [1.012 B]
Es wurden 1.012 B in 0 s geholt (4.720 B/s)
Paketlisten werden gelesen... Fertig
W: Es gibt keine Öffentlichen Schlüssel für die folgenden Schlüssel-IDs:
9D6D8F6BC857C906
W: Es gibt keine Öffentlichen Schlüssel für die folgenden Schlüssel-IDs:
7638D0442B90D010
W: Es gibt keine Öffentlichen Schlüssel für die folgenden Schlüssel-IDs:
7638D0442B90D010

Alternativ jammert apt auch gerne auf English:

There is no public key available for the following key IDs: 8B48AD6246925553

Lösung

Die Schlüssel-IDs 9D6D8F6BC857C906 und 7638D0442B90D010 gehören zu den Debian Wheezy Update Package Repositorys und sind Teil des Keyring-Pakets (die Update-Pakete benötigen das Keyring-Archiv). Einfach den debian-keyring installieren:

root@geloud:~# apt-get install debian-keyring debian-archive-keyring

Dann läuft das nächste apt-get auch schon fehlerfrei durch:

root@geloud:~# apt-get update

(Referenz: http://gnuru.org/article/1486/debian-public-keys-error-2)

Tomcat liefert „ssl_error_weak_server_ephemeral_dh_key“ im Firefox

Veröffentlicht am von Keine Kommentare ↓

Problem

Firefox ab Version 39 zeigt bei von einem frischen Tomcat ausgelieferten Webseiten nur noch diese Alternativlose Fehlermeldung an:

Fehler: Gesicherte Verbindung fehlgeschlagen

Ein Fehler ist während einer Verbindung mit oputils.pflitsch.de aufgetreten.
SSL hat einen schwachen kurzlebigen Diffie-Hellman-Schlüssel in der Handshake-Nachricht
"Server-Schlüsselaustausch" empfangen.
(Fehlercode: ssl_error_weak_server_ephemeral_dh_key)

    Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
    Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Lösung

Der unsichere DH/SSL Schlüsselaustausch ist anfällig für die „Logjam“ Attacke (https://weakdh.org), aber noch die Defaultkonfiguration für neue SSL-Connectoren im Tomcat.

In der server.xml kann man im Abschnitt <connector> die passenden Cipher-Suiten vorgaben. Bewährt hat sich diese Liste hier, weil sie auch noch die älteren aber sicheren SSL-Handshakes für den Internet-Explorer enthält.

<Connector
   port="443"
   protocol="HTTP/1.1"
   SSLEnabled="true"
   keystoreFile="uggliest.keystore"
[...]
   ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
/>

Netzwerk-Symbol aus Explorer ausblenden (GPO)

Veröffentlicht am von Keine Kommentare ↓

Problem

netzwerk-aus-explorer-ausblendenAuf einem Windows Server 2012/2012R2 oder Windows 8/10 soll aus Sicherheitsgründen das „Netzwerk“ Symbol aus dem Explorer ausgeblendet und der Zugriff auf UNC-Ressourcen verboten werden.

Der Explorer soll im Prinzip keinen Zugriff mehr auf Netzwerkressourcen bieten.

Lösung

Mit Windows Server 2012 und Windows 8 hat Microsoft (vermutlich nicht mehr ganz nüchtern) beschlossen, das die Gruppenrichtlinie  „Symbol für Netzwerk ausblenden“ nicht mehr im Explorer greift, sondern nur noch auf dem Desktop. Daher müssen wir selber eine Gruppenrichtlinie mit einer Registry-Preference erstellen.

Benutzerkonfiguration\Einstellungen\Windows-Einstellungen\Registrierung

netzwerk-aus-explorer-ausblenden-gpoHier ein neues „Registrierungselement“ anlegen:

Struktur: HKEY_LOCAL_MACHINE
Schlüsselpfad: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\NonEnum
Name: {F02C1A0D-BE21-4350-88B0-7367FC96EF3C}
Werttyp: REG_DWORD
Wertdaten: 00000001

Danach müssen nur noch die normalen GPO-Einräge angepasst werden:

  • Administrative Vorlagen\Desktop\“Symbol „Netzwerkumgebung“ auf dem Desktop ausblenden
  • Administrative Vorlagen\Startmenü und Taskleiste\“Netzwerksymbol entfernen
  • Administrative Vorlagen\Windows-Komponenten\Datei-Explorer\“Benachbarte Computer“ nicht unter Netzwerkumgebung anzeigen“ und auch „Optionen „Netzlaufwerk verbinden“ und „Netzlaufwerk trennen“ entfernen„.

Jetzt gibt es in der Explorer-Adressleiste zwar immernoch die Auto-Vervollständigung mit den Netzwerkcomputern, aber hierfür ist uns kein Weg bekannt, dies zu deaktivieren.

AD Betriebssysteme in einer Domäne zählen

Veröffentlicht am von 2 Kommentare ↓

Problem

  • „Stellen Sie doch mal eben eine Übersicht über die Computer in unserm Netzwerk zusammen“
  • „Wie viele Windows XP Computer haben wir eigentlich noch“
  • „Welche Betriebssysteme haben wir eigentlich“
  • Welche Betriebssysteme gibt es in unserem AD?

Lösung

Betriebssysteme zählen mit GetForestOSCounts.ps1 (Download GetForestOSCount):

count-windows-versions