April, 2014

Verwirrende Fehlermeldung

Samstag, April 26th, 2014

Beim betreten meines Blogs mit einem neu aufgesetzten Rechners bekam ich folgende verwirrende Fehlermeldung:
Invalid OCSP signing certificate in OCSP response.
(Error code: sec_error_ocsp_invalid_signing_cert)

Dies lag nicht etwa daran das die OCSP Abfrage nicht hätte funktionieren können, sondern das das Root CA nicht für den Browser installiert war. Leider gibt das die Fehlermeldung nicht wieder welches CA da fehlt oder das eine Fehler auch ohne OCSP auftreten würde.
Invalid OCSP signing certificate in OCSP response.

heartbleed OpenSSL bug mit iptables droppen

Freitag, April 11th, 2014

Auf meinen KVM Hosts habe ich mittels iptables den heartbleed bug gedropt. So bleibt genügend zeit die openssl zu updaten und die Dienste neuzustarten bzw. alle Kunden zu informieren dies zu tuhen.

#HEARTBLEED
iptables -t filter -A FORWARD -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBLEED"
iptables -t filter -A FORWARD -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP

Äquivalent muss man dies auch für SMTP, IMAP und co. machen.

Im syslog hat man nun die Möglichkeit alle Bods zu identifizieren die, die heartbleed Lücke derzeit aktiv ausnutzen.
Quelle: fulldisclosure

multi dd auf zwei platten

Dienstag, April 1st, 2014

Für eine Backup einer 4TB Platte auf zwei weitere 4TB Platten haben ich mir dd mit tee zusammen gebastelt.

time dd if=/dev/sda bs=1M | pv | tee >(dd of=/dev/sdb bs=1M) | dd of=/dev/sdc bs=1M

Trotz dessen, dass die 3 Platten an einem UBS 3.0 angeschlossen waren, schafft das dd 140MB/s.
Theoretisch kann man das >(dd of=/dev/sdb bs=1M) noch für weitere Platten wiederholen, abschließend muss aber eine Pipe stehen.