Kategori Computer

LUKS crypto verfahren prüfen

Freitag, Januar 24th, 2014

Linux Unified Key Setup (LUKS) ist das Standardtool unter Ubuntu für eine Festplatten Vollverschlüsselung. Das noch unter 12.04 verwendete Standartverfahren war CBC das laut Jakob Lell seit dem 22.12.2013 als angreifbar gilt.

Wie aber Überprüft man ob die verwendete crypto betroffen ist und wie sollte es nicht aus sehen:
sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256

Quelle: heise.de/security

Veröffentlicht am: 24.01.2014 von: CHR | publiziert in: public, Security

virt-manager lvm pool anlegen

Donnerstag, Januar 23rd, 2014

Mit Logical Volume Manager (LVM) ist es möglich native Speicherbereiche einer Festpatte einer Virtuellen Maschine zuzuweisen, Snapshots zu erstellen und einfache dynamisch veränderbare Partitionen Logical Volumes (lv) zu erstellen. Um dies auch direkt im virt-manager nutzen zu können, kann man die volumen Group (vg) als Speicherot zuweisen. Dafür geht man in die Speicher übersicht des Servers und Kickt auf das „+“ um einen weiteren Speicher hinzuzufügen. Im folgenden Dialog kann man dem Speicher einen Namen und eine Speicher Ort angeben. In meinem Fall ist da /dev/vg0.

virt-manager-lvm-pool

Dann ist es möglich beim erstellen von VMs auch direkt aus dem virt-manager die lvs zu erstellen.

Veröffentlicht am: 23.01.2014 von: CHR | publiziert in: Linux, public

Festplatten mit Passwort

Donnerstag, Januar 16th, 2014

Nach dem ich 3 neu Platten dem 3ware 9500-12 Controller hinzugefügt habe und sie dann noch in einen andren Server verbauen musste, habe bekam ich folgende Fehlermeldung:

ata1.00: configured for UDMA/133
sd 0:0:0:0: [sda]
Result: hostbyte=DID_OK driverbyte=DRIVER_SENSE
sd 0:0:0:0: [sda]
Sense Key : Aborted Command [current] [descriptor]
Descriptor sense data with sense descriptors (in hex):
72 0b 00 00 00 00 00 0c 00 0a 80 00 00 00 00 00
00 00 00 80
sd 0:0:0:0: [sda]
Add. Sense: No additional sense information
sd 0:0:0:0: [sda] CDB:
Read(10): 28 00 00 00 00 80 00 00 08 00
ata1: EH complete
ata1.00: exception Emask 0x0 SAct 0x0 SErr 0x0 action 0x0
ata1.00: irq_stat 0x40000001
ata1.00: failed command: READ DMA
ata1.00: cmd c8/00:08:40:00:00/00:00:00:00:00/e0 tag 0 dma 4096 in
res 51/04:08:40:00:00/00:00:00:00:00/e0 Emask 0x1 (device error)
ata1.00: status: { DRDY ERR }
ata1.00: error: { ABRT }

Das Problem das die Festplatten vom 3ware Controller mit einem Password versehen werden, war mir bekannt. Dennoch testet ich dies auch noch mal mit einer Windows Installation und bekam währende der Partitionierung folgende Fehlermeldung:

Das Erstellen einer neuen Partition auf dem ausgewählten freien Speicherplatz ist fehlgeschlagen. [Fehler: 0x8007045d].

Das Erstellen einer neuen Partition auf dem ausgewählten freien Speicherplatz ist fehlgeschlagen. [Fehler: 0x8007045d].

Mittels hdparm -I /dev/sda kann man den Status abfragen ob die „security feachers enabled“ sind:

Security: 
        Master password revision code = 65534
                supported
        not     enabled
        not     locked
        not     frozen
        not     expired: security count
                supported: enhanced erase
        260min for SECURITY ERASE UNIT. 260min for ENHANCED SECURITY ERASE UNIT.

Wenn man das Password kennt, ist es eigentlich ganz einfach.

hdparm --security-unlock "password" /dev/sda
hdparm --security-disable "password" /dev/sda
hdparm --security-set-pass NULL /dev/sda

Wenn man das User Password nicht mehr besitzt kann man die Platte mittels. In der Letzten Zeile von Security Block in der Ausgabe von hdparm -I kann man sehen wie lange dieser Vorgang dauert (260min).

Achtung! Alle Daten auf der Platte werden während des Vorganges unwiderruflich gelöscht.

hdparm --security-erase /dev/sda
hdparm --security-erase-enhanced /dev/sda

Veröffentlicht am: 16.01.2014 von: CHR | Tags: | publiziert in: Linux, public, Windows

pidgin und cacert.org

Donnerstag, Januar 9th, 2014

Pidgin hat das Problem das die in libpurple standardmäßig eingebaute libnns nicht die Zertifikatskette von cacert.org überprüfen kann. Wenn man pidgin mit gnutls baut sind alle Probleme behoben. Dann habe ich den Bug bestätigt 15486#comment:8:

I can confirm this bug using the XMPP server at 5222.de. The server certificate is signed by CACert and is accepted as valid by ‚openssl verify‘ ‚vfychain‘ (libnss3-tools).
I have connected to the server using the XMPP client psi, and the certificate is readily accepted.
For testing, I rebuilt pidgin with gnutls instead of libnss. This testing version does not show any certificate error anymore.

Veröffentlicht am: 09.01.2014 von: CHR | Tags: | publiziert in: public, Ubuntu

Freier XMPP Server

Sonntag, Januar 5th, 2014

5222
Für alle die noch keine XMPP (ehemals Jabber) Adresse bei einem freien Anbieter haben, möchte ich den Freien XMPP Server 5222.de vorstellen. Für alle Geeks unter uns, die Domain leitet sich vom offizielle XMPP Port 5222 ab. Benutzerkonten können ab sofort über einen XMPP Client erstellt werden.

Veröffentlicht am: 05.01.2014 von: CHR | Tags: | publiziert in: Netzwerk, public

« ältere einträge
neuere einträge »