chr.istoph, der Blog

Mit verschiedenen Werkzeugen ist es möglich über die in RFC 1323 Section 3.2 Spezifizierte Option die Uptime eines Rechners zu ermitteln. Der Theorie nach soll man so Angriffe gegen ungepachte Kernel / Sicherheitsupdates fahren können.
Hier ein nmap Beispiel:

sudo nmap -O -v 10.0.0.1

Starting Nmap 6.25 ( http://nmap.org ) at 2013-10-17 22:21 CEST
Initiating ARP Ping Scan at 22:21
Scanning 10.0.0.1 [1 port]
Completed ARP Ping Scan at 22:21, 0.00s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 22:21
Completed Parallel DNS resolution of 1 host. at 22:21, 0.05s elapsed
Initiating SYN Stealth Scan at 22:21
Scanning 10.0.0.1 [1000 ports]
Discovered open port 22/tcp on 10.0.0.1
Completed SYN Stealth Scan at 22:21, 0.17s elapsed (1000 total ports)
Initiating OS detection (try #1) against 10.0.0.1
Nmap scan report for 10.0.0.1
Host is up (0.0011s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
MAC Address: B8:27:EB:00:00:00 (Raspberry Pi Foundation)
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.6
Uptime guess: 17.048 days (since Mon Sep 30 21:12:28 2013)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=255 (Good luck!)
IP ID Sequence Generation: All zeros

Read data files from: /usr/local/bin/../share/nmap
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.00 seconds
           Raw packets sent: 1023 (45.806KB) | Rcvd: 1015 (41.282KB)

Die „Schätzung“ von nmap von 17.048 Tagen liegt mit der Tatsächlichen Uptime 17 days, 1:14 gut überein.

Um dies nun zu Unterbinden kann eine der beiden Möglichkeiten gewählt werden:
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
sysctl net.ipv4.tcp_timestamps=0

oder direkt in der /etc/sysctl.conf eingetragen werden:
net.ipv4.tcp_timestamps=0

Dann bekommt nmap keine sinnvollen antworten mehr:
(mehr …)

von heute auf morgen bekam ich bei remmina die unglaublich aussagekräftige Fehlermeldung „Verbindung zum RDP-Server server.domain fehlgeschlagen“

Dies hing bei mir mit den Fingersprints zusammen, die man in der Datei ~/.freerdp/known_hosts entfernen kann. Dann funktioniert der Aufbau der Verbindung wieder.

Einem bestimmten IP erlauben ohne SSL/TLS E-Mail abzurufen.

remote 0.0.0.0 {
disable_plaintext_auth = no
}

Wenn durch Ubuntu Security Updates Automatisch satt finden, kann es Probleme geben mit Proprietären Kernel Modulen wie Grafikkartentreibern. Am schönsten ist an dieser Stelle ein DKMS Modul, aber da so was auf die schnelle nicht gezaubert werden konnte haben wir den Kernel einfach mit apt pinning festgesetzt.

echo $(dpkg -l "$(uname -r)" | grep image | awk '{print $2 " hold"}') |sudo dpkg --set-selections

Das ganze kann man auch wieder rückgängig machen.

echo $(dpkg -l "$(uname -r)" | grep image | awk '{print $2 " install"}')| dpkg --set-selections

Mit folgenden Befehl kann man sich eine Übersieht verschaffen welche Pakete gepind sind:

dpkg -l | grep ^h

Für einen Windows2008 Server macht es keinen Sinn eine Hibernate Datei anzulegen, wenn diese eh nicht in den Ruhezustand fährt. Insbesondere dann wenn die Maschine viel RAM besitzt und diesen Dauerhaft auf der Festplatte alloziert. Um diese Datei zu löschen muss man einfach folgendes auf der CMD eingeben:
powercfg.exe -h off