Kategori public

ubuntu disabled cacert.org

Donnerstag, März 20th, 2014

Beim einrichten eines Servers unter 14.04 ist mir folgendes aufgefallen:
SSLCACertificateFile: file ‚/usr/share/ca-certificates/cacert.org/cacert.org.crt‘ does not exist or is empty

Darauf hin schaute ich mir die changelog vom ca-certificates an und war überrascht das cacert.org nicht mehr vertraut wird:
zless /usr/share/doc/ca-certificates/changelog.gz
ca-certificates (20130906ubuntu2) trusty; urgency=medium

* No longer ship cacert.org certificates. (LP: #1258286)

-- Marc Deslauriers Wed, 19 Feb 2014 15:57:25 -0500

Daraufhin schaute ich mir den Bugreport genauer an:
Ubuntu ist eine der wenigen Distributionen die CAcert als vertrauenswürdiges Zertifikat anerkennen. Viele Distributionen erwägen [1], CAcert zu entfernen. Mozilla schloss die im Jahr 2003 eröffnete RFE [2] für CAcert im Jahr 2008.

Auf der Debian Mailingliste [3] wurden einige Bedenken bezüglich der Codequalität von CAcert ausgedrückt. Deswegen wurde die Prüfung angehalten.

In der Vergangenheit hat Ubuntu bereits CAcert deaktiviert [4], dies ist nun wieder der Fall. Es ist besser dies wieder zu tun.

Ubuntu is one of the few distributions shipping CAcert as a trusted certificate. Many distributions are considering[1] whether to remove CAcert, and Mozilla closed the RFE[2] for CAcert in 2008, which was opened in 2003.

Concerns were expressed about CAcert’s code quality[3], and their audit appears to be stalled.

In the past, it appears that Ubuntu disabled[4] CAcert, but this is no longer the case. It may be wise to do so again.

[1]: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#50
[2]: https://bugzilla.mozilla.org/show_bug.cgi?id=215243
[3]: http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=718434#45
[4]: http://wiki.cacert.org/InclusionStatus?highlight=Ubuntu

Quelle: https://bugs.launchpad.net/ubuntu/+source/ca-certificates/+bug/1258286

Abhilfe schafft folgendes, dennoch müssen dann die Fingersprints selbst überprüft werden.
wget -O cacert.org.crt http://www.cacert.org/certs/root.crt
wget -O - http://www.cacert.org/certs/class3.crt >> cacert.org.crt

[UPDATE]
Mittlerweile sind auch die andere releases betroffen wie Ubuntu 12.04:
zless /usr/share/doc/ca-certificates/changelog.gz
ca-certificates (20130906ubuntu0.12.04.1) precise-security; urgency=medium

* Update ca-certificates database to 20130906 (LP: #1257265):
- backport changes from the Ubuntu 14.04 20130906ubuntu1 package
- No longer ship cacert.org certificates (LP: #1258286)
- No longer ship obsolete debconf.org certificates
- mozilla/certdata2pem.py: Work around openssl issue by shipping both
versions of the same signed roots. Previously, the script would
simply overwrite the first one found in the certdata.txt with the
later one since they both have the same CKA_LABEL, resulting in
identical filenames. (LP: #1014640, LP: #1031333)

-- Marc Deslauriers Thu, 06 Feb 2014 17:39:43 -0500

KVM VNC Keybord Layout

Montag, Februar 17th, 2014

Beim editieren des Keybord Layout einer VM ist mir folgender Fehler unterlaufen.
virsh start server1
Fehler: Domain server1 konnte nicht gestartet werden
Fehler: internal error: process exited while connecting to monitor: Could not read keymap file: 'de-de'

Die Sprache „de-de“ gibt es einfach nur nicht es muss nur „de“ heißen. Siehe den Auszug aus dem Wiki:

(mehr …)

Gigabyte GPT boot Option

Samstag, Februar 1st, 2014

Das neue Gigabyte Mainbord GA-F2A88XM-HD3 hängt im Bios nach dem ich die Festplatten mit einer GUID Partition Table (GPT) belegt habe. Im Manual war es nicht wirklich gut beschreiben aber durch ein bisschen rumprobieren habe ich herausgefunden das man beim Menü Punkt „On Chip STAT Type“ auf „RAID“ stellen muss.

gigabyte-gpt-bios

LUKS crypto verfahren prüfen

Freitag, Januar 24th, 2014

Linux Unified Key Setup (LUKS) ist das Standardtool unter Ubuntu für eine Festplatten Vollverschlüsselung. Das noch unter 12.04 verwendete Standartverfahren war CBC das laut Jakob Lell seit dem 22.12.2013 als angreifbar gilt.

Wie aber Überprüft man ob die verwendete crypto betroffen ist und wie sollte es nicht aus sehen:
sudo cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2

Version: 1
Cipher name: aes
Cipher mode: cbc-essiv:sha256

Quelle: heise.de/security

virt-manager lvm pool anlegen

Donnerstag, Januar 23rd, 2014

Mit Logical Volume Manager (LVM) ist es möglich native Speicherbereiche einer Festpatte einer Virtuellen Maschine zuzuweisen, Snapshots zu erstellen und einfache dynamisch veränderbare Partitionen Logical Volumes (lv) zu erstellen. Um dies auch direkt im virt-manager nutzen zu können, kann man die volumen Group (vg) als Speicherot zuweisen. Dafür geht man in die Speicher übersicht des Servers und Kickt auf das „+“ um einen weiteren Speicher hinzuzufügen. Im folgenden Dialog kann man dem Speicher einen Namen und eine Speicher Ort angeben. In meinem Fall ist da /dev/vg0.

virt-manager-lvm-pool

Dann ist es möglich beim erstellen von VMs auch direkt aus dem virt-manager die lvs zu erstellen.