Zypper ps für Ubuntu - Mit Checkrestart laufenden Prozesse nach Updates ausfindig machen

Eine beliebte Funktion unter OpenSuse Systemen ist der Befehl "zypper" mit dem Zusatz "ps".

Dieser listet, zum Beispiel nach frisch installierten Updates auf, welche Prozesse noch in Verwendung sind und neu gestartet werden müssen, damit die gerade vollzogene Aktualisierung greift.

Ubuntu bringt bei der Standardinstallation in der Paketverwaltung apt-get leider keine Überprüfung laufender Prozesse nach einem Update mit. Hier muss zu ein paar Debian Tools gegriffen werden.

Checkrestart - Aktualisierte Prozesse unter Ubuntu prüfen

Debian-Goodies heißt das Paket, welches unter Ubuntu praktische Kommandozeilen Tools wie "checkrestart" oder "dpigs" mitbringt.

Ersteres zeigt, wie schon erwähnt, laufenden Prozesse nach einem Update an, zweiteres die installierten Pakete mit dem größten Platzbedarf.

Die Installation und Anwendung ist denkbar einfach.

sudo apt-get install debian-goodies

sudo checkrestart

Found 10 processes using old versions of upgraded files

(5 distinct programs)

(5 distinct packages)

Of these, 5 seem to contain init scripts which can be used to restart them:

The following packages seem to have init scripts that could be used

to restart them:

openssh-server:

        55555   /usr/sbin/sshd

        53555   /usr/sbin/sshd

        838     /usr/sbin/sshd

postfix:

        2383    /usr/lib/postfix/tlsmgr

        53353   /usr/lib/postfix/smtp

apache2.2-bin:

        2343    /usr/lib/apache2/apache2

These are the init scripts:

/etc/init.d/ssh restart

/etc/init.d/postfix restart

/etc/init.d/whoopsie restart

/etc/init.d/apache2 restart

Oben ist die Ausgabe bei anstehenden Neustarts von Prozessen zu sehen. Praktischerweise wird die Vorgehensweise für die einzelnen Anwendungen mit ausgegeben.

Sollten keine Prozesse betroffen sein, wird "Found 0 processes using old versions of upgraded files" angezeigt.

Poodle - SSL 3.0 auf Windows Server deaktivieren

Die letzten Tage hatte ich einen Artikel auf dem Blog, der sich mit dem Abschalten des SSL 3.0 Protokolls auf Apache, Nginx oder Postfix Servern beschäftigte.

Was bei diesen linuxbasierten Servern natürlich komplett fehlte, waren Windows Systeme.

Auch auf einem IIS Server lässt sich SSLv3 recht einfach abschalten.

SSL3 auf Windows Servern deaktivieren

SSL3deaktivieren

Wie von anderen Problemen von Windows Systemen bekannt lassen sich diese meist über die Registry "regedit.exe" lösen. So ist das auch mit der aktuellen Poodle Lücke.

Es genügt zwei Werte in den Sicherheitseinstellungen der Registry zu setzen und schon, einen Neustart vorausgesetzt, ist SSL 3.0 nicht mehr aktiv.

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]

"DisabledByDefault"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]

"DisabledByDefault"=dword:00000001

Der Einfachheit halber, habe ich euch die zu ändernden Werte in eine ausführbare Registry Datei gepackt.

Diese könnt ihr herunterladen, entpacken und ausführen und müsst nicht in den Untiefen der Registry suchen.

Window_Server_SSL_3.0_deaktivieren


Notepad++ Tipp - Mehrere Zeilen mit NppToolBucket ersetzen

Eine sehr praktische Sache am Notepad++ Editor ist die "Suchen nach" und "Ersetzen durch" Funktionen. Leider ist es mit einer Standardinstallation nicht möglich mehrere Zeile auf einmal zu ersetzen. In diversen Situation führt das leider zu Mehrarbeit.

In so einem Fall schafft die Erweiterung NppToolBucket schnelle Abhilfe. Einfach herunterladen, entpacken und die DLL in das Notepad++ Programmverzeichnis kopieren.

NppToolBucket

Danach findet ihr das Tool Bucket klassisch unter den Erweiterung. Neben dem Ersetzen mehrerer Zeilen kann das Plugin MD5 und SHA1 Hashes berechnen oder Fülltexte mit Lorem Ipsum erstellen. 

Node.js - Sammlung aus über 300 Paketen, Modulen und Quellen zur Serverplattform

Die Serverplattform Node.js dürfte weitgehend bekannt sein. Auf ITrig hatte ich schon Artikel über die Lernplattform nodeschool.io oder npmgraph zu diesem Thema veröffentlicht. 

Weniger bekannt sind eventuell die Awesome Sammlungen auf GitHub. Dabei handelt es sich um Linksammlungen zu bestimmten Themengebieten rund um Programmierung, Plattformen, Entwicklung und Co. (Link).

Node.js

Unter dieser allgemeinen Übersicht befindet sich ebenfalls ein Sammlung zu Tools und Paketen für Node.js. Die Awesome Liste ist unterteilt in ca 40 Bereiche und beinhaltet einige sehr praktische Pakete und Utilities.

Alle Tools hier zu listen, würde den Rahmen sprengen, also schaut einfach selbst rein (Link Awesome Node.js).

Anleitung - Poodle SSL 3.0 Lücke in Apache, Nginx oder Postfix deaktivieren

Seit ein paar Tagen ist der Pudel los. Zumindest bei einigen. Gemeint ist die neue, von Google entdeckte SSLv3 Lücke. Diese erlaubt bei bestimmter Konstellationen einen Angriff auf die verwendeten Systeme. Um so einen Angriff zu verhindern haben Browserhersteller bereits vorgebeugt und wollen SSLv3  aus dem eigenen Browser verbannen (siehe Mozilla).

Ich möchte euch kurz zeigen, wie die Deaktivierung von SSLv3 unter Apache und Nginx funktioniert. Zunächst sollte aber getestet werden, ob der Server SSLv3 überhaupt freigeschaltet hat.

Apache oder Nginx auf SSLv3 Lücke testen

Es genügt ein einfacher Konsolenbefehl, um abzuprüfen, wie es mit dem Server steht

openssl s_client -connect REMOTE_SERVER:443 -ssl3

Sollte die Verbindung via SSLv3 aktiviert sein, erhaltet ihr bei einen erfolgreichen Handshake ein paar Werte zurück. Hier bei einem Apache Server

SSL handshake has read 1260 bytes and written 322 bytes

New, .../SSLv3, Cipher is DHE-RSA-AES256-SHA

Ist SSLv3 bereits deaktiviert, werden Fehlermeldungen ausgegeben

CONNECTED(00000003)

139957739407008:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40

139957739407008:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:

no peer certificate available

No client certificate CA names sent

SSL handshake has read 7 bytes and written 0 bytes

New (NONE), Cipher is (NONE)

Secure Renegotiation IS NOT supported

apache

Apache Server - SSLv3 abschalten

Im Prinzip hatte ich es schon einmal beim Thema Hardening Apache Server erwähnt, wie bestimmte Protokolle festgelegt werden können. Es genügt folgende Zeile in der "default-ssl.conf" bzw. "ssl.conf" zu hinterlegen, um SSLv3 zu unterdrücken.

sudo nano /etc/apache2/mods-available/ssl.conf

SSLProtocol All -SSLv2 -SSLv3

Alternativ können auch einfach alle Protokolle außer TLS deaktiviert werden. Dazu werden mit Minus alle blockiert und mit Plus die gewünschten Protokolle hinzugefügt.

SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Alternativ dazu können mit dem Befehl "SSLCipherSuite" die gewünschten Chiffren angegeben, bzw. eine Priorisierung festlegt werden. Ich hatte dies im besagten Hardening Artikel bereits beschrieben. Weiter Details findet ihr hier.

Danach wie nach jeder Änderung der Konfiguration

sudo service apache2 restart 

nginx

Nginx Server - SSLv3 deaktvieren

Für den inzwischen auf Platz 1. gelisteten Webserver (der 10 000 größten Webseiten) gilt ein ähnliches Vorgehen, wie beim Kollegen Apache. Auch hier hatte ich bereits einen Artikel verfasst.

In der Config muss lediglich SSL 3.0 entfernt werden.

sudo nano /etc/nginx/nginx.conf

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

sudo service nginx restart 

Gleiches gilt für die hinterlegten Ciphersuites. Hier kann beim Apache Webserver nachgeschaut werden. 

SSLv3 lässt sich nicht deaktivieren, was tun?

Auf manchen Servern ist es nicht möglich SSLv3 zu deaktivieren, welche Gründe es auch immer haben mag. Hier bleibt die Möglichkeit auf OpenSSL 1.0.1j, 1.0.0o bzw. 0.9.8zc zu aktualisieren. Denn in den aktuellen Versionen ist TLS_FALLBACK_SCSV aktiv, was Schutz vor Poodle bietet. Ob OpenSSL nach einem Update akutell ist , lässt sich dies mit SSL LABS prüfen.

Sollte auch ein Update auf neuere Versionen nicht möglich sein, ist es möglich schädliche ChipherSuites zu verbieten.

Folgende Cipher Suites sollen NICHT enthalten sein, wenn ein Poodle Angriff verhindert werden soll.

IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC-SHA, DH-DSS-DES-CBC3-SHA, EXP-DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC-SHA, DH-RSA-DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, EXP-ADH-DES-CBC-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, EXP-RC2-CBC-MD5, IDEA-CBC-SHA, EXP-DES-CBC-SHA, DES-CBC-SHA, DES-CBC3-SHA, EXP-DHE-DSS-DES-CBC-SHA, DHE-DSS-CBC-SHA, DHE-DSS-DES-CBC3-SHA, EXP-DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC-SHA, DHE-RSA-DES-CBC3-SHA, ADH-DES-CBC-SHA, ADH-DES-CBC3-SHA, AES128-SHA, AES256-SHA, DH-DSS-AES128-SHA, DH-DSS-AES256-SHA, DH-RSA-AES128-SHA, DH-RSA-AES256-SHA, DHE-DSS-AES128-SHA, DHE-DSS-AES256-SHA, DHE-RSA-AES128-SHA, DHE-RSA-AES256-SHA, ADH-AES128-SHA, ADH-AES256-SHA

postfix

Postfix - SSL 3.0 ausschalten

Auch auf dem bekannten Mailserver Postfix lässt sich SSL 3.0 unterbinden, hier genügt ein einfach Eingriff  "/etc/postfix/main.cf"

sudo nano /etc/postfix/main.cf 

smtpd_tls_security_level = encrypt

smtpd_tls_mandatory_ciphers = high

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

smtpd_tls_protocols = !SSLv2 !SSLv3


smtp_tls_protocols = !SSLv2, !SSLv3

smtp_tls_security_level = encrypt

smtp_tls_mandatory_ciphers = high

smtp_tls_mandatory_protocols = !SSLv2 !SSLv3

sudo service postfix restart


Letzendlich gilt es, die eigenen Server immer im Auge zu haben und auf aktuelle Sicherheitslücken zu scannen.