Month: Februar 2014

Sicherheit bei DHL

2 Comments

Also mir selbst ist bisher noch kein Paket bei DHL wirklich abhanden gekommen, ich kenn aber Leute wo das schon passiert ist. Gestern war ich im DHL Zentrum (glaub zumindest das das Zentrum ist, jedenfalls riesen Hallen etc.) in Würselen am Aachener Kreuz und bekam da mal einen kurzem Einblick was da so abgeht.

Ich fuhr mit einen Kollegen da hin, der ein Paket auf Arbeit erwartete, welches aber nicht geliefert wurde, da er angeblich telefonisch kontaktiert wurde, wo er mitgeteilt haben soll, das er die Lieferung heute nicht entgegen nehmen kann. Ein Anruf gab es allerdings nie und telefonisch erfuhr er das es aber bei DHL in Würselen lagere. Schonmal sehr kurios.
Bei DHL angekommen gingen wir ins Verwaltungsgebäude und fragten uns zu einem bestimmten Herrn durch, mit dem mein Kollege telefonisch die Abholung abgeklärt hatte. In der richtigen Abteilung wurde uns mitgeteilt das der gute Herr schon nach Hause sei. Er hatte aber eine Notiz mit dem Namen meines Kollege hinterlassen und machte darauf hin die Papiere fertig. Nachdem die Papiere unterschrieben waren meinte der Typ auf die Frage meines Kollegen wo wir denn jetzt das Pakete holen müssen „Fahrt da zu den Hallen geht rein und fragt nach Kenan“. Meinem Kollege machte dann im Auto einen interessanten Kommentar „Lustig das die noch nicht mal nach nemm Ausweis fragen und unterschrieben hab ich das ich die Ware erhalten habe.“ Darüber am lachen fuhren wir zu den Hallen und parkten vorm Leithaus. An der Tür zum Leithaus prangte ein Schild „Aufenthalt für unbefugte Personen strengstens verboten“, innen aber mindestens 10 Mann rauchend und Kaffee trinkend, die nicht wirklich nach Leithaus Personal aussahen. Also Kollege auch rein und mal gefragt wo man Kenan finde, Antwort „Irgendwo in der Halle, da hinten durch“. Also stiefelten wir durch die Hallen, wo Gabelstaplerfahrer in einen Affentempo Paletten am hin und her fahren waren und uns konsequent ignorierten. Überall Pakete von DHL Kunden, man hätte nur zugreifen müssen. Irgendwann erwischten wir dann auch einen gerade haltenden Gabelstaplerfahrer, der zwar nicht wie Kenan aussah uns aber dennoch weiter helfen konnte. Er zeigte uns das Paket und wir nahmen es uns und liefen wieder durch die ganze Halle zurück, vorbei an den ganzen Waren von Kunden ohne Begleitung. Das lustigste ist auch das wir eine Art Warenabholschein hatten, wo mindestens zwei Angestellte von DHL hätten unterschreiben müssen. „Hätten“ ist hier das treffende Wort, denn natürlich tat es keiner.

Also alles in allem könnte man bei DHL mit seinem Auto vor die Halle fahren, einfach hinein spazieren, sich in Ruhe Sachen raus suchen, die man brauchen könnte und diese einladen. Wenn man auf Nummer sicher gehen will hat man noch einen Zettel dabei der wie eine Abholschein aussieht. Aber mal im Ernst, auf der Hauptpost oder sonst welchen DHL Abholstationen kommste ohne Ausweis gar nicht weit, in den Zentralen kannste einfach in die Hallen rein spazieren und es juckt keinen. Das nenn ich mal Man-in-the-middle attack. :-D

Container Virtualisierung mit LXC unter Debian

4 Comments

Mich interessiert das Thema rund um die Container Virtualisierung LXC seitdem ich durch Zufall über einen Vortrag von Thomas Krenn auf youtube gestolpert bin. Da hab ich mich immer mal ein bisschen zu informiert, aber hab irgendwie nie so wirklich mal selbst rumprobiert. Nach einem Beitrag über LXC in der iX 2/2014 juckte es mir dann doch gewaltig in den Fingern. Nochmal zur Erklärung was LXC überhaupt ist, für die die es nicht wissen:

LXC (LinuX Containers) ist ein leichtgewichtige Alternative zur Virtualisierung mit Hypervisoren. Besonders eignet es sich, wenn sehr viele Linux-Gäste auf einem Host laufen sollen oder für die Isolierung einzelner Anwendendungen auf einem Host. Sie erlauben eine bessere Ressourcenauslastung bei nahezu nativer Performance der Container. Außerdem sind sie wesentlich schlanker als ihre Hypervisor-Pendants. Gastssysteme werden als einfache Unterverzeichnisse realisiert, aus denen der Host jeweils eine isolierte chroot-Umgebung startet. Der Boot Zyklus eines Containers startet dabei erst beim Aufruf von /sbin/init. Alle unterhalb dieses Punktes existierenden Ressourcen wie der Kernel, teilen sich alle Container, weshalb es auch nicht möglich ist andere Betriebssysteme wie Windows als LXC-Gast zu starten.

Ich werde heute erstmal die Installation von LXC 1.0.0-rc3 auf Debian Wheezy und die erste Benutzung niederschreiben. Es gibt zwar schon eine gute Anzahl von Anleitungen, überwiegend für Ubuntu – aber das war mir zu leicht mit ppa und so. Die Anleitungen für Debian waren irgendwie größten Teils nicht vollständig oder für ältere Versionen von LXC. Deshalb habe ich mal alles mitgeschrieben, was ich so gemacht habe und im Anschluss ist es mir auch gelungen innerhalb von 15 min das ganze lauffähig zu bekommen

Vorbereiten des Hosts

Installieren von Paketen die LXC benötigt, wobei bridge-utils optional ist, je nachdem für welche Netzwerkkonfiguration man sich entscheidet

apt-get install debootstrap bridge-utils

Als nächstes muss man das cgroup Dateisystem automatisch einhängen lassen. Dazu muss die /etc/fstab um folgende Zeile ergänzt werden

cgroup  /sys/fs/cgroup  cgroup  defaults  0   0

Um den Memory cgroup support (CONFIG_CGROUP_MEM_RES_CTLR) und Swap cgroup support (CONFIG_CGROUP_MEM_RES_CTLR_SWAP) zu aktivieren, welcher zwar seit Kernel 2.6.39-bpo60-2 integriert ist, aber per default deaktiviert ist, muss man folgendes in der /etc/default/grub ändern, bzw. ergänzen

GRUB_CMDLINE_LINUX="cgroup_enable=memory swapaccount=1"

Anschließend den grub updaten

update-grub

und einen Neustart.

Kompilieren

Als erstes mal git installieren

apt-get install git

und anschließend die Sourcen runterladen

git clone git://github.com/lxc/lxc

Noch ein paar Pakete zum kompilieren installieren

apt-get install build-essential automake pkg-config

Nun die autogen.sh im Ordner lxc ausführen, welche die configure Datei generiert

cd lxc/
./autogen.sh

Nochmal ein bzw. zwei zusätzliche Paket installieren, denn das Paket docbook2x wird nur benötigt falls ihr bei configure die Option für Manuals mit übergebt

apt-get install libcap-dev docbook2x

Jetzt sollte configure ohne Probleme durchlaufen. Ich habe noch ein paar zusätzliche Optionen für Pfade übergeben, aber die kann man sich auch im Help von configure durchlesen

./configure --enable-doc --with-init-script=sysvinit --bindir=/usr/bin --sbindir=/usr/sbin --libdir=/usr/lib --includedir=/usr/include --datarootdir=/usr/share --sysconfdir=/etc --localstatedir=/var
  • –enable-doc – Erstell manpages
  • –with-init-script=sysvinit – Welche Typen von initscripts installiert werden sollen

Sollte das geklappt haben kann man den Spass nun kompilieren und installieren

make
make install

Anlegen eines ersten Containers mit Netzwerk

Sollte die Installation ohne Probleme durchgelaufen sein ist LXC installiert und es kann mit lxc-checkconfig geprüft werden ob alle Voraussetzungen erfüllt sind

lxc-checkconfig
Kernel configuration not found at /proc/config.gz; searching...
Kernel configuration found at /boot/config-3.2.0-4-amd64
--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled
Pid namespace: enabled
User namespace: enabled
Network namespace: enabled
Multiple /dev/pts instances: enabled

--- Control groups ---
Cgroup: enabled
Cgroup clone_children flag: enabled
Cgroup device: enabled
Cgroup sched: enabled
Cgroup cpu account: enabled
Cgroup memory controller: enabled
Cgroup cpuset: enabled

--- Misc ---
Veth pair device: enabled
Macvlan: enabled
Vlan: enabled
File capabilities: enabled

Note : Before booting a new kernel, you can check its configuration
usage : CONFIG=/path/to/config /usr/bin/lxc-checkconfig

Einen neuen Container legt man wie folgt an

lxc-create -n c1 -t debian

-n gibt dabei den Namen des Containers und -t das Template (verfügbare Templates liegen unter /usr/share/lxc/templates) an. In früheren Versionen ist das Debian Template übrigens kaputt (z.B. Version im Repository), dafür kann man dann dieses Template verwenden.
Das erste anlegen eines Containers dauert etwas, da er erstmal die Dateien herunter laden muss. Das anlegen künftiger Container geschieht in wenigen Sekunden, da die Dateien lediglich aus dem Cache in den Ordner des neuen Containers gesynct werden.
Standartmäßig wird mit diesem Befehl im Verzeichnis /var/lib/lxc ein Unterverzeichnis mit dem Containernamen erstellt, welcher die Containerkonfiguration und das rootfs enthält. In unserem Fall also /var/lib/lxc/c1. Die config Datei sollte wie folgt aussehen

# Template used to create this container: /usr/share/lxc/templates/lxc-debian
# Parameters passed to the template:
# For additional config options, please look at lxc.conf(5)
lxc.network.type = empty
lxc.rootfs = /var/lib/lxc/c1/rootfs

# Common configuration
lxc.include = /usr/share/lxc/config/debian.common.conf

# Container specific configuration
lxc.mount = /var/lib/lxc/c1/fstab
lxc.utsname = c1
lxc.arch = amd64

Als Netzwerktyp ist derzeit noch empty angegeben, da wir aber eine Netzwerkverbindung haben wollen ergänzen wir die Datei mit folgenden Einträgen

# Network configuration
lxc.network.name = veth0           # Name des Interfaces im Container
lxc.network.flags = up
lxc.network.link = br0             # Bridge Interface auf dem Host
lxc.network.veth.pair = veth0-sid  # Interface auf dem Host welches benutzt wird um LXC zum Host zu connecten
lxc.network.ipv4 = 192.168.1.1/24  # IP Adresse des Containers
lxc.network.ipv4.gateway = 192.168.1.254

In der Zeile lxc.network.type muss noch das empty durch veth ersetzt werden. Andere Beispiele liegen unter /usr/share/doc/lxc/examples.
Meine /etc/network/interfaces auf dem Host habe ich dann wie folgt angepasst:

# The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp
        up iptables -t nat -F POSTROUTING
        up iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

auto br0
iface br0 inet static
      address 192.168.1.254
      netmask 255.255.255.0
      bridge_ports none

Nun muss noch das IPv4 Forwarding aktiviert werden. In der Datei /etc/sysctl.conf folgende Zeile hinzufügen oder die vorhandene suchen und unkommentieren (mir fällt grad das Wort nicht ein :D )

net.ipv4.ip_forward=1

Mit diesen Einstellungen sollte der Container mit der Außenwelt kommunizieren können. Um das zu testen tut man folgendes

sysctl net.ipv4.ip_forward=1
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ifup br0

lxc-start -n c1 -d

-n gibt den Namen des Containers an und -d das er als Daemon laufen soll. Mit dem Befehl

lxc-console -n c1

kann man sich nun mit dem Container verbinden und auf diesem mit root root einloggen.

So das soll es erstmal gewesen sein. Ich werde denke mal in Zukunft weiter berichten, wenn ich damit noch mehr rummgespielt hab.

Quellen: Debian Wiki – LXC, coderwall – Clean LXC + NAT configuration (Debian Wheezy)

Update zu „T-Online: Umstellung auf securepop“

Leave a Comment

Ich hatte ja vor etwas mehr als 2 Monaten berichtet wie ich bei einer Kundin versuchte eine verschlüsselte Verbindung zum E-Mail abrufen einzurichten. Ich wollte hier nochmal kurz nieder schreiben wie es weiter ging:

Der Hotline Mitarbeiter hat tatsächlich meine Kundin am nächsten Tag zurück gerufen, konnte mit ihr zusammen allerdings das Problem nicht lösen und leitete sie darauf hin an die Technik Abteilung weiter. Mit dem Techniker, welcher sich wohl auf den PC verband und selbst sein Glück versuchte bekam es dann wohl irgendwie hin. Allerdings hatte meine Kundin noch immer ein paar Problemchen, erreichte den Techniker allerdings nie wieder an der Hotline. Angst vor der eigenen Technik? Hm…gut, nun kam ich wieder ins Spiel. Sie erzählte mir das dann alles am Telefon und teilte mir dann auch ihre noch bestehenden Probleme mit, welche waren, das seitdem der Techniker drauf war komische Fehlermeldungen beim Öffnen des Programms auftauchten und es plötzlich drei Postfächer gab worüber alle Mails verteilt waren. Verwirrt von den erzählten Geschichten fuhr ich am nächsten Abend vorbei um mir das mal genauer anzuschauen. Ehrlich, ich hab keine Ahnung was dieser Typ von der Hotline da gemacht hat, denn ich sah folgendes vor mir (Sie verwendete bis dahin Windows Live Mail):

  • Das Programm schreit beim starten direkt rumm das es keine Verbindung zum Server hat, die Mails scheinen aber aktuell – WTF?
  • 3 Postfächer, wovon nur zwei einen Posteingang haben
  • Alle Mails sind über alle drei Konten verteilt, dabei sind aber keine Doppelt, es sind mal da ein paar und da ein paar etc.
  • Schreibt man eine Mail sagt das Programm das er diese in den Gesendet Ordner verschiebt, aber in keinem der drei ist sie aufzufinden

Oh man, gefährliche Mischung – Microsoft Programm und Telekom als E-Mail Provider. Aber was der Typ da von der Telekom angestellt hat ist mir ein völliges Rätsel gewesen. Als erstes hab ich mir mal die Konteneinstellungen eingestellt. Die drei Posteingängen bestanden also aus 2 IMAP Konten und einem POP3 Konto. Die IMAP Konten waren beide gleich eingerichtet, also Server etc. Lustig das das überhaupt geht. Jedenfalls war eines der beiden Konten das was rummschrie, was jedoch bei gleicher Einrichtung irgendwie verwirrend war. Naja jedenfalls um den ganzen Crap aufzuräumen erstmal alle Mails zusammen in das lokale Archiv verschoben und alle Konten gelöscht. Anschließend ein neues IMAP Konto angelegt, genau so wie das vorherige – Antwort des Programms: Keine Verbindung zum Server möglich. „Wollt ihr mich verarschen“ war mein Gedanke. Thunderbird installiert um die erste Fehlerquelle auszuschließen – Microsoft. Wohooo und der Fehler war auch gefunden, also der Kundin erklärt das sie sich von der verspielten Oberfläche Windows Live Mails verabschieden muss und Thunderbird benutzen muss, was sie auch ohne Murren akzeptierte. Leider funktionierte das Importieren der Kontakte in TB nicht so ohne weiteres, da die Felder irgendwie total Durcheinander geraten sind. Selbst durch das zuweisen der Felder beim Import lies sich da nix machen. Warum muss sich Microsoft eigentlich immer ne Extrawurst ausdenken? Die meisten Programme exportieren ihre .csv Dateien mit Semikolon, aber Microsoft muss natürlich Kommas verwenden. Auch wenn es keinen Standart für die Formatierung gibt, was soll der Scheiss?
Naja ich hab dann schließlich in einer ruhigen Minute mal ihr gesamtes Adressbuch aufgeräumt und schlussendlich funktionierte dann alles wieder so wie gewünscht und sie kommt wunderbar damit klar.