Donnerstag, 21. April 2011Dropbox, EncFS und Cryptkeeper
Da Dropbox ja in der AGB nun offen reingeschrieben hat, was viele schon vermutet haben, erkläre ich mal wie ich
trotzdem ein bisschen Privatsphäre behalte. Ihr Installiert einfach encfs und cryptkeeper über euren Paketmanager (hier Debian 6 und Ubuntu Systeme) sudo apt-get install encfs cryptkeeper wenn Ihr dann Cryptkeeper startet (Anwendungen->Systemwerkzeuge->Cryptkeeper oder mit Gnome-Do <Super>+Space -> cr und voila da ist er) Im Grunde müsst Ihr jetzt folgendes machen: unter ~/Dropbox/Privat/ liegt euer Container, dieser wird nach ~/Dropbox_Privat/ gemountet, das kann Cryptkeeper selbst nicht, aber kein Problem: mkdir ~/Dropbox/Privat # euer Container mkdir ~/Dropbox_privat # Mountpunkt encfs ~/Dropbox/Privat ~/Dropbox_privat p # für Paranoid <passwort> fertig ist das ganze. In eurer Gnomeleiste habt Ihr nun ein Widget (Icon ist ein Schlüsselbund). Linksklick auf das Icon-> Importiere EncFS Container Jetzt gebt Ihr den Pfad zum EncFS bei Dropbox an, hier ~/Dropbox/Privat/  im nächsten Menu müsst Ihr nur den Ordnernamen oben eingeben -> Dropbox_privat (sonst erstellt Cryptkeeper einen unterordner, kann man ändern im gconf-editor unter apps->cryptkeeper->stashes)  So, fertig mehr war es ja nicht. Kurzer Test: thomas@daemon:~$ touch Dropbox_privat/test.txt && find -type f Dropbox_privat/ Dropbox_privat/test.txt thomas@daemon:~$ find -type f Dropbox/Privat/ Dropbox/Privat/v1WzqiXwsvJujue1fSeB9Z0I Dropbox/Privat/.encfs6.xml Funzt  Windosen sind da sowisso ausgeschlossen, aber wer hat schon noch eine daheim? Für die Windosen kann man ja Truecrypt nehmen, man darf nur die Timestamp Aktualisierung nicht aktivieren und dann geht das auch sehr schnell alles. Windows soll aber mal ein EncFS bekommen (encfs4win -> http://members.ferrara.linux.it/freddy77/encfs.html), aber das ist alles noch im alpha Stadium und wie oft hatten wir solche Ankündigungen denn in den letzten Jahren? Wer übrigens möchte, kann das selbe vorgehen auf GmailFS anwenden, oder Ubuntu One, oder anderen Online Storage Anbieter. So long Samstag, 11. September 2010Gottliches Linux??? Was passiert wenn man via Shell einen git --commit machen möchte, und bringt einen Typo rein? Klar, Linux schlägt einen mittlerweile, sofern es das Programm nicht gibt, alternativ Programme vor bzw. deren Kommandos. Aber das Programm "god" aus dem Packet "god" welches sich im "Universe" Zweig von Ubuntu befindet? Hilarious  Ich könnte die existenz von Gott also durch ein apt-get install god beweisen... was die Zeugen Jehova wohl sagen werden. Was ist wenn Gott via apt-get remove --purge god von der Platte gefegt wird, droht die Apokalypse? Also die Muslime haben auf jeden Fall unrecht, denn wenn ich den Befehl "allah" und verschiedene Schreibweisen davon eingebe, findet mein Ubuntu das nicht, god schon. Ist damit der beweis erbracht, dass die Christen recht haben? Ich bin irgendwie leicht entsetzt darüber, dass man im Vatikan noch nicht auf die Idee kam, auf deren Solaris Rechner Gott zu installieren, das macht die Sache doch einfacher für die Jungs im Vatikan. Keine Staubigen Bücher mehr, keine Messen, einfach nur noch ein Befehl... Ich sehe, Gott hat sogar eine Homepage: http://god.rubyforge.org/ Aus dem dpkg Info: Fully configurable process monitoring God is an easy to configure, easy to extend monitoring framework written in Ruby. Keeping your server processes and tasks running should be a simple part of your deployment process. God aims to be the simplest, most powerful monitoring application available. Sekunde, ich kann Gott so anpassen wie ich will und er wacht über mich? Klasse, ich will jede Menge Geld, Frauen und Alkohol. Und damit mein Prozess nicht irgendwann endet, werde ich im Daemon Modus laufen! Child Prozesse sind keine geplant, wozu sollte ich mich auch fork()en? Ich will nur nicht als Zombie Prozess enden, das ist sicherlich kein Spaß unnütz Systemressourcen zu verbrauchen. Ich hoffe nur das Gott nicht irgendwann auf die Idee kommt, bei Systemanomalien, wie meteor.bin oder Vulkan.sh, die Matri.... Erde neu zu starten. Aber halt, war Adam damit Prozess ID 1? Sollte man Adam dann nicht doch Init nennen? Und Eva Upstart (fett, hässlich und keiner kommt damit klar)? Ich könnte mir also vorstellen, dass die Welt damit ein riesiger Unix Rechner ist, alles ist Baumförmig angeordnet (Säugetier -> Affe -> Mensch, denkt mal weiter) und in jedem leaf kann man(n) Nachrichten von god lesen. Und wer den Gencode, welcher ja OpenSource ist und welchen man mit den PostScript Tools übersetzen kann, versteht, ist auch in der Lage selbigen zu Modifizieren. Und wenn man seinen Gott damit gut Konfiguriert, wird man auch nur tolle Sachen machen wie: Beten, Leute an Kreuze nageln oder am Pfahl verbrennen, Bomben über andersgläubige abwerfen, Manpages statt Nahrung verteilen.... Also die ganzen Windows'er ausradieren um eine Fragmentierung der Ungläubigen zu minimieren. So, und wer in diesem Eintrag Sarkasmus findet, Religions Scherze, gepaart mit Unix/Linux Humor, der darf Ihn behalten  Rechtschreibfehler und Grammatikalischer Bullshit ist zur belustigung aller, ich musste den Eintrag mit Tränen vor Lachen in den Augen schreiben!!So Long Lord Pinhead Mittwoch, 2. April 2008Postfix Greylisting - Kein Spam mehr bitte!!!
Nach ein paar Monaten Tests auf einem anderen Server mit einem Freund haben wir erfolgreich das Spamaufkommen unterbunden ohne ein Inhaltsfilter anwenden zu müssen.
Das System ist relativ einfach, zuerst installierten wir postgrey apt-get install postgrey legten in /etc/postfix/ die Dateien map_recipient_access_grey und map_recipient_access_white an, die mittels postmap gemappt wurden. In der main.cf haben wir die smtpd_recipient_restrictions angepasst: smtpd_recipient_restrictions = ################################## ## Erlauben von authentifizierten Leuten (ueber SASL) ## und von mynetworks ################################## permit_mynetworks, permit_sasl_authenticated ################################## ## Ausnahmen fuer bestimmte Server ################################## check_sender_access hash:/etc/postfix/sender_checks, check_client_access hash:/etc/postfix/helo_client_exceptions, check_client_access hash:/etc/postfix/rbl_client_exceptions, ################################## ## Unbekannte Hostnamen, Domains etc. gleich abweisen ################################## reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unauth_pipelining, reject_unauth_destination, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unverified_sender, reject_unverified_recipient, warn_if_reject reject_unverified_sender, ################################## ## Sender Policy Framework ################################## check_policy_service unix:private/policy, ################################## ## Realtime Blackhole Listen ################################## #reject_rhsbl_sender dsn.rfc-ignorant.org, #reject_rbl_client sbl-xbl.spamhaus.org, #reject_rbl_client bl.spamcop.net, #reject_rbl_client zombie.dnsbl.sorbs.net, #reject_rbl_client list.dsbl.org, #reject_rbl_client sbl.spamhaus.org, #reject_rbl_client blackholes.easynet.nl, #reject_rbl_client unconfirmed.dsbl.org, #reject_rbl_client dynablock.njabl.org, #reject_rbl_client dialup.blacklist.jippg.org, check_policy_service inet:127.0.0.1:12525, ################################## ## Postgrey ################################## check_recipient_access hash:/etc/postfix/map_recipient_access_grey, check_policy_service inet:127.0.0.1:60000, check_recipient_access hash:/etc/postfix/map_recipient_access_white, ################################## ## Wenn keines der oberen zutrifft, zulassen. ################################## permit Den SPF Eintrag kann man rauslassen, wer allerdings diese Check auch machen möchte um gespoofte Domains vielleicht auszusieben, der sollte sich in der master.cf folgenden Satz ergänzen: policy unix - n n - - spawn user=nobody argv=/usr/bin/perl /usr/local/sbin/smtpd-policy.pl Das Script gibt es auf http://www.openspf.org/source/software/postfix-policyd-spf-perl/ und wird nach /usr/local/sbin/ kopiert. Ok, was macht jetzt der Postfix wenn eine Mail relayed wird: 1) filtert Mailer aus dessen Server eine Falsche/Unbekannte Domain oder Hostnamen vorgeben. Auch wird der Sender und Empfänger geprüft. Dabei ist vor allem die Reihenfolge wichtig, zuerst wird die Domain geprüft, wenn die nicht vorhanden ist kann es sich nur um Spam handeln. Danach kommt der Empfänger und Absender dran, gibt es den Empfänger nicht versucht ein Bot gerade Brute Force Mailing. 2) Der MTA filter anhand von SPF die Mails raus, die gespoofte Domains haben. Leider hat nicht jeder einen SPF Eintrag, von daher kann man hier nur bei eindeutigen treffern handeln 3) Realtime Blocklisten die anhand von IP Listen Spamserver führen. Policy Weight ist in diesem Fall installiert und ersetzt die Listen, allerdings habe ich noch von den ersten Versuchen die Listen drinstehen, wer also keinen Daemon installieren möchte der das übernimmt der löscht die letzte Zeile raus und entfernt die Kommentarzeichen entfernen. Wer Policy Weight übernehmen möchte, hier in kürze die Schritte: wget http://www.policyd-weight.org/policyd-weight -O /usr/local/bin/policyd-weight chmod 0555 /usr/local/bin/policyd-weight /usr/local/bin/policyd-weight defaults vi /usr/local/etc/policyd-weight.conf -> $dnsbl_checks_only = 1; -> $TCP_PORT = 12525; perl -MCPAN -e shell cpan> install Net::DNS cpan> install Sys::Syslog cpan> exit adduser polw -s --home /dev/null /bin/false echo 1024 > /proc/sys/net/core/netdev_max_backlog echo 1024 > /proc/sys/net/core/somaxcon letzte zwei Optionen erhöhen die Rückverfolgung von Verbindungen was bei hohen Verbindungsabbrüchen Positiv ist. Allerdings existieren die Dateien auf meinen Debian System nicht, man muss sie beim Booten neu anlegen, ich mach das über die /etc/init.d/networking: case "$1" in start) doopt spoofprotect yes doopt syncookies no doopt ip_forward no echo 1024 > /proc/sys/net/core/netdev_max_backlog echo 1024 > /proc/sys/net/core/somaxcon echo -n "Configuring network interfaces..." ifup -a echo "done." ;; 4) So, wenn der Sender bis hierhin gekommen ist, könnte er vielleicht eine interessante Mail haben. Allerdings kommen Bots aus den großen Netzwerk sicherlich auch bis hierhin, jetzt kommt Postgrey zum Einsatz. Der Dienst unterbricht zuerst die Verbindung, was ja jederzeit passieren kann. Echte Mailserver Versuchen es nach ca. 5 min wieder, dann werden Sie akzeptiert weil Postgrey die Verbindung gespeichert hat. Standardmässig versuchen MTA`s 3 Zustellungsversuche, von daher ist es nicht das Problem. Wenn ein MTA jetzt falsch eingerichtet ist und nach dem ersten Verbindungsversuch aufgibt ist das sein Problem. Das Setup hat sich bisher bewährt und 95% der Mails, die Spam sind oder sein könnten, wurden gleich abgewiesen. Hotmail kann probleme beim Sender Prüfen machen, aber wer hat den ein Hotmail Account
|
Kalender
SucheKategorienBlog abonnierenAlles unter der CC |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Donnerstag, 21. April 2011Dropbox, EncFS und Cryptkeeper
Da Dropbox ja in der AGB nun offen reingeschrieben hat, was viele schon vermutet haben, erkläre ich mal wie ich
trotzdem ein bisschen Privatsphäre behalte. Ihr Installiert einfach encfs und cryptkeeper über euren Paketmanager (hier Debian 6 und Ubuntu Systeme) sudo apt-get install encfs cryptkeeper wenn Ihr dann Cryptkeeper startet (Anwendungen->Systemwerkzeuge->Cryptkeeper oder mit Gnome-Do <Super>+Space -> cr und voila da ist er) Im Grunde müsst Ihr jetzt folgendes machen: unter ~/Dropbox/Privat/ liegt euer Container, dieser wird nach ~/Dropbox_Privat/ gemountet, das kann Cryptkeeper selbst nicht, aber kein Problem: mkdir ~/Dropbox/Privat # euer Container mkdir ~/Dropbox_privat # Mountpunkt encfs ~/Dropbox/Privat ~/Dropbox_privat p # für Paranoid <passwort> fertig ist das ganze. In eurer Gnomeleiste habt Ihr nun ein Widget (Icon ist ein Schlüsselbund). Linksklick auf das Icon-> Importiere EncFS Container Jetzt gebt Ihr den Pfad zum EncFS bei Dropbox an, hier ~/Dropbox/Privat/ im nächsten Menu müsst Ihr nur den Ordnernamen oben eingeben -> Dropbox_privat (sonst erstellt Cryptkeeper einen unterordner, kann man ändern im gconf-editor unter apps->cryptkeeper->stashes) So, fertig mehr war es ja nicht. Kurzer Test: thomas@daemon:~$ touch Dropbox_privat/test.txt && find -type f Dropbox_privat/ Dropbox_privat/test.txt thomas@daemon:~$ find -type f Dropbox/Privat/ Dropbox/Privat/v1WzqiXwsvJujue1fSeB9Z0I Dropbox/Privat/.encfs6.xml Funzt Windosen sind da sowisso ausgeschlossen, aber wer hat schon noch eine daheim? Für die Windosen kann man ja Truecrypt nehmen, man darf nur die Timestamp Aktualisierung nicht aktivieren und dann geht das auch sehr schnell alles. Windows soll aber mal ein EncFS bekommen (encfs4win -> http://members.ferrara.linux.it/freddy77/encfs.html), aber das ist alles noch im alpha Stadium und wie oft hatten wir solche Ankündigungen denn in den letzten Jahren? Wer übrigens möchte, kann das selbe vorgehen auf GmailFS anwenden, oder Ubuntu One, oder anderen Online Storage Anbieter. So long Samstag, 11. September 2010Gottliches Linux???Was passiert wenn man via Shell einen git --commit machen möchte, und bringt einen Typo rein? Klar, Linux schlägt einen mittlerweile, sofern es das Programm nicht gibt, alternativ Programme vor bzw. deren Kommandos. Aber das Programm "god" aus dem Packet "god" welches sich im "Universe" Zweig von Ubuntu befindet? Hilarious Ich könnte die existenz von Gott also durch ein apt-get install god beweisen... was die Zeugen Jehova wohl sagen werden. Was ist wenn Gott via apt-get remove --purge god von der Platte gefegt wird, droht die Apokalypse? Also die Muslime haben auf jeden Fall unrecht, denn wenn ich den Befehl "allah" und verschiedene Schreibweisen davon eingebe, findet mein Ubuntu das nicht, god schon. Ist damit der beweis erbracht, dass die Christen recht haben? Ich bin irgendwie leicht entsetzt darüber, dass man im Vatikan noch nicht auf die Idee kam, auf deren Solaris Rechner Gott zu installieren, das macht die Sache doch einfacher für die Jungs im Vatikan. Keine Staubigen Bücher mehr, keine Messen, einfach nur noch ein Befehl... Ich sehe, Gott hat sogar eine Homepage: http://god.rubyforge.org/ Aus dem dpkg Info: Fully configurable process monitoring God is an easy to configure, easy to extend monitoring framework written in Ruby. Keeping your server processes and tasks running should be a simple part of your deployment process. God aims to be the simplest, most powerful monitoring application available. Sekunde, ich kann Gott so anpassen wie ich will und er wacht über mich? Klasse, ich will jede Menge Geld, Frauen und Alkohol. Und damit mein Prozess nicht irgendwann endet, werde ich im Daemon Modus laufen! Child Prozesse sind keine geplant, wozu sollte ich mich auch fork()en? Ich will nur nicht als Zombie Prozess enden, das ist sicherlich kein Spaß unnütz Systemressourcen zu verbrauchen. Ich hoffe nur das Gott nicht irgendwann auf die Idee kommt, bei Systemanomalien, wie meteor.bin oder Vulkan.sh, die Matri.... Erde neu zu starten. Aber halt, war Adam damit Prozess ID 1? Sollte man Adam dann nicht doch Init nennen? Und Eva Upstart (fett, hässlich und keiner kommt damit klar)? Ich könnte mir also vorstellen, dass die Welt damit ein riesiger Unix Rechner ist, alles ist Baumförmig angeordnet (Säugetier -> Affe -> Mensch, denkt mal weiter) und in jedem leaf kann man(n) Nachrichten von god lesen. Und wer den Gencode, welcher ja OpenSource ist und welchen man mit den PostScript Tools übersetzen kann, versteht, ist auch in der Lage selbigen zu Modifizieren. Und wenn man seinen Gott damit gut Konfiguriert, wird man auch nur tolle Sachen machen wie: Beten, Leute an Kreuze nageln oder am Pfahl verbrennen, Bomben über andersgläubige abwerfen, Manpages statt Nahrung verteilen.... Also die ganzen Windows'er ausradieren um eine Fragmentierung der Ungläubigen zu minimieren. So, und wer in diesem Eintrag Sarkasmus findet, Religions Scherze, gepaart mit Unix/Linux Humor, der darf Ihn behalten Rechtschreibfehler und Grammatikalischer Bullshit ist zur belustigung aller, ich musste den Eintrag mit Tränen vor Lachen in den Augen schreiben!!So Long Lord Pinhead Mittwoch, 2. April 2008Postfix Greylisting - Kein Spam mehr bitte!!!
Nach ein paar Monaten Tests auf einem anderen Server mit einem Freund haben wir erfolgreich das Spamaufkommen unterbunden ohne ein Inhaltsfilter anwenden zu müssen.
Das System ist relativ einfach, zuerst installierten wir postgrey apt-get install postgrey legten in /etc/postfix/ die Dateien map_recipient_access_grey und map_recipient_access_white an, die mittels postmap gemappt wurden. In der main.cf haben wir die smtpd_recipient_restrictions angepasst: smtpd_recipient_restrictions = ################################## ## Erlauben von authentifizierten Leuten (ueber SASL) ## und von mynetworks ################################## permit_mynetworks, permit_sasl_authenticated ################################## ## Ausnahmen fuer bestimmte Server ################################## check_sender_access hash:/etc/postfix/sender_checks, check_client_access hash:/etc/postfix/helo_client_exceptions, check_client_access hash:/etc/postfix/rbl_client_exceptions, ################################## ## Unbekannte Hostnamen, Domains etc. gleich abweisen ################################## reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_hostname, reject_non_fqdn_recipient, reject_unauth_pipelining, reject_unauth_destination, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unverified_sender, reject_unverified_recipient, warn_if_reject reject_unverified_sender, ################################## ## Sender Policy Framework ################################## check_policy_service unix:private/policy, ################################## ## Realtime Blackhole Listen ################################## #reject_rhsbl_sender dsn.rfc-ignorant.org, #reject_rbl_client sbl-xbl.spamhaus.org, #reject_rbl_client bl.spamcop.net, #reject_rbl_client zombie.dnsbl.sorbs.net, #reject_rbl_client list.dsbl.org, #reject_rbl_client sbl.spamhaus.org, #reject_rbl_client blackholes.easynet.nl, #reject_rbl_client unconfirmed.dsbl.org, #reject_rbl_client dynablock.njabl.org, #reject_rbl_client dialup.blacklist.jippg.org, check_policy_service inet:127.0.0.1:12525, ################################## ## Postgrey ################################## check_recipient_access hash:/etc/postfix/map_recipient_access_grey, check_policy_service inet:127.0.0.1:60000, check_recipient_access hash:/etc/postfix/map_recipient_access_white, ################################## ## Wenn keines der oberen zutrifft, zulassen. ################################## permit Den SPF Eintrag kann man rauslassen, wer allerdings diese Check auch machen möchte um gespoofte Domains vielleicht auszusieben, der sollte sich in der master.cf folgenden Satz ergänzen: policy unix - n n - - spawn user=nobody argv=/usr/bin/perl /usr/local/sbin/smtpd-policy.pl Das Script gibt es auf http://www.openspf.org/source/software/postfix-policyd-spf-perl/ und wird nach /usr/local/sbin/ kopiert. Ok, was macht jetzt der Postfix wenn eine Mail relayed wird: 1) filtert Mailer aus dessen Server eine Falsche/Unbekannte Domain oder Hostnamen vorgeben. Auch wird der Sender und Empfänger geprüft. Dabei ist vor allem die Reihenfolge wichtig, zuerst wird die Domain geprüft, wenn die nicht vorhanden ist kann es sich nur um Spam handeln. Danach kommt der Empfänger und Absender dran, gibt es den Empfänger nicht versucht ein Bot gerade Brute Force Mailing. 2) Der MTA filter anhand von SPF die Mails raus, die gespoofte Domains haben. Leider hat nicht jeder einen SPF Eintrag, von daher kann man hier nur bei eindeutigen treffern handeln 3) Realtime Blocklisten die anhand von IP Listen Spamserver führen. Policy Weight ist in diesem Fall installiert und ersetzt die Listen, allerdings habe ich noch von den ersten Versuchen die Listen drinstehen, wer also keinen Daemon installieren möchte der das übernimmt der löscht die letzte Zeile raus und entfernt die Kommentarzeichen entfernen. Wer Policy Weight übernehmen möchte, hier in kürze die Schritte: wget http://www.policyd-weight.org/policyd-weight -O /usr/local/bin/policyd-weight chmod 0555 /usr/local/bin/policyd-weight /usr/local/bin/policyd-weight defaults vi /usr/local/etc/policyd-weight.conf -> $dnsbl_checks_only = 1; -> $TCP_PORT = 12525; perl -MCPAN -e shell cpan> install Net::DNS cpan> install Sys::Syslog cpan> exit adduser polw -s --home /dev/null /bin/false echo 1024 > /proc/sys/net/core/netdev_max_backlog echo 1024 > /proc/sys/net/core/somaxcon letzte zwei Optionen erhöhen die Rückverfolgung von Verbindungen was bei hohen Verbindungsabbrüchen Positiv ist. Allerdings existieren die Dateien auf meinen Debian System nicht, man muss sie beim Booten neu anlegen, ich mach das über die /etc/init.d/networking: case "$1" in start) doopt spoofprotect yes doopt syncookies no doopt ip_forward no echo 1024 > /proc/sys/net/core/netdev_max_backlog echo 1024 > /proc/sys/net/core/somaxcon echo -n "Configuring network interfaces..." ifup -a echo "done." ;; 4) So, wenn der Sender bis hierhin gekommen ist, könnte er vielleicht eine interessante Mail haben. Allerdings kommen Bots aus den großen Netzwerk sicherlich auch bis hierhin, jetzt kommt Postgrey zum Einsatz. Der Dienst unterbricht zuerst die Verbindung, was ja jederzeit passieren kann. Echte Mailserver Versuchen es nach ca. 5 min wieder, dann werden Sie akzeptiert weil Postgrey die Verbindung gespeichert hat. Standardmässig versuchen MTA`s 3 Zustellungsversuche, von daher ist es nicht das Problem. Wenn ein MTA jetzt falsch eingerichtet ist und nach dem ersten Verbindungsversuch aufgibt ist das sein Problem. Das Setup hat sich bisher bewährt und 95% der Mails, die Spam sind oder sein könnten, wurden gleich abgewiesen. Hotmail kann probleme beim Sender Prüfen machen, aber wer hat den ein Hotmail Account
|
Kalender
SucheKategorienBlog abonnierenAlles unter der CC |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||