scp – Dateien verschlüsselt kopieren

scp (secure copy) dient zum verschlüsselten Kopieren von Dateien und bedient sich eigentlich ganz einfach:

Ein oder mehrere Dateien auf einen anderen Server kopieren:

scp datei(en) user@host:/folder

Ein ganzes Verzeichnis rekursiv auf einen anderen Server kopieren:

scp -r order user@host:/folder

Ein oder mehrere Dateien von einem anderen Server kopieren:

scp user@host:/folder datei(en)

Ein ganzes Verzeichnis rekursiv von einem anderen Server kopieren:

scp -r user@host:/folder order

Das ganze setzt SSH-Zugang auf Quell-/Zielrechner vorraus.

WordPress Admin-Bereich mit SSL absichern

Mit dem Admin-SSL WordPress Plugin kann man ganz bequem den Admin-Bereich eines WordPress-Blogs auf SSL umstellen. Vorher muss man nur den Apache mit SSL zum Laufen gebracht haben. Hier ein paar Zeilen aus der Apache2 Konfiguration:

<virtualhost IP-Adresse:443>
SSLEngine on
SSLCertificateFile /etc/ssl/blog.crt
SSLCertificateKeyFile /etc/ssl/blog.key
SSLCACertificateFile /etc/ssl/blog.ca-bundle
DocumentRoot […]

Weitere Infos zu WordPress plus SSL gibts auf WordPress Codex: Administration Over SSL

Sicherheitslücke im Zusammenspiel von SysCP, proftpd und Debian Sarge/Etch

Im SysCP-Blog war schon im April im Artikel Security warning: Possible remote code injection when using Debian Sarge/Etch von einer Sicherheitslücke zu lesen. In Unkenntnis davon, das es ein SysCP Blog gibt, habe ich davon erst heute erfahren.

Ursache ist der Benutzer ftp bei Debian, der als Passwort das Ausrufezeichen zugewiesen bekommt, was für „Login immer verboten“ steht. Durch einen Fehler in der SysCP Default-Konfiguration für proftp, kann man sich dann mit diesem Passwort am System anmelden. Wenn im Apache mod_userdir aktiviert ist, kann man für den FTP-Benutzer das Verzeichnis public_html anlegen und mit Dateien befüllen. Diese sind dann im Web zugänglich. Als Lösung wird folgendes aufgeführt, was bei mir auch zur Absicherung des Servers führte:

We recommend to add the following line to your /etc/proftpd.conf:
AuthOrder mod_sql.c

Ich würde allen SysCP-Usern empfehlen nach dem Verzeichnis /home/ftp/public_html zu suchen, proftpd ggf. umzukonfigurieren und dann den public_html Ordner zu löschen, wenn sein Inhalt nicht legitim ist.

Gesammeltes

In diesem Artikel gibt es eine Auflistung von interessanten Artikeln, über die ich eigentlich in letzter Zeit bloggen wollte, es aber aus Zeitgründen nicht geschafft habe. Vielleicht fällt euch beim Lesen der Überschriften schon was interessantes auf.

Trojaner an Bord?

Nachdem ich meine WoW-Session beendet hatte, bemerkte ich nach einigen Minuten anhaltende Festplatten- und Netzwerk-Aktivitäten. Das machte mich stutzig, da ich keinen Download laufen hatte und auch kein Browser oder Mailprogramm lief. Ein netstat -a brachte einige offene Verbindungen zu Port 3724 zum Vorschein. Google offenbarte mir dann, dass es sich bei dem Täter um den WoW Background Downloader handelte. Danach fiel mir der folgende Text im WoW Launcher auf:

Download startet...

In den Optionen hat man für den Patch-Download nun folgende Möglichkeiten:

WoW Patch Download Optionen

Dann scheint das soweit in Ordnung zu sein. Der Patch 2.1 „Der Schwarze Tempel“ wird wohl in absehbarer Zeit erscheinen.

Mal wieder die Debian Schlüssel (Update 1)

Wie schon Anfang 2006 hatte ich mal wieder ein Problem mit den Debian Schlüsseln:

mordor:/tmp# apt-get update
[…]
Paketlisten werden gelesen… Fertig
W: GPG error: http://ftp.de.debian.org unstable Release: The following signatures couldn’t be verified because the public key is not available: NO_PUBKEY A70DAF536070D3A1
W: Sie möchten vielleicht »apt-get update« aufrufen, um diese Probleme zu lösen

Die Lösung von 2006 brachte allerdings gar nichts, da es keine aktualisierten Schlüssel für 2007 gibt. Im Endeffekt muß man den angemeckerten Schlüssel von Hand von einem Keyserver importieren und mit apt-key importieren:

mordor:/tmp# gpg –keyserver random.sks.keyserver.penguin.de –search-key A70DAF536070D3A1
gpg: searching for „A70DAF536070D3A1“ from hkp server random.sks.keyserver.penguin.de
(1) Debian Archive Automatic Signing Key (4.0/etch)
1024 bit DSA key 6070D3A1, created: 2006-11-20
Keys 1-1 of 1 for „A70DAF536070D3A1“. Enter number(s), N)ext, or Q)uit > 1
gpg: requesting key 6070D3A1 from hkp server random.sks.keyserver.penguin.de
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 6070D3A1: public key „Debian Archive Automatic Signing Key (4.0/etch)
“ imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
mordor:/tmp# gpg –armor –export A70DAF536070D3A1 > missing.asc
mordor:/tmp# apt-key add missing.asc

Auf einem anderen Server hatte ich das Problem, das der Keyserver den Schlüssel nicht hatte. In dem Fall kann man den Key auch von mir runterladen.

Update: Alternative Lösungsansätze

Den nötigen Schlüssel kann man auch so beziehen:

gpg –keyserver wwwkeys.eu.pgp.net –recv-keys 6070D3A1

An anderer Stelle habe ich auch noch das folgende gefunden, was bei mir allerdings nicht wirklich geklappt hat, da die Warnung kam, das die Signatur des Pakets nicht überprüft werden konnte:

apt-get install debian-archive-keyring
apt-key update

Kopfschütteln vorprogrammiert

Nach den Bahnhöfen soll nun auch das Internet stärker überwacht werden. Solche Forderungen, die ohne aufwändige Zensur des Internets meiner Meinung nach kaum umsetzbar sind, erzeugen bei mir nur Kopfschütteln. Ich verstehe nicht wie man die Forderungen bei ausländischen Providern umsetzen will. Deshalb müßte die Zensur bei den Internet-Zugangsprovidern geschehen. Aber wie soll das technisch bewältigt werden? Wer kontrolliert die Sperrliste? Hier ist Vorsicht angebracht, damit kein Instrument geschaffen wird, mit dem sich kritische Stimmen im Internet unterdrücken lassen. Die Meinungsfreiheit geht für mich vor.

Ebenfalls heise online berichtet darüber, dass ein der Bevölkerung gewidmetes Kunstwerk nicht auf einer privaten Homepage abgebildet werden darf. Nach dem Urheberrecht darf ein Foto davon nicht ohne Lizenz veröffentlicht werden. Die Betreiberin der Website hat versucht die Lizenz zu bekommen, was ihr verweigert wurde.