Open-Source-Kraut-und-Rüben-Artikel (12)

Kleine Geschichten aus der Welt quelloffener Software. Heute mit einem Serverumzug, der in der Captchafalle endet, der Aufforderung zum Prüfsummenblues und dem obligatorischen Rant über die Hefenudel unter den Browsern.

So ein Serverumzug läuft wohl nie ohne irgendwelche Problemchen ab. Super nervig ist es, wenn man eine neue IP hat und feststellt, dass der Postfix-Mailserver bereits auf einigen Blacklists steht, auch wenn man noch gar keine Mails versandt hat und dass sich Leute über Spam beschwert haben. Zu einem Zeitpunkt, als man die IP noch gar nicht hatte und offenbar jemand anderes mit der IP Murks betrieben hat. Das Entlisten von solchen Blacklists an sich ginge ja relativ schnell. Einen kleinen Datenstriptease soll man aber schon hinlegen. Manche wollen da sogar eine Telefonnummer haben. Am nervigsten aber sind diese bescheuerten Captchas. Vielleicht bin ich dafür ja minderbegabt. Aber ich muss da immer mindestens 20 mal ein neues Captcha anfordern, bis ich auch nur in die Nähe theoretischer Lösbarkeit komme.

Erstaunlich, wie schnell Dir das Gesindel an der Backe klebt, sobald Du einen Server frisch ins Netz gestellt hast. Gleich nach dem Setup mit …

tail -f /var/log/auth.log

… in Echtzeit die Logfiles verfolgen. Es dauert keine Stunde, da beginnen die Loginversuche auf den SSH-Server. Russland. China. Argentinien. Und ab diesem Moment hören sie auch nicht mehr auf. Ein guter Nutzername und ein kryptisches Passwort, wie z.B….

§§hU)+*cA1§?_.m(94t$:,mBBo+.kU&gd\kTT$10=l81

sind da schon mal ein guter Anfang. Besser ist es freilich, das Login nur mit Zertifikat zu erlauben und/oder SSH auf einen anderen Port zu schieben.

Zur allgemeinen Belustigung beigetragen hat auch die Rechnungsstellung durch den Provider, mit dessen Diensten ich ansonsten doch sehr zufrieden bin (Hervorhebungen durch mich):

Ihre Rechnung ist im PDF-Format erstellt worden. Um die Rechnung anzuschauen, klicken Sie bitte auf den Anhang und es öffnet sich automatisch der Acrobat Reader. Sollten Sie keinen Acrobat Reader installiert haben, finden Sie hier den Link zum kostenlosen Download.

Diese „PDF=AcrobatReader“-Geschichte ist anscheinend nicht aus den Köpfen rauszubekommen. Noch nicht mal bei Leuten, die Dir einen Linux-Server vermieten. Sind ja auch erst 5 Jahre vergangen.

Die Einschläge kommen immer näher. Erst ein alle Linuxsysteme betreffendes Problem mit glibc, das jahrelang unentdeckt blieb. Jetzt der Einbruch bei Linux Mint, das kurzfristig ISOs mit Malware ausgeliefert hat. Die Einsicht, ab und zu mal ein Backup zu machen, hat sich wohl inzwischen stark durchgesetzt. Beim Download auch die Prüfsummen zu checken, wohl nicht.

Ceterum censeo: Der gute, alte Firefox ist inzwischen derart mit allem möglichen Unsinn überladen, dass es nur noch gruselig ist. Wenn Du über das Wochenende wegfährst, startest Du den Browser besser schon am Freitag. Dann sind die Chancen wenigstens 50/50, dass Du am Sonntag abend bereits ein bisserl surfen kannst. Firefox, die aufgeblasenste Hefenudel unter den HTML-Anzeigeprogrammen.

Comments

    1. Stimmt.

      Die Denke ist wahrscheinlich so: Im Fall einer Rechnung will man das PDF auf Platte haben und lädt es runter. Und öffnet es dann. So mache ich es auch. Ich habe auch festgestellt, dass PDFs in Firefox echt lang zum Laden brauchen.

      Deshalb >> Download und dann: >> lokal öffnen…

      [Edit: Wahrscheinlich hat man sich die letzten 5 Jahre darüber wenig Gedanken gemacht. Das steht so da wie damals (vgl. Link) Vor 5 Jahren bedeutete ein Klick auf den Link noch >> Save as…]

  1. „Beim Download auch die Prüfsummen zu checken, wohl nicht.“

    Das bringt auch nicht viel, wenn der Server kompromittiert wurde, kann man auch die Prüfsumme einfach ändern. Besser wäre da eine Signatur, wie sie zB bei Arch angeboten wird.

    1. Ich fürchte, Du hast Recht. Aber mal hintenrum gefragt: Wer garantiert mir, dass die Signatur 100% zuverlässig ist? Wer hält dafür die Hand ins Feuer?

      1. Du meinst, dass du auch den richtigen Schlüssel des Maintainers hast?
        Das kommt natürlich darauf an, wo du den Schlüssel her hast und wer dir bestätigt, dass er auch zur richtigen Person gehört.

        Dafür gibt es beispielsweise die Chain of Trust: https://en.wikipedia.org/wiki/Chain_of_trust
        Man kann sich auch persönlich treffen. Es gibt natürlich keine 100% Sicherheit, auch ein Maintainer könnte Pakete infizieren oder ein kompromittiertes System haben. Man kann die Sicherheit nur erhöhen.

    2. Sollten die Prüfsumme und die ISOs eh nicht besser auf _verschiedenen_ Servern liegen? 😉

      1. Das wäre wohl sicherer, aber immer noch keine Garantie.

        Das Spielchen können wir jetzt natürlich immer weitertreiben. Der, der das ISO und die dazugehörige Prüfsumme erstellt. Der hat dann wahrscheinlich auch Zugriff auf die beiden Server. Wer garantiert uns, dass der Schwachpunkt nicht genau bei dem liegt?

Comments are closed