• 08621 - 9 88 30 88

Autor-Archiv cubewerk

Voncubewerk

Disable Edge developer tools F12

Neuer oder alter Edge? 🙂

Der neue auf Chromium-Basis kann mit vorgefertigen MS-policy-files konfiguriert werden.

Gibt es hier:

https://www.microsoft.com/en-us/edge/business/download (get policy files)

Für den „alten“ Edge, welcher in Version 44.X aktuell in win10 verfügbar ist, gibt es noch keine schönen GPOs, hier hilft folgender Registry-Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\F12

AllowDeveloperTools auf 0 setzen.

Quelle: u.A.: https://social.technet.microsoft.com/Forums/ie/en-US/275dd263-8b88-498f-901f-43e9b05a4cb2/f12-developer-tools?forum=win10itprogeneral

Voncubewerk

Neues Förderprogramm Digitalisierung ab 07.09.2020

Sehr geehrte Damen und Herren,


die Bundesregierung bietet ab 07. September ein sehr interessantes Förderprogramm für die Digitalisierung im Mittelstand.


Die Förderung wird als Zuschuss gewährt, der nicht zurückgezahlt werden muss.


Die Zuschusshöhe hängt ab von Ihrer Mitarbeiterzahl.

  • Bis 50 Beschäftigte: bis zu 50 %
  • Bis 250 Beschäftigte: bis zu 45 %
  • Bis 499 Beschäftigte: bis zu 40 %


Die Maßnahmen müssen einen Mindestbetrag erreichen, damit dieser förderfähig ist.


Für digitale Technologien mindestens 17.000 € und für die Qualifizierung der Mitarbeiter mindestens 3.000 €.


Bitte beachten Sie, dass durch die richtige Antragstellung auch weitere Leistungen mit Bezug zur IT/Digitalisierung förderfähig werden können.


Besonders dringende Investitionen erhalten zusätzliche Förderprozentpunkte (z. B. IT-Sicherheit, Firewall, Mitarbeiterschulungen, Datenschutz).


Gefördert werden ausschließlich zukünftige Leistungen / Projekte, ab/nach Antragstellung. Eine rückwirkende Inanspruchnahme ist nicht möglich.


Für interessierte Unternehmen bieten wir ab sofort ein Projektierungspaket Digitalisierung an.


Dies umfasst im Umfang von 1 Beratungsstunde die Bedarfsermittlung, Ausarbeitung geeigneter Antragsunterlagen und Unterstützung bei der Antragsstellung.


Das Projektierungspaket Digitalisierung kostet 175,00 € zzgl. MwSt.


Bitte beachten Sie, dass die Zeit drängt, da bereits am 07.09 die Antragsstellung beginnt und eine sehr hohe Anzahl von Anfragen an die Bundesregierung zu erwarten ist.

Ich freue mich auf Ihre Anfragen.

Stefan Bauer

Voncubewerk

securePostfach wird noch sicherer

Liebe Partner und Kunden,

wie kürzlich den Medien¹ zu entnehmen, wurden neuartige Angriffswege über manipulierte PDF-Dateien entdeckt. Hierbei nutzen Angreifer versteckte Möglichkeiten in PDF-Dateien, um im Hintergrund – beim Öffnen oder Drucken der PDF-Datei – schadhafte Befehle an Ihr System abzugeben.

Um derartige Auffälligkeiten in PDF-Dateien zu erkennen, hat cubewerk die letzten Tage einschlägigen Schadcode der Hacker analysiert und eigene Viren-Signaturen für securePostfach – den hauseigenen AntiSpam und AntiVirus-Filter – erstellt. Alle gängigen AV-Hersteller werden hierzu vermutlich keine Signaturupdates liefern, da es sich um legitime Funktionen im PDF-Format handelt, die jetzt jedoch mißbraucht werden.

¹ https://www.heise.de/news/Vom-DoS-bis-zum-Datenklau-Angriffe-ueber-PDF-Dokumente-4866708.html

Mit freundlichen Grüßen

Stefan Bauer

Voncubewerk

Eigene clamav Signaturen erstellen

Vorwort:

Ganz abstrakt kann clamav als ein Tool betrachtet werden, welches Dateien auf Auffälligkeiten prüft. Auffällig ist alles, was vorher über Signaturdateien einmal definiert wurde. Sei es durch einen Hash einer ganzen Datei, ein bestimmtes Wort in einer Datei oder eine URL o.Ä.

Die clamav-Signaturdateien liegen unter /var/lib/clamav und haben Endungen wie .db .clv, .ndb oder .ldb.

In diesen Dateien kann ganz banal, ein Hash-Wert einer Datei definiert werden. Taucht diese Datei irgendwo nochmal auf, schlägt clamav Alarm.

Ein sehr bekanntes und offizielles „Hash-Netzwerk“ betreibt Google mit seinem Dienst VirusTotal.

Große Liste mit Milliarden von Hash-Werten. Jeweils immer ein Wert pro eindeutiger Datei.

Eigene Signaturen erstellen:

sigtool –md5 BAD.file > test.hdb
more test.hdb
abc4da58da538155e15982be5ef83c52:126:BAD.file

clamscan -d test.hdb BAD.file
/root/BAD.file: BAD.file.UNOFFICIAL FOUND

———– SCAN SUMMARY ———–
Known viruses: 1
Engine version: 0.102.4
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 0.004 sec (0 m 0 s)

Läuft. Eigene Signaturen erstellen für Datei-Hashes ist jedoch für den Arsch. Da sind die großen Anbieter schneller und besser. Lohnt sich nicht.

Was sich jedoch lohnt sind z. B. individuelle URLs, Textzeichen o.Ä. de gerade eben eine spezielle Datei ausmachen.

Wie läufts?

SIG=echo -n "another bad string" | sigtool --hex-dump && echo "sig1=$SIG" > test.db

1, Schreibt die Zeichenfolge „another bad string“ temporär in eine Variable $SIG
2, Ruft das clamav-Tool ’sigtool‘ zur Signaturerstellung auf, welches nur aus einem gegebenen Text (kommt durch das echo…) das ganze in HEX-Code umwandelt und abschließend mit einer vorangehenden Bezeichnung gebündelt in die Ausgabedatei (test.db) schreibt.

Wie siehts aus?

more test.db
sig1=616e6f746865722062616420737472696e670a

Wie gehts weiter?

clamav-Mailingliste abbonieren
Kommentar hinterlassen

Voncubewerk

Warum das Großraumbüro nicht sterben darf!

Keine Angst, ich spare Ihnen Statistiken und psychologische Gutachten – offene Augen reichen in der Regel, Phänomene und Verhalten festzuhalten.

Das HomeOffice hat die Masse erreicht. Durch Corona hat sich vieles in die eigenen Wände verlagert. Aber einfach abschalten nach Feierabend? Schwer – die Arbeit klingt nach. Da fällt mir ein Erlebnis ein. Nach zwei Jahren Projektarbeit in Hamburg entschloss ich mich im darauffolgenden Jahr in Hamburg Urlaub zu machen und buchte das selbe Hotel wie damals. Man kennt sich ja aus dort. Keine gute Idee. Auch wenn die Arbeit großen Spaß gemacht hat, ich konnte den Gedanken nicht ablegen, jeden Tag berufliche Verpflichtungen erfüllen zu müssen – im Urlaub versteht sich.

Also – räumliche Trennung ganz wichtig. Was ich jetzt ebenso feststelle ist, dass der Flurfunk und speziell der Austausch und die persönliche Besprechung stark darunter leidet. Hier konkret zwei Beispiele. Vorab – natürlich gibt es Telefon und Videochat.

1. Gespräche die auf den ersten Blick nicht arbeitsbezogen sind – also aus Sicht des Arbeitgebers unproduktiv – finden fast nicht mehr statt. Ich sehe dies in sämtlichen kreativen Berufen als ein großes Problem. Speziell aber überall, wo man über den Tellerrand schauen muss bzw. sollte. Der menschliche Einfluss auf die eigenen Sichtweisen ist sehr wichtig – für mich jedenfalls. Ohne kritischen Austausch wird man nicht besser.

2. Spannungen / Unklarheiten können zwar verbal besprochen werden, jeder weiß aber, dass Kommunikation aus deutlich mehr besteht. Da fällt aktuell einiges hinten „runter“. Zum großen Nachteil für alle Beziehungen. Und auf die kommt es im beruflichen Umfeld genauso an.

Großraumbüros haben hier – wenn die Lautstärke akzeptabel ist – einige offensichtliche Vorteile. Da es aber mehr wie schwarz / weiß gibt (Büro oder Homeoffice), möchte ich eine Lanze für die noch neue Arbeitsform Coworking brechen. Meint, das bewusste Zusammenarbeiten an einer zentralen Stelle mit offenen Menschen aus unterschiedlichen Branchen / Bereichen. Man hat nicht zwingend einen festen Schreibtisch, aber findet immer einen Platz, Infrastruktur wird geteilt (teilen statt einzeln kaufen) und neue Partnerschaften und Beziehungen entstehen.

Soll jetzt das HomeOffice sterben? Ich finde nicht. Brauchen unsere Arbeitsmodelle eine Erfrischungskur? Auf jeden Fall.

Meinungen dazu? Gerne im Kommentar.

Stefan (der gerade diesen Beitrag aus dem ersten Coworking-Space in Trostberg schreibt).

Voncubewerk

Betriebsurlaub & erster Coworking-Space in Trostberg

cubewerk macht Betriebsurlaub vom 24.08.2020 bis einschließlich 04.09.2020. Falls in dieser Zeit dringende IT-Projekte oder Umstellungen geplant sind, finden wir sicher eine Lösung. Rufen Sie mich dazu einfach an. Für Kunden mit gültigem Wartungsvertrag stehen wir auch innerhalb der Urlaubszeit per E-Mail zur Verfügung. Bitte beachten Sie jedoch, dass wir aufgrund der reduzierten Personalstärke in der Urlaubszeit, Anfragen mit geringerer Priorität u. U. erst nach unserem Urlaub beantworten können.

Weiter darf ich stolz verkünden, dass cubewerk als erster Betreiber in Trostberg und Umgebung, einen Coworking-Space anbietet.

Was ist Coworking?

Coworking ist eine neue Art zu arbeiten und dient dem regelmäßigen Erfahrungsaustausch im Büro. Sie können sich für eine frei definierbare Zeit in unseren Space (Büro) einbuchen, die vorhandene Infrastruktur (Strom, Küche, Besprechungsraum, WLAN, Möbel, Reinigungsservice) mitbenutzen und sofort losarbeiten. Optional kann ein PKW-Stellplatz, fester Briefkasten oder eine Ortsrufnummer inkl. Telefon dazu gebucht werden.

Interesse? Rufen Sie mich einfach an.

Ihr Stefan Bauer

Voncubewerk

megacli read error even though disks look sane

So war das heute. Raid1 am megacli controller, Platten melden keine Fehler, Raid ist im State Optimal, aber beim Lesen vom Raid, gibts böße Lesefehler ala

Jul 17 01:50:41 proxmox kernel: [823927.983471] print_req_error: critical medium error, dev sda, sector 42304176
Jul 17 01:50:42 proxmox kernel: [823928.998920] sd 0:2:0:0: [sda] tag#0 FAILED Result: hostbyte=DID_OK driverbyte=DRIVER_SENSE
Jul 17 01:50:42 proxmox kernel: [823928.998933] sd 0:2:0:0: [sda] tag#0 Sense Key : Medium Error [current]
Jul 17 01:50:42 proxmox kernel: [823928.998935] sd 0:2:0:0: [sda] tag#0 Add. Sense: Unrecovered read error

smartctl zeigt keine Auffälligkeiten der Platten.

root@proxmox:~# megacli -LDInfo -LAll -aAll

Adapter 0 — Virtual Drive Information:
Virtual Drive: 0 (Target Id: 0)
Bad Blocks Exist: Yes

Und die ehemaligen Bad-Blocks waren das Problem. Zu lösen mit reset des Zählers.

megacli -LDBBMClr -L0 -a0

Details: https://serverfault.com/questions/441013/bad-blocks-exist-in-virtual-device-perc-h700-integrated

Voncubewerk

Exchange interne und extern Zertifikate – best practice

In den meisten Fälle hängt der Exchange mit dem Arsch im Internet und präsentiert anderen Mailservern ggü. sein gültiges SSL-Zertifikat was auf den FQDN ausgestellt wurde.

Für die interne Kommunikation des Exchange jedoch, ist ein zusätzliches und in der Regel selbst-signiertes Zertifikat nötig. Itt das nicht (mehr) vorhanden, findet sich im Event-Log:

Exchange was unable to load certificate EX01.KUNDENNAME.INTERN. More information: Is FrontEnd Proxy enabled: false. Original backend Server: EX01.KUNDENNAME.INTERN. Send Connector Name from the original request: Postfachproxy-Sendeconnector.

oder aber auch:

Microsoft Exchange could not find a certificate that contains the domain name EX01.KUNDENNAME.INTERN in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Client Proxy EX01 with a FQDN parameter of EX01.KUNDENNAME.INTERN. If the connector’s FQDN is not specified, the computer’s FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.

Was tun? Selbstsigniertes Zertifikat für internen FQDN ausstellen über EAC:

Server -> Zertifikate -> NEU -> Selbstsigniertes Zertifikat erstellen ->

Anzeigename: EX01.KUNDENNAME.INTERN

Exchange-Server auswählen

Jetzt kommt der wichtige Part. in der nächsten Auswahllliste, nur weiter und jetzt GAAANZ WICHTIG: Alles abwählen, was über das öffentliche Zertifikat bereits bedient wird. In der Liste darf dann nur noch EX01 stehen sowie EX01.KUNDENNAME.INTERN

Wenn erstellt ab auf die Exchange Shell und mit …

„Get-ExchangeCertificate“

Thumbprints auslesen aller Zertifiakte, merken vom internen selbstsignierten und mit … scharf schalten für SMTP:

"Enable-ExchangeCertificate -Thumbprint HIER-THUMBPRINT-ID-OHNE-ANFUEHRUNGSZEICHEN -Services SMTP"

Jetzt Event-Log weiter beobachten.

Voncubewerk

backy2 mit ceph lessions learned

Backy2 ist eigenständiges Skript, welches mit ceph interagiert.
Empfehlung: Eigene VM ausreichend am Anfang

Installation: Debiansystem, ceph-tools, backy2 mit Abhängigkeiten, möglichst nah an den Ceph-Versionen vom Ceph-System bei backy

backy2 bekommt vorhandene Ceph-Konfiguration von vorhandenen Knoten (alle configs sind gleich)

Backy bekommt zur Ceph-Anmeldung einen ceph-keyring, hier können die Rechte beschnitten werden
z. B. VMs dürfen nicht gelöscht werden o. Ä. Einschränkungen

Technischer Ablauf:

  • backy erstellt per ceph-Befehl einen snapshot einer VM
  • Blöcke aus der VM werden abgeholt, de-dupliziert, optional verschlüsselt und auf NFS-Share abgelegt
  • snapshot wird gelöscht

Bei der nächsten Sicherung wird erneut geprüft, ob ein vorhandener Snapshot auf dem Ceph-Store, schon lokal als Sicherung existiert, dann kann gegen diesen Snapshot, ceph selbst einen diff machen und meldet nur die geänderten Blöcke als JSON-Ausgabe.

backy holt dann nur die geänderten Blöcke ab und speichert sie, was erheblich schneller geht.

Wissenswertes:

  • backy2 braucht ab 1TB Backupgröße eine lokale sql-datenbank
  • die sql-datenbank wird nach der Sicherung in csv-datei exportiert und landet mit auf dem Backupstore
  • hat eine VM mehr als eine Platte, muss Sicherungsskript überarbeitet werden
  • backy bietet ein nachgelagertes scrubbing-Skript welches die Konsistenz der Datensicherung prüft – dies ist umso wichtige, da backy auf dem NFS-Share, jeden Datenblock nur einmal vorrätig hat und nicht wie bei mehreren Vollsicherung, mehrmals die selben Daten vorliegen.
Voncubewerk

Ubuntu openvpn ignoriert DNS-Settings

Settings prüfen mit systemd-resolve –status

Es war bei uns wichtig, dass der DNS-Server auch eine Domain mitliefert. Nur DNS selbst, hat openvpn ignoriert:

Link 29 (tun0)
Current Scopes: DNS
LLMNR setting: yes
MulticastDNS setting: no
DNSSEC setting: no
DNSSEC supported: no
DNS Servers: 192.168.0.1
DNS Domain: ~.

Ja, wir haben hier konkret auf VPN-Serverseite, als Domain ‚~.‘ gesetzt.