/srv/irclogs.ubuntu.com/2016/09/21/#ubuntu-de.txt

=== tb is now known as Guest86726
=== Rochvellon is now known as Guest76452
=== taunix_ is now known as Fussel
=== vitus_ is now known as vitus
=== cpaelzer_ is now known as cpaelzer
kantemoin06:00
kanteich möchte eine live-dvd booten, kann ich in den bootoptionen grafik-optionen wie AccelMethod angeben?06:00
_-Husker-_Gute Morgen06:22
=== DeannaT3 is now known as DeannaT2
dadrcFolgender Quatsch: Umgezogen, Rechner aufgebaut, Xubuntu 14.04 mit HWE Xenial bootet nicht mehr. Friert beim Booten ein, irgendwann 08:01
dadrcPeripherie an/ab macht keinen Unterschied08:01
dadrcWindows auf dem gleichen Rechner bootet problemlos08:02
dadrcMemcheck läuft gerade, sieht aber auch gut aus08:02
dadrcUnd der Kicker: Live-CD macht genau das Gleiche08:04
BaluMöglicherweise haben sich beim Umzug irgendwelche Komponenten auf dem Motherboard gelockert. Check doch einfach mal alle Teile durch.08:08
BaluDass Windows läuft heißt noch gar nichts08:08
dadrcNaja, garnichts nicht, aber stimmt schon08:10
dadrcSobald memtest komplett durch ist, nehm ich die Kiste nochmal auseinander08:13
=== RedNifre_ is now known as RedNifre
dadrcBalu, kein schlechter Tipp: Anscheinend ist meine TV-Karte verreckt, ohne die gehs08:46
dadrcDanke =)08:46
BaluGerne :)08:46
steviehund die wird bei Linux halt mit dem Kernel initialisiert...08:51
dadrcNicht nur das, anscheinend kommt der Kernel nicht damit klar, wenn die Karte komische Dinge™ tut08:54
AnticomTag zusammen. Hab ein problem mit meiner Maschine: Alle interfaces sehen soweit gut aus aber ich komm nicht aus unserem lokalen netz raus09:05
Anticomkann zwar lokal rumpingen aber heise.de oder so fliegt auf die nase09:05
steviehkannst die 8.8.8.8 pingen?09:06
steviehist das gateway richtig eingetragen?09:06
Anticomstevieh: nop09:06
Anticomnaja die kiste hat die ganze zeit funktioniert und ich hab nix dran rumgefummelt09:07
steviehnetstat -nr und schauen.09:07
stevieh"ich hab nix dran gemacht"[tm]09:07
AnticomHatte lediglich die Namen der Verbindungen umbennant09:08
dadrcUnd: Funktioniert das Internet auf einem anderen Gerät im gleichen Netzwerk?09:08
AnticomAlso im Networkmanager09:08
Anticomsowas kann mir aber doch nicht mein Netzwerk zerballern (..oder doch?)09:08
steviehnetstat -nr und schauen09:08
Anticomdadrc: ja, alle anderen haben keine probleme09:09
steviehdoch, wenn man eine verbindung "Adolf" nennt, weigert sich der NM aus moralischen Gründen.09:09
koegsjetzt guck doch mal ordentlich mit "ip a s" und "ip r s"09:09
koegsfakten auf den tisch09:09
stevieh:-)09:09
Anticomkoegs: gibt ne default route für das interface um das es geht, aber ich kann das GW nicht anpingen09:11
Anticomeventuell antwortet das GW auch nur nicht auf pings09:11
steviehnetstat -nr09:12
koegsstevieh: nimm doch mal was aktuelles, wie z.B. "ip r s" :P09:12
steviehnix da. so modernem Zeugs trau ich nicht ;-)09:13
Anticomstevieh: was sollte ich da sehen?09:15
AnticomDie einzig interessante Zeile ist eigentlich nur "192.168.1.0    0.0.0.0    255.255.255.0    U    0    0    0"09:16
koegsdas ist das lokale netz09:16
AnticomGibt noch ne andere von 0.0.0.0 zum GW aber mit ner "Genmask" (Ist das die Subnetzmaske?) von 0.0.0.009:17
steviehund das ist auf dem richtigen IF und das gw ist welches?09:17
AnticomIst ein firmennetz, hab keine ahnung wie die was aufgesetzt haben09:17
koegsdeswegen "ip r s", das liest sich einfacher, stevieh :P09:17
steviehwie ist die IP des gateway?09:17
Anticomstevieh: und ja hab drauf geachtet, dass es um's richtige IF geht :)09:17
Anticom192.168.1.25009:18
AnticomAber das antwortet wohl nicht auf pings09:18
steviehhaste dir aus versehen die gleiche IP gegeben, wie ne andere Maschine? :-)09:18
steviehmacht man auch gerne09:18
AnticomDHCP09:18
AnticomSollte also nicht passiert sein denke ich09:19
Anticomhatte meinen Rechner gestern das letzte mal an. Wenn dann hat sich jemand anderes die gemoppst09:19
steviehdann schmeiss die verbindung doch nochmal raus und mach ne generische, dann hast du das mit den verbindungsnamen auch weg09:19
steviehalles schon gehabt.09:19
Anticomstevieh: definiere "generisch"09:19
steviehdie, die immer da ist bei kabelverbindungen09:19
AnticomHm umbenennen der Verbindung ist irgendwie doch böse09:24
AnticomWarum auch immer es deswegen geknallt hat09:24
deemdann muss aber bei dir noch mehr kaputt sein. meine vberbindung heißt auch anders und funktioniert wunderbar09:25
Anticomhm interessant... es lag wohl eher daran, dass ich das kabel vom zweiten interface gezogen hab09:28
AnticomWenn ich ein zweites interface habe, was in einem anderen netz liegen soll. Was trage ich dann da als GW ein?09:28
AnticomHatte als GW die adresse vom interface selbst angegeben (192.168.9.1 in beiden fällen)09:29
koegsam besten nix09:29
Anticomkoegs: was passiert in dem fall?09:29
koegszwei "default" gateway ohne weitere einstellungen bringt eh nur probleme09:29
koegsAnticom: es setzt kein defaul gateway, lass das Feld halt leer09:29
AnticomJap, jetzt läufts09:31
AnticomSo, dann schick ich die Kiste wieder zurück in ihren Winterschlaf09:31
Anticomdanke schonmal, bis gleich09:31
steviehdas zweite Interface hat er uns verheimlicht09:38
Anticomstevieh: ist firmengeheimnis 8)09:40
steviehdarauf beruf ich mich dann auch bei den nächsten Anfragen hier ;-)09:41
AnticomWeiß zufällig jemand, ob ich für zwei USB Keyboards unterschiedliche Tastaturlayouts fahren kann?09:41
steviehnetstat -nr hat dann aber mindestens zwei default gw gezeigt.09:41
Anticomstevieh: ja, das war mein fehler09:41
AnticomDachte wenn ich für das GW die adresse vom IF eintrage, dass es dann iwie über's lo ins andere netz schaut oder so09:42
Anticomkeine Ahnung, was ich mir dabei gedacht hatte09:42
AnticomNetzwerken war noch nie so meins...09:42
jokrebeli-tunes kriegt man unter Ubuntu problemlos zum laufen, hörte ich?09:43
Anticommit Wine vllt? :D:D:D09:43
Anticomjokrebel: https://www.lidux.de/anleitungen/34-itunes-installieren-ubuntu-linux-140409:44
k1l_jokrebel: eher geht so.09:45
Anticomk1l_: konnte der tomahawk nicht mit den iOS geräten quatschen?09:46
Anticomhab das selber nie ausprobiert aber iirc hatte jemand mal gemeint, da gäbs was09:46
k1l_das problem ist apple ändert ständig kram, damit das eben alles nicht so richtig funktioniert09:47
AnticomFrag mich eh, wer gerne angebissene äpfel mag09:47
Anticomk1l_: naja, man kann sich ja einfach android auf sein apfel-gerät schmeißen ;) http://ios.wonderhowto.com/how-to/exclusive-dual-boot-android-your-iphone-ios-7-0161123/09:48
leszekwie installiert ubiquity die sprachpakete für z.B. Libreoffice ? language-pack-de selbst schlägt ja das libreoffice-l10n-de paket nicht vor. Oder gibt es ein anderes Metapaket dass die Sprachpakete installiert ?09:49
leszekoder ist das irgendwie hardgecodet irgenwo wie die pakete heißen müssen für die verschiedenen sprachen ?09:50
leszek*irgendwo09:50
vieleFragenIch möchte Lubuntu benutzen aber ich kann die Fenster nicht automatisch Über die ganze Fläche halbieren wenn ich das Fenster an den Seitenrand schieben. Woran liegt das?11:42
vieleFragendoof ausgedrückt aber weiss jemand was ich meine?11:43
koegshat Lubuntu solch eine Funktion überhaupt?11:44
vieleFragenscheint nicht so wenn wir vom selben reden aber so tief bin ich nicth in der Materie11:45
koegssoweit ich weiß hat Lubuntu/LXDE selber solch eine Funktion nicht11:46
vieleFragenDann installiere ich das wa sich brauche dazu11:46
nagetierjo, sieht nicht so, ist aber wohl ähnlich konfigurierbar - http://askubuntu.com/questions/516303/tiling-windows-horizontally-and-vertically-under-lubuntu-lxde-openbox11:46
Anticomwürde gerne zwei keyboards auf unterschiedliche layouts mappen. Hab dazu folgenden SO thread gefunden: http://askubuntu.com/a/337364/38288311:48
Anticomleider sagt mir die ausgabe von xinput nix11:48
AnticomAlso beide Keyboards von mir haben jeweils zwei einträge11:49
Anticomund warum setzt der ein layout für das "Virtual core keyboard"11:49
nagetiervieleFragen: Du kannst auch den Windowmanager openbox austauschen11:54
=== mikemator is now known as k0s
=== k0s is now known as mikemator
=== RedNifre_ is now known as RedNifre
edikHi. Kann mir jemand bestätigen, dass "sudo" in Standard-Ubuntu-Installationen sicherheitstechnisch keinerlei Vorteile bietet? Im Prinzip geht's darum, dass ein "gehackter" nicht-root-User jederzeit zB. via eines "alias"-Befehls in der ".bashrc" eine Art Pishing-Angriff auf die "sudo"-Passworteingabe fahren kann.20:48
k1l_falsch20:48
edikWarum? Mit "gehackten" nicht-root-User meine ich nicht, dass der Angreifer bereits über das Passwort dieses Users verfügt, sondern dass er beliebigen Code über diesen User ausführen kann.20:49
k1l_wenn das system "gehackt" ist, dann ist egal ob du sudo oder nicht sudo oder user oder root hast. dann ist das system für die tonne.20:50
edikIch rede ja nicht vom gesamten System, sondern nur vom normalen User, der erst "sudo" ausführen muss, um root-Rechte zu erlangen20:51
k1l_edik: du redest von einem infiltriertem system.20:52
k1l_wenn ich beliebigen code ausführen kann, dann spare ich mir da mühsam das PW auszulesen und mache direkt den kram den ich machen will.20:52
edikWas ist, wenn ich als Angreifer aber beispielsweise eine Backdoor installieren will, die mehr kann, als der normale nicht-root-User?20:54
edikOder wenn ich auch auf die anderen Users des Gesamtsystems zugreifen will? Dafür bräuchte ich im Allgemeinen auch Root-Rechte, wenn mir sonst kein anderer Weg einfällt20:54
edikFalls das womöglich der falsche Chan ist, weiß jemand, wo ich so eine Frage am besten stellen sollte? In ##security habe ich die Frage heute auch bereits gestellt, wo die darauf folgende Diskussion auch irgendwann im Sande verlaufen ist.21:02
bekksedik: ist deine Vorraussetzung, dass der User per sudo zu root werden kann?21:03
edikJop, oder per "su".21:04
bekksWenn der User per sudo zu root werden kann, ist der Angreifer im Besitz des root Accounts.21:10
bekksFunnktioniert su (nicht sudo) als User, um per su - zu root zu werden, ist ein root Passwort gesetzt.21:10
bekksLetzeres ist definitiv keine Standardkonfiguration unter Ubuntu.21:10
edikNein, aber dass der "normale" User per sudo zum root wird, ist ja schon eine Standardkonfiguration, wenn ich mich nicht irre21:12
edikDarum macht es sicherheitstechnisch ja eigentlich fast keinen Unterschied, ob man als root oder als normaler User mit dem ganzen Desktop-Kram unterwegs ist, oder nicht?21:12
bekksRichtig. Und damit ist der Angreifer im Besitz des root Accounts und das System ist vollständig kompromittiert.21:12
bekksEs macht einen gewaltigen Unterschied.21:12
bekksDenn ohne weiteres gelangt ein Angreifer nicht in den Besitz des User-Passworts.21:13
k1l_nur der erste user ist auch sudo user. ein normaler angelegter user ist nicht automatisch auch sudo user.21:13
edikbekks: Es sei denn, er manipuliert beispielsweise die ".bashrc", setzt einen "alias sudo='~/.geheim/pishing-sudo' und erstellt mit "pishing-sudo", dass nur so tut, als wäre es sudo21:15
edikk1l_: Ok, aber es gibt ja dennoch noch genug Gründe, um einen solchen Angreifer davon abzuhalten, root zu werden21:16
steviehwenn ich das pw eines users habe, der root werden kann ist der kuchen gegessen21:16
k1l_edik: ich bin mir nicht sicher, ob die pw abfrage nicht anders geschaltet wird als wie du dir das vorstellst.21:16
bekksWird sie.21:16
bekksDein Angreifer müsste schon den Login nachbauen.21:17
k1l_edik: kannst ja mal einen testcase bauen. aber ich bin mir ziemlich sicher, dass du das nicht so einfach als user abfangen kannst.21:17
edikWeiß ich jetzt auch nicht, aber notfalls kann "pishing-sudo" auch einfach "Falsches PW, bitte neu eintippen" ausgeben und daraufhin das echte sudo starten21:17
k1l_mit root-rechten würde sowas wohl gehen, aber dann kannste auch direkt den kram ändern21:18
edikJa ich muss zugeben, dass ich das selbst noch nicht getestet habe. Allerdings habe ich die Idee von einem Blog-Artikel und auf ##security hat auch keiner bezweifelt, dass das möglich ist. Der Artikel: http://dmitry.khlebnikov.net/2015/07/should-we-use-sudo-for-day-to-day.html21:19
edikAber ich probiere es mal kurz aus, sollte eigentlich schnell gehen21:19
bekksMir ist diese Problematik in Zusammenhang mit "Desktop als root laufen lassen" schleierhaft.21:19
=== Jochen_wvdT is now known as Schlawiner
edikbekks: Damit wollte ich nur verdeutlichen, dass dieser sudo-Mechanismus auf mich gerade wie ein Sicherheitskatastrophe wirkt :D Denn sollte dieser Angriff möglich sein, gibt es *sozusagen* keinen Unterschied zwischen root und "wheel"-User.21:21
edik*gerade wie eine21:21
bekksDoch gibt es.21:21
bekksDu hast per Angriff auf den Desktop nicht das Passwort.21:21
bekksDu verwechselst da einige Dinge ;)21:22
edikWenn ich das User-Passwort via "pishing-sudo" abfange, habe ich doch das PW21:22
bekksDazu musst du aber erstmal den User angreifen, erfolgreich.21:22
edikWenn man den ganzen Tag als Root unterwegs ist, muss man auch erst einmal erfolgreich angegriffen werden. Empfohlen wird das trotzdem nicht :D21:23
bekksWas es kein bisschen sinnvoller macht, aus Faulheit bzgl. sudo den ganzen Tag als root unterwegs zu sein.21:24
edikDas will ich ja auch nicht. Ich meine nur, dass es keinen Unterschied macht, unter der Annahme, dass dieses sudo-Pishing möglich ist.21:25
bekksDann sei als non-sudo User im Netz, und gut ist.21:26
edikMir geht's nicht nur um mich. Ich will erstens wissen, ob sudo wirklich so sinnlos ist. Und falls es das ist, will ich zweitens wissen, warum fast nirgends, über diese "Sinnlosigkeit" von sudo aufgeklärt wird.21:28
edikWorst case wäre, dass man alle Dokumentationen und Tutorials entsprechend anpassen müsste21:28
edikUnd ich hab eben einen kleinen Test case gemacht. Es ist problemlos möglich eine Art "fake-sudo" via "alias" zwischenzuschalten, das zumindest die erste PW-Eingabe ablehnt und daraufhin das echte sudo startet21:34
bekksUnd jetzt?21:36
edikHabe ich scheinbar bewiesen, dass es unter Standard-Ubuntu-Desktops aus Security-Sicht praktisch keinen Unterschied macht, ob man als root oder als nicht-root unterwegs ist21:40
edikSofern mal sudo nutzt, jedenfalls21:40
bekksDann erklär mal, wie du als Angreifer an eine Usershell kommst.21:40
bekksDas ist die Vorraussetzung für deinen Angriffsvektor.21:40
bekksUnd vor allem, wie du einem eingeloggten User einen neuen Alias unterjubelst, wenn bereits eine Loginshell gestartet wurde.21:41
edikZur zweiten Frage: notfalls wartet der Angreifer bis zum nächsten Reboot21:42
edikUnd zur ersten Frage: warum ist das wichtig? Wenn der User als root unterwegs ist, muss der Angreifer auch erst einmal an eine Shell kommen.21:42
koegsUnd der wichtige Unterschied ist es ob man alles(!) Als root startet oder eben nur bei Bedarf per sudo21:43
k1ledik: wenn ich dazu komme, auf dem system sachen zu ändern, dann ist schon sehr viel kaputt.21:43
bekksDenk mal nach warum erst die erste Frage beantwortet sein muss, bevor du zur zweiten kommst.21:43
bekksIst root kompromittiert, und remote code execution möglich, brauche ich keine Shell mehr.21:44
bekksDaher: erstmal die erste Frage beantworten.21:44
edikbekks: Um sie dir direkt zu beantworten: über exploits21:44
bekksWerd doch mal genauer.21:44
edikEs werden laufend neue Sicherheitslücken publik. Soll ich sie dir jetzt alle nennen? :D21:45
bekksJa, fang mal an, mit zero day exploits zur remote user shell.21:45
bekksDu hast zehn Minuten.21:45
edikDu brauchst keine Remote User Shell. Ein kleines Schadskript reicht völlig aus21:47
edikkoegs: Das macht keinen Unterschied, wenn der Angreifer warten kann21:47
edikk1l: Was meinst du mit "auf dem System"? Ich finde nicht, dass Änderungen an Dateien im Home-Verzeichnis eines nicht-root-Users das Gesamtsystem gefährden dürfen21:50
edikBzw., das dürfen sie natürlich. Vielleicht sind sich die Maintainer dieser Lücke auch bewusst. Nur sollte man das Problem auch entsprechend anmerken und ggf. Alternativen vorschlagen21:53
bekksUnd das hast du bereits getan?21:54
tomreynsei doch mal nett, bekks :)21:56
bekksOch man. Ich habs doch versucht :D21:56
bekksAber jetzt weiß ich dass du Deutsch sprichst ;)21:56
tomreynes ist prima sowas abzuklopfen, aber gönn doch leuten mal ihren erfolgsmoment 21:56
tomreynja, ich war auch grade ganz baff :)21:57
bekks:D :D: :D21:57
tomreynich mein das ganz ernst. sowas ist wichtig, weil man sonst demotiviert wird.21:57
tomreynund ich find es super wenn es mehr und mehr leute gibt die den diungen auf den grund gehen.21:58
tomreyngenau wie du.21:58
tomreyn(aber ja, die unterstützung bei der einordnung von (ggf. vermeintlichen) findings ist auch sehr wichtig, wahrscheinlich sogar wichtiger)22:01
bekksIch habs wirklich nicht böse gemeint, vielleicht kam das so rüber. Ich werde netter sein, in Zukunft - auch bei kritischen Nachfragen :)22:01
tomreyn'böse' war's ja auch nicht, und die tendenz dazu die 'gegenrede' zu ernst zu nehmen hab ich auch. mir fiel nur grade auf dass jemand anderes es genauso zu ernst nimmt wie ich manchmal. :)22:03
* tomreyn zurück ins grundrauschen22:05
bekksACK SYN :)22:05
edikö.ö Da hat man kurz einen Inet-Ausfall22:05
edikKann mir jemand sagen, was meine letzte Nachricht war? Und, falls es von euch anschließende Nachrichten gab, kann die mir wer schicken? xD22:06
bekks0921 235303 < edik> Bzw., das dürfen sie natürlich. Vielleicht sind sich die Maintainer dieser Lücke auch bewusst. Nur sollte man das Problem auch entsprechend anmerken und ggf. Alternativen vorschlagen22:06
bekks0921 235409 < bekks> Und das hast du bereits getan?22:06
edikJop, die habe ich noch mitbekommen. Von mir kam da noch: (23:57:31) edik: Ich dachte, dass ich den Maintainern der offiziellen Doku's lieber keine Mails schreibe, bevor ich das Problem von anderen bestätigt bekommen habe. Oder irgendwelche Infos von offizieller Seite kriege. Das Problem erschien mir so offensichtlich, dass ich es für unwahrscheinlich hielt, Recht zu haben.22:07
bekksDann mach deganu das, schreib den Maintainern. Wenn das theoretische Problem bekannt ist, werden sie dir das sicher sagen. Wie man damit um geht, werden sie dir sicher auch sagen.22:09
bekksEvery feedback is a good feedback.22:10
bekksMan muss ja nicht gleich einen Patch einreichen, nur weil man Dinge hinterfragt.22:10
bekks*mach genau das22:10
edikHm nagut. Dann danke für die Infos22:13
edikdann mach ich das auch, denke ich22:13
=== ziprar is now known as zipace

Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!