=== tb is now known as Guest86726 === Rochvellon is now known as Guest76452 === taunix_ is now known as Fussel === vitus_ is now known as vitus === cpaelzer_ is now known as cpaelzer [06:00] moin [06:00] ich möchte eine live-dvd booten, kann ich in den bootoptionen grafik-optionen wie AccelMethod angeben? [06:22] <_-Husker-_> Gute Morgen === DeannaT3 is now known as DeannaT2 [08:01] Folgender Quatsch: Umgezogen, Rechner aufgebaut, Xubuntu 14.04 mit HWE Xenial bootet nicht mehr. Friert beim Booten ein, irgendwann [08:01] Peripherie an/ab macht keinen Unterschied [08:02] Windows auf dem gleichen Rechner bootet problemlos [08:02] Memcheck läuft gerade, sieht aber auch gut aus [08:04] Und der Kicker: Live-CD macht genau das Gleiche [08:08] Möglicherweise haben sich beim Umzug irgendwelche Komponenten auf dem Motherboard gelockert. Check doch einfach mal alle Teile durch. [08:08] Dass Windows läuft heißt noch gar nichts [08:10] Naja, garnichts nicht, aber stimmt schon [08:13] Sobald memtest komplett durch ist, nehm ich die Kiste nochmal auseinander === RedNifre_ is now known as RedNifre [08:46] Balu, kein schlechter Tipp: Anscheinend ist meine TV-Karte verreckt, ohne die gehs [08:46] Danke =) [08:46] Gerne :) [08:51] und die wird bei Linux halt mit dem Kernel initialisiert... [08:54] Nicht nur das, anscheinend kommt der Kernel nicht damit klar, wenn die Karte komische Dinge™ tut [09:05] Tag zusammen. Hab ein problem mit meiner Maschine: Alle interfaces sehen soweit gut aus aber ich komm nicht aus unserem lokalen netz raus [09:05] kann zwar lokal rumpingen aber heise.de oder so fliegt auf die nase [09:06] kannst die 8.8.8.8 pingen? [09:06] ist das gateway richtig eingetragen? [09:06] stevieh: nop [09:07] naja die kiste hat die ganze zeit funktioniert und ich hab nix dran rumgefummelt [09:07] netstat -nr und schauen. [09:07] "ich hab nix dran gemacht"[tm] [09:08] Hatte lediglich die Namen der Verbindungen umbennant [09:08] Und: Funktioniert das Internet auf einem anderen Gerät im gleichen Netzwerk? [09:08] Also im Networkmanager [09:08] sowas kann mir aber doch nicht mein Netzwerk zerballern (..oder doch?) [09:08] netstat -nr und schauen [09:09] dadrc: ja, alle anderen haben keine probleme [09:09] doch, wenn man eine verbindung "Adolf" nennt, weigert sich der NM aus moralischen Gründen. [09:09] jetzt guck doch mal ordentlich mit "ip a s" und "ip r s" [09:09] fakten auf den tisch [09:09] :-) [09:11] koegs: gibt ne default route für das interface um das es geht, aber ich kann das GW nicht anpingen [09:11] eventuell antwortet das GW auch nur nicht auf pings [09:12] netstat -nr [09:12] stevieh: nimm doch mal was aktuelles, wie z.B. "ip r s" :P [09:13] nix da. so modernem Zeugs trau ich nicht ;-) [09:15] stevieh: was sollte ich da sehen? [09:16] Die einzig interessante Zeile ist eigentlich nur "192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0" [09:16] das ist das lokale netz [09:17] Gibt noch ne andere von 0.0.0.0 zum GW aber mit ner "Genmask" (Ist das die Subnetzmaske?) von 0.0.0.0 [09:17] und das ist auf dem richtigen IF und das gw ist welches? [09:17] Ist ein firmennetz, hab keine ahnung wie die was aufgesetzt haben [09:17] deswegen "ip r s", das liest sich einfacher, stevieh :P [09:17] wie ist die IP des gateway? [09:17] stevieh: und ja hab drauf geachtet, dass es um's richtige IF geht :) [09:18] 192.168.1.250 [09:18] Aber das antwortet wohl nicht auf pings [09:18] haste dir aus versehen die gleiche IP gegeben, wie ne andere Maschine? :-) [09:18] macht man auch gerne [09:18] DHCP [09:19] Sollte also nicht passiert sein denke ich [09:19] hatte meinen Rechner gestern das letzte mal an. Wenn dann hat sich jemand anderes die gemoppst [09:19] dann schmeiss die verbindung doch nochmal raus und mach ne generische, dann hast du das mit den verbindungsnamen auch weg [09:19] alles schon gehabt. [09:19] stevieh: definiere "generisch" [09:19] die, die immer da ist bei kabelverbindungen [09:24] Hm umbenennen der Verbindung ist irgendwie doch böse [09:24] Warum auch immer es deswegen geknallt hat [09:25] dann muss aber bei dir noch mehr kaputt sein. meine vberbindung heißt auch anders und funktioniert wunderbar [09:28] hm interessant... es lag wohl eher daran, dass ich das kabel vom zweiten interface gezogen hab [09:28] Wenn ich ein zweites interface habe, was in einem anderen netz liegen soll. Was trage ich dann da als GW ein? [09:29] Hatte als GW die adresse vom interface selbst angegeben (192.168.9.1 in beiden fällen) [09:29] am besten nix [09:29] koegs: was passiert in dem fall? [09:29] zwei "default" gateway ohne weitere einstellungen bringt eh nur probleme [09:29] Anticom: es setzt kein defaul gateway, lass das Feld halt leer [09:31] Jap, jetzt läufts [09:31] So, dann schick ich die Kiste wieder zurück in ihren Winterschlaf [09:31] danke schonmal, bis gleich [09:38] das zweite Interface hat er uns verheimlicht [09:40] stevieh: ist firmengeheimnis 8) [09:41] darauf beruf ich mich dann auch bei den nächsten Anfragen hier ;-) [09:41] Weiß zufällig jemand, ob ich für zwei USB Keyboards unterschiedliche Tastaturlayouts fahren kann? [09:41] netstat -nr hat dann aber mindestens zwei default gw gezeigt. [09:41] stevieh: ja, das war mein fehler [09:42] Dachte wenn ich für das GW die adresse vom IF eintrage, dass es dann iwie über's lo ins andere netz schaut oder so [09:42] keine Ahnung, was ich mir dabei gedacht hatte [09:42] Netzwerken war noch nie so meins... [09:43] i-tunes kriegt man unter Ubuntu problemlos zum laufen, hörte ich? [09:43] mit Wine vllt? :D:D:D [09:44] jokrebel: https://www.lidux.de/anleitungen/34-itunes-installieren-ubuntu-linux-1404 [09:45] jokrebel: eher geht so. [09:46] k1l_: konnte der tomahawk nicht mit den iOS geräten quatschen? [09:46] hab das selber nie ausprobiert aber iirc hatte jemand mal gemeint, da gäbs was [09:47] das problem ist apple ändert ständig kram, damit das eben alles nicht so richtig funktioniert [09:47] Frag mich eh, wer gerne angebissene äpfel mag [09:48] k1l_: naja, man kann sich ja einfach android auf sein apfel-gerät schmeißen ;) http://ios.wonderhowto.com/how-to/exclusive-dual-boot-android-your-iphone-ios-7-0161123/ [09:49] wie installiert ubiquity die sprachpakete für z.B. Libreoffice ? language-pack-de selbst schlägt ja das libreoffice-l10n-de paket nicht vor. Oder gibt es ein anderes Metapaket dass die Sprachpakete installiert ? [09:50] oder ist das irgendwie hardgecodet irgenwo wie die pakete heißen müssen für die verschiedenen sprachen ? [09:50] *irgendwo [11:42] Ich möchte Lubuntu benutzen aber ich kann die Fenster nicht automatisch Über die ganze Fläche halbieren wenn ich das Fenster an den Seitenrand schieben. Woran liegt das? [11:43] doof ausgedrückt aber weiss jemand was ich meine? [11:44] hat Lubuntu solch eine Funktion überhaupt? [11:45] scheint nicht so wenn wir vom selben reden aber so tief bin ich nicth in der Materie [11:46] soweit ich weiß hat Lubuntu/LXDE selber solch eine Funktion nicht [11:46] Dann installiere ich das wa sich brauche dazu [11:46] jo, sieht nicht so, ist aber wohl ähnlich konfigurierbar - http://askubuntu.com/questions/516303/tiling-windows-horizontally-and-vertically-under-lubuntu-lxde-openbox [11:48] würde gerne zwei keyboards auf unterschiedliche layouts mappen. Hab dazu folgenden SO thread gefunden: http://askubuntu.com/a/337364/382883 [11:48] leider sagt mir die ausgabe von xinput nix [11:49] Also beide Keyboards von mir haben jeweils zwei einträge [11:49] und warum setzt der ein layout für das "Virtual core keyboard" [11:54] vieleFragen: Du kannst auch den Windowmanager openbox austauschen === mikemator is now known as k0s === k0s is now known as mikemator === RedNifre_ is now known as RedNifre [20:48] Hi. Kann mir jemand bestätigen, dass "sudo" in Standard-Ubuntu-Installationen sicherheitstechnisch keinerlei Vorteile bietet? Im Prinzip geht's darum, dass ein "gehackter" nicht-root-User jederzeit zB. via eines "alias"-Befehls in der ".bashrc" eine Art Pishing-Angriff auf die "sudo"-Passworteingabe fahren kann. [20:48] falsch [20:49] Warum? Mit "gehackten" nicht-root-User meine ich nicht, dass der Angreifer bereits über das Passwort dieses Users verfügt, sondern dass er beliebigen Code über diesen User ausführen kann. [20:50] wenn das system "gehackt" ist, dann ist egal ob du sudo oder nicht sudo oder user oder root hast. dann ist das system für die tonne. [20:51] Ich rede ja nicht vom gesamten System, sondern nur vom normalen User, der erst "sudo" ausführen muss, um root-Rechte zu erlangen [20:52] edik: du redest von einem infiltriertem system. [20:52] wenn ich beliebigen code ausführen kann, dann spare ich mir da mühsam das PW auszulesen und mache direkt den kram den ich machen will. [20:54] Was ist, wenn ich als Angreifer aber beispielsweise eine Backdoor installieren will, die mehr kann, als der normale nicht-root-User? [20:54] Oder wenn ich auch auf die anderen Users des Gesamtsystems zugreifen will? Dafür bräuchte ich im Allgemeinen auch Root-Rechte, wenn mir sonst kein anderer Weg einfällt [21:02] Falls das womöglich der falsche Chan ist, weiß jemand, wo ich so eine Frage am besten stellen sollte? In ##security habe ich die Frage heute auch bereits gestellt, wo die darauf folgende Diskussion auch irgendwann im Sande verlaufen ist. [21:03] edik: ist deine Vorraussetzung, dass der User per sudo zu root werden kann? [21:04] Jop, oder per "su". [21:10] Wenn der User per sudo zu root werden kann, ist der Angreifer im Besitz des root Accounts. [21:10] Funnktioniert su (nicht sudo) als User, um per su - zu root zu werden, ist ein root Passwort gesetzt. [21:10] Letzeres ist definitiv keine Standardkonfiguration unter Ubuntu. [21:12] Nein, aber dass der "normale" User per sudo zum root wird, ist ja schon eine Standardkonfiguration, wenn ich mich nicht irre [21:12] Darum macht es sicherheitstechnisch ja eigentlich fast keinen Unterschied, ob man als root oder als normaler User mit dem ganzen Desktop-Kram unterwegs ist, oder nicht? [21:12] Richtig. Und damit ist der Angreifer im Besitz des root Accounts und das System ist vollständig kompromittiert. [21:12] Es macht einen gewaltigen Unterschied. [21:13] Denn ohne weiteres gelangt ein Angreifer nicht in den Besitz des User-Passworts. [21:13] nur der erste user ist auch sudo user. ein normaler angelegter user ist nicht automatisch auch sudo user. [21:15] bekks: Es sei denn, er manipuliert beispielsweise die ".bashrc", setzt einen "alias sudo='~/.geheim/pishing-sudo' und erstellt mit "pishing-sudo", dass nur so tut, als wäre es sudo [21:16] k1l_: Ok, aber es gibt ja dennoch noch genug Gründe, um einen solchen Angreifer davon abzuhalten, root zu werden [21:16] wenn ich das pw eines users habe, der root werden kann ist der kuchen gegessen [21:16] edik: ich bin mir nicht sicher, ob die pw abfrage nicht anders geschaltet wird als wie du dir das vorstellst. [21:16] Wird sie. [21:17] Dein Angreifer müsste schon den Login nachbauen. [21:17] edik: kannst ja mal einen testcase bauen. aber ich bin mir ziemlich sicher, dass du das nicht so einfach als user abfangen kannst. [21:17] Weiß ich jetzt auch nicht, aber notfalls kann "pishing-sudo" auch einfach "Falsches PW, bitte neu eintippen" ausgeben und daraufhin das echte sudo starten [21:18] mit root-rechten würde sowas wohl gehen, aber dann kannste auch direkt den kram ändern [21:19] Ja ich muss zugeben, dass ich das selbst noch nicht getestet habe. Allerdings habe ich die Idee von einem Blog-Artikel und auf ##security hat auch keiner bezweifelt, dass das möglich ist. Der Artikel: http://dmitry.khlebnikov.net/2015/07/should-we-use-sudo-for-day-to-day.html [21:19] Aber ich probiere es mal kurz aus, sollte eigentlich schnell gehen [21:19] Mir ist diese Problematik in Zusammenhang mit "Desktop als root laufen lassen" schleierhaft. === Jochen_wvdT is now known as Schlawiner [21:21] bekks: Damit wollte ich nur verdeutlichen, dass dieser sudo-Mechanismus auf mich gerade wie ein Sicherheitskatastrophe wirkt :D Denn sollte dieser Angriff möglich sein, gibt es *sozusagen* keinen Unterschied zwischen root und "wheel"-User. [21:21] *gerade wie eine [21:21] Doch gibt es. [21:21] Du hast per Angriff auf den Desktop nicht das Passwort. [21:22] Du verwechselst da einige Dinge ;) [21:22] Wenn ich das User-Passwort via "pishing-sudo" abfange, habe ich doch das PW [21:22] Dazu musst du aber erstmal den User angreifen, erfolgreich. [21:23] Wenn man den ganzen Tag als Root unterwegs ist, muss man auch erst einmal erfolgreich angegriffen werden. Empfohlen wird das trotzdem nicht :D [21:24] Was es kein bisschen sinnvoller macht, aus Faulheit bzgl. sudo den ganzen Tag als root unterwegs zu sein. [21:25] Das will ich ja auch nicht. Ich meine nur, dass es keinen Unterschied macht, unter der Annahme, dass dieses sudo-Pishing möglich ist. [21:26] Dann sei als non-sudo User im Netz, und gut ist. [21:28] Mir geht's nicht nur um mich. Ich will erstens wissen, ob sudo wirklich so sinnlos ist. Und falls es das ist, will ich zweitens wissen, warum fast nirgends, über diese "Sinnlosigkeit" von sudo aufgeklärt wird. [21:28] Worst case wäre, dass man alle Dokumentationen und Tutorials entsprechend anpassen müsste [21:34] Und ich hab eben einen kleinen Test case gemacht. Es ist problemlos möglich eine Art "fake-sudo" via "alias" zwischenzuschalten, das zumindest die erste PW-Eingabe ablehnt und daraufhin das echte sudo startet [21:36] Und jetzt? [21:40] Habe ich scheinbar bewiesen, dass es unter Standard-Ubuntu-Desktops aus Security-Sicht praktisch keinen Unterschied macht, ob man als root oder als nicht-root unterwegs ist [21:40] Sofern mal sudo nutzt, jedenfalls [21:40] Dann erklär mal, wie du als Angreifer an eine Usershell kommst. [21:40] Das ist die Vorraussetzung für deinen Angriffsvektor. [21:41] Und vor allem, wie du einem eingeloggten User einen neuen Alias unterjubelst, wenn bereits eine Loginshell gestartet wurde. [21:42] Zur zweiten Frage: notfalls wartet der Angreifer bis zum nächsten Reboot [21:42] Und zur ersten Frage: warum ist das wichtig? Wenn der User als root unterwegs ist, muss der Angreifer auch erst einmal an eine Shell kommen. [21:43] Und der wichtige Unterschied ist es ob man alles(!) Als root startet oder eben nur bei Bedarf per sudo [21:43] edik: wenn ich dazu komme, auf dem system sachen zu ändern, dann ist schon sehr viel kaputt. [21:43] Denk mal nach warum erst die erste Frage beantwortet sein muss, bevor du zur zweiten kommst. [21:44] Ist root kompromittiert, und remote code execution möglich, brauche ich keine Shell mehr. [21:44] Daher: erstmal die erste Frage beantworten. [21:44] bekks: Um sie dir direkt zu beantworten: über exploits [21:44] Werd doch mal genauer. [21:45] Es werden laufend neue Sicherheitslücken publik. Soll ich sie dir jetzt alle nennen? :D [21:45] Ja, fang mal an, mit zero day exploits zur remote user shell. [21:45] Du hast zehn Minuten. [21:47] Du brauchst keine Remote User Shell. Ein kleines Schadskript reicht völlig aus [21:47] koegs: Das macht keinen Unterschied, wenn der Angreifer warten kann [21:50] k1l: Was meinst du mit "auf dem System"? Ich finde nicht, dass Änderungen an Dateien im Home-Verzeichnis eines nicht-root-Users das Gesamtsystem gefährden dürfen [21:53] Bzw., das dürfen sie natürlich. Vielleicht sind sich die Maintainer dieser Lücke auch bewusst. Nur sollte man das Problem auch entsprechend anmerken und ggf. Alternativen vorschlagen [21:54] Und das hast du bereits getan? [21:56] sei doch mal nett, bekks :) [21:56] Och man. Ich habs doch versucht :D [21:56] Aber jetzt weiß ich dass du Deutsch sprichst ;) [21:56] es ist prima sowas abzuklopfen, aber gönn doch leuten mal ihren erfolgsmoment [21:57] ja, ich war auch grade ganz baff :) [21:57] :D :D: :D [21:57] ich mein das ganz ernst. sowas ist wichtig, weil man sonst demotiviert wird. [21:58] und ich find es super wenn es mehr und mehr leute gibt die den diungen auf den grund gehen. [21:58] genau wie du. [22:01] (aber ja, die unterstützung bei der einordnung von (ggf. vermeintlichen) findings ist auch sehr wichtig, wahrscheinlich sogar wichtiger) [22:01] Ich habs wirklich nicht böse gemeint, vielleicht kam das so rüber. Ich werde netter sein, in Zukunft - auch bei kritischen Nachfragen :) [22:03] 'böse' war's ja auch nicht, und die tendenz dazu die 'gegenrede' zu ernst zu nehmen hab ich auch. mir fiel nur grade auf dass jemand anderes es genauso zu ernst nimmt wie ich manchmal. :) [22:05] * tomreyn zurück ins grundrauschen [22:05] ACK SYN :) [22:05] ö.ö Da hat man kurz einen Inet-Ausfall [22:06] Kann mir jemand sagen, was meine letzte Nachricht war? Und, falls es von euch anschließende Nachrichten gab, kann die mir wer schicken? xD [22:06] 0921 235303 < edik> Bzw., das dürfen sie natürlich. Vielleicht sind sich die Maintainer dieser Lücke auch bewusst. Nur sollte man das Problem auch entsprechend anmerken und ggf. Alternativen vorschlagen [22:06] 0921 235409 < bekks> Und das hast du bereits getan? [22:07] Jop, die habe ich noch mitbekommen. Von mir kam da noch: (23:57:31) edik: Ich dachte, dass ich den Maintainern der offiziellen Doku's lieber keine Mails schreibe, bevor ich das Problem von anderen bestätigt bekommen habe. Oder irgendwelche Infos von offizieller Seite kriege. Das Problem erschien mir so offensichtlich, dass ich es für unwahrscheinlich hielt, Recht zu haben. [22:09] Dann mach deganu das, schreib den Maintainern. Wenn das theoretische Problem bekannt ist, werden sie dir das sicher sagen. Wie man damit um geht, werden sie dir sicher auch sagen. [22:10] Every feedback is a good feedback. [22:10] Man muss ja nicht gleich einen Patch einreichen, nur weil man Dinge hinterfragt. [22:10] *mach genau das [22:13] Hm nagut. Dann danke für die Infos [22:13] dann mach ich das auch, denke ich === ziprar is now known as zipace