Black Arch Linux

Das Entwicklungsteam hinter BlackArch Linux hat eine neue Version 2019.09.01 veröffentlicht, die zahlreiche neue Tools, aktualisierte Komponenten und verschiedene Verbesserungen enthält.

Die Hacking- und Penetrationstestdistribution läuft nun mit Kernel 5.2.9 und hat mehr als 150 neue Tools erhalten.

Der Installer wurde auf Version 1.1.19 angehoben und das Look and Feel verbessert.

Kali Linux 2019.3

Beim Platzhirsch hat sich ebenfalls etwas getan. So betreibt Offensive Security seine Distribution nun ebenfalls mit Kernel 5.2.9.

Was 8chan verloren hat, hat Kali hinzugewonnen. Gemeint ist Cloudflare als Content Delivery Network. Sollte beim Aufruf von apt update die Domain kali.download angezeigt werden, werden die Dienste von Cloudflare in Anspruch genommen.

Die bereits in der Vergangenheit angekündigten Änderungen der Metapakete (mehr Infos hier ) wurden umgesetzt. 
Speziell dafür wurde ein Image erstellt, welches alle alten Pakete enthält. (kali-linux-large-2019.3-amd64.iso)

In Zukunft werden Tools in folgende Gruppen unterteilt:

• Kali-linux-default – Tools, die unserer Meinung nach für einen Penetrationstester unerlässlich sind
• Kali-linux-large – für Penetrationstester, mit einer größere Anzahl an Tools für nicht standardisierte Einsatzgebiete
• Kali-linux-everything – für alle, die alles wollen (ohne Internetzugang während des Tests)

Zusätzlich wurden die üblichen Aktualisierungen eingespielt (Burp Suite, HostAPd-WPE, Hyperion, Kismet, Nmap), wobei amass neu dabei ist.

Erst vor kurzem hatte ich den neuen Kali App Store vorgestellt. Mit dem aktuellen Release hat Kali Linux die Unterstützung für mobile Geräte weiter ausgebaut und unterstützt nun zusätzlich diese Modelle

• LG V20 International Edition
• Nexus 5X
• Nexus 10
• OnePlus 7

Letzteres zählt nun zu den offiziellen Standardgeräten für die mobile Kali Linux Variante.

Das Image Portfolio wurde zusätzlich auf Geräte von PINEBOOK ($99 Notebooks), sowie den Platinen von Gateworks (Ventana) erweitert.

Der neue Raspberry Pi 4 wird natürlich ebenfalls unterstützt.

Übersicht 09/2019

Linux Distributionen gibt es bekanntlich einige und die Auswahl welche Version nun die richtige für die aktuellen Anforderungen oder den eigenen Geschmack sein soll, fällt durchaus mal schwer.

Normalerweise würde für einen ersten Test ein VMware oder Virtualbox Image heruntergeladen, das gewünschte System installiert und fertig ist das Testsystem.

Doch dies nimmt Zeit in Anspruch und es müssen Images heruntergeladen werden.

Diesen Vorgang wollen die Jungs von Distrotest.net vereinfachen.

Distrotest.net

ist ein Service der momentan 753 Versionen von 234 verschiedenen Betriebssystemen online anbietet. (komplette Liste)

Das Prinzip ist mehr als simpel. Gewünschtes System aussuchen, in eine Warteschlange einreihen und los geht es mit dem Online Linux Test. Möglich macht dies eine Mischung aus Debian und QEMU.

Allerdings gibt es teilweise starke Perfomanceunterschiede bei den einzelnen Systemen.

Ein Alpine ist in wenigen Sekunden verfügbar, ein Elementary OS lädt sich quasi tot, ein OpenSUSE andererseits funktioniert wieder recht flüssig.

Die einzelnen Systeme werden über ein intergrierten noVNC Viewer angesteuert. Es kann allerdings auch auf eigene Clients zurückgergriffen werden. Die benötigten Logindaten sind auf der Webseite gelistet.

Da die Images in einem extra Fenster starten, sollten Popup Blocker deaktiviert werden.

Auch die Laufzeit ist begrenzt, kann aber individuell verlängert werden,wenn gewünscht.

Fazit

Ein Service der diese Masse an Linux/Unix Systemen online zur Verfügung stellt ist ohne Zweifel aller Ehren wert.

Allerdings hat der Service, wie oben bereits erwähnt, durchaus seine Schwankungen. Es kann vorkommen, dass der Server überlastet ist und eine lange Wartezeit in Kauf genommen werden muss.

Das Laden der Images dauert ebenfalls manchmal seine Zeit und stellt sich je nach Distribution als quälend langsam heraus. Hier ist noch Luft nach oben. (Es darf gespendet werden)

Distrotest richtet sich an Interessierte, welche mal einen Blick auf das bunte Linux Universum richten möchten, ohne sich mit der Installation und virtuellen Images auseinandersetzen zu müssen.

Es ist lange her, als ich das erste Mal über den Mozilla SSL Configuration Generator geschrieben hatte (ganze 4 Jahre um genau zu sein).

Bereits damals hatte ich mir gewünscht, dass auch Server wie Postfix unterstützt werden. Dieser Wunsch wurde nun erfüllt, denn es gab ein umfangreiches Update  ( thx @ aprilmpls )

Mozilla SSL Configuration Generator

Wie der Überschrift bereits entnommen werden konnte, sind neben den üblichen Verdächtigen nun auch weitere Systeme dabei. Folgende SSL/TLS Sicherheitseinstellungen können nun via Generator erstellt werden:

• Apache
• Nginx
• Lighthttpd
• HAProxy
• AWS Elastic Load Balancer
• Caddy
• MySQL
• Oracle HTTP Server
• Postfix
• PostgreSQL 

Die einzelnen Kategorien modern, intermediate und old haben Beschreibungen erhalten und erschließen sich dem Laien somit etwas besser. So wird bei der modernen Variante explizit TLS 1.3 erwähnt und die nicht vorhandene Abwärtskompatibilität beschrieben.

Die Versionsauswahl bei Server oder SSL kann weiterhin händisch eingegeben werden. 

Zusätzliche Optionen wie HSTS oder OCSP Stapling sind in den Standardeinstellungen aktiv. Hier muss nichts angepasst werden, da der Generator alte Server Versionen erkennt und die Optionen automatisch nicht in der generierten Datei auflistet (SSLUseStapling On).

Bei Konfigurationen für Mail- oder Datenbankserver sind diese Auswahlmöglichkeiten ohnehin ausgegraut.

Generator generiert

Die neu generierten Konfigurationen haben dazugelernt. So wird bei der Apache oder Nginx Konfiguration automatisch der HTTP zu HTTPS Rewrite mit aufgeführt. Auch werden das Erstelldatum, so wie die benötigten Module als Kommentar aufgeführt, was für viele sicherlich eine zusätzliche Hilfe darstellt.

Bei der Postfix wird keine TLS Verschlüsselung erzwungen, hier wird immer ein "Verschlüsselung wenn möglich" vorgeschlagen.

Unterstützung

Bereits beim älteren Generator wurden die unterstützten Browser aufgelistet. Diese wurden um Android und Edge ergänzt.

Fazit

Die neue Version des Mozilla SSL Configuration Generator hat im Vergleich zum Vorgänger viele kleine Verbesserungen erhalten, siehe der Kopierbutton am Ende der Konfigurationsdateien. Die Unterstützung für Postfix, PostgreSQL und Co erweitert die Breite ungemein. Mit der Unterstützung für TLS 1.3 wird das Tool auch in Zukunft praktisch sein. Sei es als Orientierung oder Beispiel für eigene Serverkonfigurationen.

Vor kurzem wurde eine neue SuperTuxKart Version veröffentlicht.

Wie schon aus der Beta bekannt war, bringt diese neue Version neben diversen Verbesserungen eine Netzwerkunterstützung mit.

Daneben sorgen ca. 20 Rennstrecken und verschiedene Spielmodi für Abwechslung. Der Funracer ist natürlich OpenSource und so hat jeder die Möglichkeit seinen eigenen Server zu betreiben.

Alle Infos findet ihr in den Release Notes.

Genau diese Netzwerkunterstützung will ich im Folgenden näher anschauen, denn für einen eigenen Server reicht bereits ein RaspberryPi aus.

Eigenen SuperTuxKart Server fürs LAN bauen

Als Basis dient ein Ubuntu 16.04 LTS oder ein Raspbian System, der Vorgang ist jeweils gleich.

Zunächst müssen ein paar Pakete installiert werden, damit der Build auch gelingt.

sudo apt-get install build-essential cmake libbluetooth-dev \
libcurl4-openssl-dev libenet-dev libfreetype6-dev libfribidi-dev \
libgl1-mesa-dev libglew-dev libjpeg-dev libogg-dev libopenal-dev libpng-dev \
libssl-dev libvorbis-dev libxrandr-dev libx11-dev nettle-dev pkg-config zlib1g-dev git subversion

Als nächstes werden die Installationsdateien auf das lokale System geladen.

cd /opt
sudo mkdir stk-code
sudo mkdir stk-asset
git clone https://github.com/supertuxkart/stk-code stk-code
svn co https://svn.code.sf.net/p/supertuxkart/code/stk-assets stk-assets

Der letzte Schritt kann etwas Zeit benötigen, da mehrere 100MB geladen werden müssen.

cd stk-code
sudo mkdir cmake_build
cd cmake_build/
sudo cmake .. -DSERVER_ONLY=ON
sudo make -j$(nproc)

Nun heißt es etwas warten, denn je nach CPU Leistung, kann dies etwas dauern...

Schwups ist der fertige Server erstellt, ihr könnt ihn nun bereits ausprobieren oder systemweit mit sudo make install installieren.

Danach findet ihr den installierten Server unter /usr/local/bin/supertuxkart.

In unserem Fall starten wir den Server testweise direkt.

cd bin/

./supertuxkart --lan-server=test --network-console

[info   ] GrandPrixManager: Loading Grand Prix files from ../../data/grandprix/
[info   ] GrandPrixManager: Loading Grand Prix files from /home/xyz/.local/share/supertuxkart/grandprix/
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Host initialized.
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Server port is 2759
Fri Apr 26 20:25:41 2019 [info   ] main: Creating a LAN server 'test'.
Fri Apr 26 20:25:41 2019 [info   ] ServerLobby: Reset server to initial state.
Fri Apr 26 20:25:41 2019 [info   ] ProtocolManager: A 11ServerLobby protocol has been started.
Fri Apr 26 20:25:41 2019 [info   ] STKHost: Listening has been started.

Nun solltet ihr darauf achten, dass der Port 2759 im lokalen Netz erreichbar ist und Firewalls diesen nicht blockieren.

Ebenfalls ist es wichtig lokal einen Servernamen beim Start anzugeben, da der Server sonst nicht startet.

Zusätzlich wird unter /opt/stk-code/.config/supertuxkart/config-0.10/server_config.xml beim ersten Start eine Konfigurationsdatei angelegt, dort können weitere Einstellungen gesetzt werden.

Für unseren Server muss hier Nichts weiter angepasst werden.

Alternativ könnt ihr eure eigene Konfigurationsdatei beim Start auch gleich mitgeben

supertuxkart --server-config=your_config.xml --network-console

Ob der Server läuft lässt sich mit einem einfachen netstat -lnp oder via ss -ln herausfinden (Artikel).

SuperTuxKart auf eigenen Server spielen

Um auf dem eigenen Server gegeneinander zu spielen, müsst ihr euch zunächst das Spiel installieren, dieses findet ihr hier.

Nach dem Start müssen folgende Schritte durchgeführt werden, um auf den eigenen Server zu gelangen,

Alternativ kann auch ein Server direkt aus dem Programm heraus erstellt werden und somit quasi mit jedem PC. Ein kleiner RapsberryPi ist allerdings um einiges praktischer.

Sollte ein STK Server übers Internet erreichbar sein, muss zusätzlich ein STK Account angelegt werden. Dieser Account muss beim Serverstart angegeben werden. Weitere Tipps finden sich hier.

supertuxkart --init-user --login=your_registered_name --password=your_password

Viel Spaß

Zunächst ein gesundes neues Jahr 2019.

Java Keystore Management auf der Konsole empfinde ich als anstrengend. Liegt mit daran, dass ich mir Befehle wie

keytool -import -keystore /opt/data/cacerts -file /home/itrig/url.itrig.de.crt -alias url.itrig.de

einfach nicht merken kann oder zu selten benötige und sie daher nicht mag. Außerdem ist es mit einem Befehl nicht getan, denn nach dem Import, muss das Ganze noch einmal aufgelistet und eventuell ergänzt werden, usw.

keytool -list /opt/data/cacerts

Eine Auswahl dieser Befehle hatte ich auch schon in einem Artikel - 9 praktische Keytool Befehle zusammengefasst.

KeyStore Explorer

Abhilfe schafft der KeyStoreExplorer, vorausgesetzt ein Verwaltungsgerät mit Oberfläche ist vorhanden.

Das Programm ergänzt quasi Tools wie das erwähnte keytool oder jarsigner mit einem grafischen Userinterface und lässt sich somit relativ leicht bedienen.

Es läuft auf nahezu jedem System, da es auf Java basiert und erlaubt alle Funktionen, die von der Kommandozeile bekannt sind. Dinge wie Import von Zertifikaten, sowie Export oder umbenennen. Passwort ändern oder generieren.  Insgesamt viele praktische Befehle die sich nun via Klick realisieren lassen.

Auch eine Konvertierung der folgenden Formate beherrscht das Tool: JKS, JCEKS, PKCS #12, BKS (V1 and V2) und UBER.

Aktuell ist Version 5.4.1.

Fazit

Wer sich auf der Kommandozeile nicht immer wohlfühlt, der hat mit dem KeyStoreExplorer das richtige Werkezug um Java, Zertifikaten und deren Speicherung Herr zu werden. 

PS: Das Standardpasswort für einen Java Keystore ist "changeit"