ITrig

Im April hatte ich mit dRemote ein alternatives Multi Connection Management Tool vorgestellt, da mein bisheriger Favorit seit Jahren nicht weiter entwickelt wurde.

Dies hat sich inzwischen dank David Sparer geändert. mRemoteNG wurde wieder Leben eingehaucht und mit der aktuellen Version 1.74 steht eine finale Version zur Verfügung.

Zeit, den aktuellen Stand der Tools zu betrachten.

Beide Tools haben verschiedene kleine Hacks zu bieten. So beherrscht mRemoteNG einen Bildschirmschnappschuss direkt über das Tab, dRemote erlaubt wiederum den Zugriff auf Putty / Kitty Settings direkt aus dem Verbindungspanel.

Beide unterscheiden sich ebenfalls leicht in der Oberfläche, wobei dRemote bereits an einer neuen GUI arbeitet.

Fazit

Beide Tools sind sich sehr ähnlich, kein Wunder bei gleichen Eltern, dennoch gibt es feine Unterschiede, die für den ein oder anderen den Zuschlag ausmachen dürften.

Persönlich finde ich es wichtig, dass die Entwicklung nicht still steht. Dies ist bei beiden Projekten derzeit der Fall. mRemoteNG hat mit 1.75 Alpha bereits die nächste Version in der Warteschlange

Warum der mRemoteNG MSI Installer auf 40MB aufgebläht wurde und dRemote nicht richtig via github verwaltet wird ist mir jedoch ein Rätsel.

Download dRemote

Download mRemoteNG

Vor nahezu sechs Jahren hatte ich mit mRemoteNG ein Tool fürs Connection Management im Netzwerk vorgestellt. 
Es galt als freier Nachfolger von mRemote. Beide Tools sind in dieser Form nicht mehr existent, bzw. aktuell.
mRemote kostet Geld und wird nun unter dem Namen royal ts gehandelt und mRemoteNG wird seit einiger Zeit nicht mehr weiterentwickelt.

Da für ein Multi Verbindungsmanagement im Netzwerk nicht nur Protokolle wie RDP, VNC, ICA, SSH, Telnet oder HTTPS, sondern auch eine gewisse Aktualität des Produkts gefragt ist, musste ein Nachfolger für mRemoteNG ausfindig gemacht werden.

dRemote

Mit dem Multi Verbindungs Manager dRemote wurde neben einem Entwickler auch ein funktionierender und aktueller Nachfolger gefunden. 
Das frische Projekt hat sofort die Arbeit aufgenommen und dem Programm einen frischen Anstrich verpasst.

Verbindungen werden nun in Tabs angezeigt und lassen sich beliebig verschieben. Putty wurde aktualisiert und vieles mehr, siehe Changelog.
Da es sich um einen Fork handelt bleibt die Handhabung des Tools im Vergleich zu mRemoteNG so gut wie gleich. 

Für Interessierte steht eine eigene Manual Seite zur Verfügung

Fazit

Es wurde bitter Zeit für einen Forks des praktischen Tools. Mit dRemote scheint ein würdiger Nachfolger gefunden zu sein, der regelmäßig mit Updates versorgt wird und alle Funktionen der Vorgänger unterstützt. Bleibt zu hoffen, dass dies so bleibt.

Sollte das Tool nicht gefallen, gibt es mit Terminals oder RDTabs durchaus Alternativen.

Für die Wartung von Servern oder anderen sicheren Netzwerkverbindungen wird meistens SSH (Secure SHELL) verwendet.

Normalerweise erfolgt die Authentifizierung so einer Verbindung via Passwort. Viel sicherer ist eine Authentifizierung mit einem SSH Schlüssel. Für die Einrichtung einer sicheren Verbindung mit SSH Schlüssel sind nur wenige Handgriffe nötig.

Hier eine kurze Anleitung für das Umstellen von Passwort auf SSH Schlüssel Authentifizierung.

Vorraussetzung ist, dass das SSH Server Paket bereits installiert ist.

Schlüssel erzeugen

ssh-keygen -t rsa -b 4096

Generating public/private rsa key pair.

Enter file in which to save the key (/home/guenny/.ssh/id_rsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/guenny/.ssh/id_rsa.

Your public key has been saved in /home/guenny/.ssh/id_rsa.pub.

The key fingerprint is:

a5:e2:b2:38:ff:a7:f5:de:03:dd:ss:6e:dd:c8:7d:11

The key's randomart image is:

+--[ RSA 4096]----+

|                 |

|                 |

|          .      |

|         oE      |

|     .  S ..     |

|    + o. ..      |

|. o. =.o.+ .     |

| = ..o+o+ o .    |

|. .o+oo.   .     |

+-----------------+

Schlüssel kopieren

sudo cat home/guenny/.ssh/id_rsa.pub >> /guenny/.ssh/authorized_keys

SSH Konfiguration sichern

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.orig

SSH Konfiguration für Public Key Auth anpassen

sudo sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config

sudo sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/g' /etc/ssh/sshd_config

sudo echo "DebianBanner no" >> /etc/ssh/sshd_config

Die Werte RSAAuthentication und PubkeyAuthentication sollten in den Standardeinstellungen bereits auf yes stehen

Konfiguration neu laden

sudo service ssh reload

Sobald die Konfiguration neu geladen wurde, ist es zwingend notwendig mit einer zweiten Verbindung zu testen, ob alles richtig konfiguriert wurde. Die bestehende Verbindung sollte dazu offen bleiben. 

Schlüssel auf andere Server kopieren 

Um Schlüssel auf andere Server zu kopieren kann der Befehl ssh-copy-id verwendet werden.

ssh-copy-id -i ~/.ssh/id_rsa.pub REMOTE_SERVER

Der Sicherheitsspezialist ESET hat in dieser Woche über die Operation Windigo berichtet. Angeblich wurden seit 2011 mehr als 10 000 linuxbasierte Server von diesem Botnet befallen.

Über diverse Rootkits (Linux/Ebury, Linux/Cdorked, Linux/Onimiki oder Perl/Calfbot) verschafft sich das Botnet Zugriff auf SSH Zugangsdaten oder DNS.

Zusätzlich werden OpenSSH Dateien manipuliert (ssh, sshd, ssh-add). Bei neueren Versionen (Stand Februar 2014) des Rootkits wird angeblich die libkeyutils.so abgehändert und dadurch um einige KB größer.

Ein Befall durch das Botnetz lässt sich mit einem Konsolenbefehl überprüfen:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System sauber" || echo "System infiziert"

Sollte das System befallen sein, empfehle ich den Server komplett neu aufzusetzen, da durch die offenen Zugangsdaten zusätzliche Änderungen am System vorgenommen worden sein könnten.

Auf dem 30. Chaos Communication Congress wurde dieses Jahr das Applied Crypto Hardening Handbuch vorgestellt. Zunächst noch als PDF zum Download, eine Online Version in HTML soll folgen. Die Macher (BetterCrypto) möchten damit eine Anleitung für Netzwerker und Systemadministratoren bereitstellen, welche die wichtigsten Crypto Einstellungen für bekannte Systeme behandelt.

Ziel ist es, Codeschnipsel bereitzustellen, welche der Anwender direkt per Copy und Paste in die jeweilige Konfiguration übernehmen kann. So muss nicht lange in den Einstellungen nach den richtigen Anweisung für eine sichere Verschlüsselung gesucht werden. Der Einsatz ist somit denkbar einfach, siehe folgende Codezeilen für einen Mailserver:

Crypto unter Postfix

smtpd_tls_cert_file = /etc/ postfix / server .pem

smtpd_tls_key_file = /etc/ postfix / server . key

# use 0 for Postfix >= 2.9 , and 1 for earlier versions

smtpd_tls_loglevel = 0

# enable opportunistic TLS support in the SMTP server and client

smtpd_tls_security_level = may

smtp_tls_security_level = may

# if you have authentication enabled , only offer it after STARTTLS

smtpd_tls_auth_only = yes

tls_ssl_options = NO_COMPRESSION

An diesem Beispiel ist gut zu erkennen, dass dieser Code zwar für Grundverschlüsselung sorgt, jedoch auf das eigene System durchaus noch angepasst werden kann. So kann bei vielen Mailservern die Verschlüsselung zwischen den jeweiligen Providern durchaus erzwungen werden, also "smtp_tls_security_level = encrypt". Der Code kann also ohne Hintergrundwissen übernommen werden, Lesen schadet aber bekanntlich ja auch nicht.

Crypto Codeschnipsel 

Neben Postfix stellt die Codesammlung Einstellungen für folgende Systeme bereit:

• Webserver
• Apache, lighttpd, nginx, ms iis
• SSH
• Open SSH, Cisco ASA, Cisco IOS
• Mailserver
• Postfix, Dovecot, Cyrus, SMTP, Exim
• VPN
• IPSec, OpenVPN, PPTP, Cisco ASA
• PGP
• Instant Messaging
• XMPP, Jabber, IRC, SILC
• Datenbanken
• Oracle, MySQL, PostgreSQL, DB2
• Proxylösungen

Code ist nicht alles, so werden auf den 80 Seiten durchaus auch Theorie und Praxis beschrieben. Für Anwender und Admins sicherlich eine Pflichtlektüre.

Download  Better Crypto - Applied Crypto Hardening Handbuch