In den letzten Tagen habe ich bei einer CentOS 7 Maschine beobachtet, das yum cron nicht sauber ausgeführt wird. Das ganze spiegelte sich natürlich auch im Qualys wieder, so das ich mir den folgenden Fehler mal ansehen musste:
1
2
3
4
5
6
Updates failed toinstall with the following error message:
Die aufgelisteten GPG-Schlüsselfürdie»MySQL5.7Community Server«-Paketquelle sind bereits installiert,aber sie sind nicht korrektfürdieses Paket.
Stellen Sie sicher,dass die korrekten Schlüssel-URLsfürdiese Paketquelle konfiguriert sind.
The GPG keys listed forthe"MySQL 5.7 Community Server"repository are already installed but they are notcorrect forthispackage.Check that the correct key URLs are configured forthisrepository.GPG Keys are configured as:http://repo.mysql.com/RPM-GPG-KEY-mysql
Auf der MySQL Seite gibt es dazu auch einen passenden Case.
Das ganze lässt sich mit einem vorübergehenden Workaround relativ schnell beheben und die aktuellste Version installieren. In der Datei /etc/yum.repos.d/mysql-community.repo einfach die Zeile gpgcheck=1 auf gpgcheck=0 ändern, damit werden Pakete aus dem Repo erstmal nicht mit dem GPG Schlüssel validiert, nach einem yum update sollte der Schlüssel jedoch wieder aktiviert werden und für die neuere Installation der Key importiert werden: rpm –import https://repo.mysql.com/RPM-GPG-KEY-mysql-2022
Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit.
Beruflich bin ich erreichbar unter www.stefan-eggert.de
Aktuell habe ich mehrer Probleme mit dem Qualys Vulnerability Scanner und Centos 8 / Centos 8 Stream festgestellt. Zuerst viel mir das Problem auf, das Centos 8 Server keinerlei Schwachstellen über den Cloud Agenten zurückmeldeten. Zwar wurden „Informational“ und ein Remote detektiertes openSSH Finding (QID 38773) angezeigt, aber keinerlei Vulnerabilitäten der Kategorie 1-5. Auch Qualys konnte hierzu bisher (Stand: 26.01.2022) keine guten Erklärungen liefern.
Getestet habe ich (mit Agent und Authenticated Scan via Appliance):
Centos 8.4.2105 -> Unpatched
Centos 8.5.2111 -> Unpatched
Centos 8 Stream -> Unpatched
Alle Systeme zeigen auch keine Fixed Findings an, was darauf schließen lässt, das Qualys Centos 8 nicht richtig unterstützt. Erstaunlicherweise habe ich das gleiche Bild in einem Kundenprojekt gefunden, wo man sich fälschlicherweise auf das Qualys Ergebnis verlassen hat.
Centos 8 Stream ohne Sicherheitsupdates
Über den Autor
Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit.
Beruflich bin ich erreichbar unter www.stefan-eggert.de
Meine heimliche Liebe zu Einplatinenrechner ist kein Geheimnis. Ist erst ein Ansatz zur Automatisierung gefunden, wird dieser direkt durch ein „Raspberry Projekt“ umgesetzt. Zugegeben, in den letzten Wochen schwärme ich auch für Arduino, welcher tolle Möglichkeiten eröffnet – Aber Raspberry dominiert dennoch unseren Haushalt durch Webcams, Ambilight, Speedmessungen am DSL Anschluss, 3D Drucker und vieles mehr. Aktuell arbeite ich gerade an einem Thermometer, welches von einem Arduino mit DHT22 über 433 MHz Messungen empfängt, statistisch am Pi aufwertet und dann an einem Webserver überträgt. Damit der Pi Zero auch ohne Monitor und Tastatur direkt gestartet werden kann, sind zunächst jedoch einige Änderungen notwendig.
Download des aktuellen Raspbian Image und Installation durch Etcher
Dieser Schritt sollte relativ selbstredend sein, daher werde ich auf die Installation nicht näher eingehen. Früher habe ich das Image aus der Console mit dd aufgespielt, heute mache ich dies über Etcher (hier kann man Etcher Downloaden)
Etcher
WiFi konfigurieren
Als nächstes muss vor dem ersten Start des Pi eine Datei erstellt werden. Diese muss auf der /boot Partition des Pi gespeichert werden.
Inhalt der Datei /boot/wpa_supplicant.conf
1
2
3
4
5
6
7
8
9
# Datei wpa_supplicant.conf in der Boot-Partition von Raspbian Stretch
Nachdem wir nun die WLAN Einstellungen am Raspberry gemacht haben, müssen wir noch eine leere Datei im /boot Verzeichnis erzeugen und nennen diese „ssh“. Dies bewirkt, das der SSH Dienst bei booten automatisch gestartet wird.
Fertig: Kennwort bitte ändern
Starten wir nun den PI, können wir uns mit Putty oder sonstigen SSH Client anmelden: ssh pi@raspberrypi Das Default Passwort für den Benutzer pi lautet „raspberry“ und sollte umgehend geändert werden. Eine solche Kombination ist ein sehr hohes Sicherheitsrisiko.
1
sudo passwd pi
Raspberry Pi Zero Pin Belegung
Über den Autor
Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit.
Beruflich bin ich erreichbar unter www.stefan-eggert.de
Wer gerne über einen SSH Login per E-Mail informiert werden möchte, kann dies über ein recht einfaches Script erledigen. Hierzu muss zunächst unter Centos mailx installiert werden, damit der mail command funktioniert. Ob der Mail command vorhanden ist, lässt sich einfach mit
1
root@web29~]# which mail
ausfindig machen. Alternativ kann man sich auch einfach eine Testmail senden lassen:
1
mail-s"Bla Bla"emailadresse@provider.de</dev/null
Zur Installation unter Centos verwenden wir yum:
1
yum-yinstall mailx
Anschließend muss die Datei /etc/bashrc so verändert werden, das der folgende Code direkt am Anfang ausgeführt wird:
1
2
3
echo'Login on'`hostname``date``who`|
mail-s"Login on `hostname` `who |
awk '{print $5}'`"emailadresse@provider.de
Nach einem erfolgreichem SSH Login bekommt der Benutzer dann eine E-Mail: Login on web29.stefan-eggert.de Sa 20. Apr 10:13:31 CEST 2019 root pts/0 2019-04-20 10:13 (xxx)
Über den Autor
Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit.
Beruflich bin ich erreichbar unter www.stefan-eggert.de
Heute habe ich mich mit dem Thema OrangeHRM unter Centos 7 beschäftigt. Folgende Schritte sind für eine Installation unter Centos 7 notwendig:
Vorbereitung und Systemupdate
Minimal Installation Centos 7 installieren
Nach der Installation ist ein yum update erforderlich, um die aktuellsten Pakete zu installieren.
Apache Webserver installieren
Nachdem Centos nun ein Update aller Pakete erhalten hat, kann der Apache Webserver installiert werden. Hierzu wird wieder der Paketmanager yum verwendet:
1
yum-yinstall httpd
Nachdem der Webserver installiert wurde, kann dieser mittels
1
2
systemctl enable httpd.service
systemctl start httpd.service
gestartet werden.
Mit einem einfachen netstat -tulpen kann man nun kontrollieren, ob der Webserver auf auf dem Interface läuft:
Datenbank installieren und einrichten
Als nächstes muss MariaDB für die Datenbanken installiert werden. Dies erfolgt mit
1
yum-yinstall mariadb-server
Um mariaDB zu starten (auch beim Booten) wird nun folgendes ausgeführt:
1
2
systemctl start mariadb.service
systemctl enable mariadb.service
1
systemctl status mariadb.service
Um die SQL Installation nun abzusichern, wird mysql_secure_installation angewendet. Die zu beantwortenden Fragen müssen alle mit Y beantwortet und ein neues Kennwort vergeben werden.
1
mysql_secure_installation
Als nächstes müssen diverse queries für die OrangeHRM Installation durchgeführt werden. Hierzu melden wir uns wie folgt am SQL Server an:
1
mysql-uroot-p
Anschließend erstellen wir die Datenbank „orangehrm“, indem wir am SQL Server folgende Befehle eingeben:
1
CREATE DATABASE orangehrm;
Danach erstellen wir einen neuen User (orangehrm_user) und vergeben ein gutes Kennwort (StrongPassword). Besonders das Kennwort sollte natürlich nicht per Copy Paste übernommen sondern geändert werden 😉 . Im Anschluss werden noch die Privilegien gesetzt und MariaDB wird mit \q verlassen.
Anschließend installieren wir php mit php-opcache und starten unseren Webserver neu:
1
2
yum install php56w php56w-opcache php56w-mysql
systemctl restart httpd.service
OrangeHRM installieren
Jetzt müssen wir OrangeHRM installieren. Hierzu gehen wir in in das root Verzeichnis vom Webserver und laden die aktuelle Version von OrangeHRM mit wget. Sollte wget und und unzip noch nicht auf dem System sein, so kann dies mittels
1
yum-yinstall wget unzip
installiert werden. Anschließend erfolgt der Download und das entpacken:
Jetzt müssen noch die Berechtigungen angepasst werden:
1
chown-Rapache:apache/var/www/html
In der Datei /etc/my.cnf muss nun nach [mysqld] noch eine Zeile mit event_scheduler = ON hinzugefügt werden. Dies machen wir mit vi /etc/my.cnf
Anschließend wird MariaDB neu gestartet:
1
service mariadb restart
Nun müssen wir wieder mit vi in der Datei /etc/httpd/conf/httpd.conf die Zeile „AllowOverride None“ suchen und diese in „AllowOverride All“ ändern. Anschließend starten wir den Webserver neu. Hierdurch wird die .htaccess Datei aktiviert und verwendet.
1
systemctl restart httpd
Anschließend aktivieren wir noch die Firewall und deaktivieren selinux:
Die Einrichtung des Servers ist abgeschlossen. Als nächsten muss OpenHRM installiert werden. Hierzu rufen wir im Browser die IP Adresse des Servers auf:
OrangeHRM installer
Die bestehende Datenbank wird mit dem Datenbanknamen, unseren Username und dem Password konfiguriert:
Datenbank konfigurieren
Als letztes legen wir noch einen Admin User an und stellen die Sprache / Zeitzone ein. Anschließend bestätigen wir die Einstellungen unter „Confirmation“ und installieren die Anwendung:
Nachdem die Installation erfolgreich gewesen ist, können wir als URL wieder die IP Adresse des Servers eingeben und sehen sofort den Startbildschirm.
Über den Autor
Mein Name ist Stefan Eggert, als Freiberufler berate ich seit über 10 Jahren im Bereich IT-Sicherheit und forsche mit meinem Team zusätzlich rund um das Thema Schwachstellen. Spezialisiert habe ich mich auf DDoS, Schwachstellenmanagement und Kennwortsicherheit.
Beruflich bin ich erreichbar unter www.stefan-eggert.de
