Unerwünschtes rpcbind

Es ist wirklich doof, wenn man von seinem Webhoster (in meinem Fall netcup) eine Mail vom CERT Bund weitergeleitet bekommt, in dem die Rede von einem möglichen Sicherheitsrisiko auf dem eigenen Server ist. Genauer gesagt ging es um diesen Scan:

Log:
"asn","ip","timestamp","rpc_response"
[...]
​
"197540","46.38.233.137","2018-08-06 04:21:33","100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp; 100000 4 111/udp; 100000 3 111/udp; 100000 2 111/udp;"
​
[...]

Er zeigt, dass rcpbind offen nach außen ist. Damit könnte mein Rechner für DDoS-Reflection-Angriffe missbraucht werden.

Also erst mal schnell auf der Maschine gescannt:

root@somesystem:~# netstat -anp | grep LISTEN 
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      31653/mysqld        
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      653/rpcbind         
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      6169/systemd-resolv 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      832/sshd            
tcp6       0      0 :::111                  :::*                    LISTEN      653/rpcbind         
tcp6       0      0 :::80                   :::*                    LISTEN      899/apache2         
tcp6       0      0 :::22                   :::*                    LISTEN      832/sshd            
tcp6       0      0 :::443                  :::*                    LISTEN      899/apache2 

Und tatsächlich: da ist ein rcpbind, der da nichts zu suchen hat. Er ist da reingeraten, als ich vor ein paar Wochen meinen Server neu installiert habe und die Daten auf einem externen NFS-Mount zwischenlagerte. Dazu hatte ich nur nfs-common installiert, also nur den NFS-Client, nicht den Server. Und nur letzterer braucht rpcbind. Aber durch die Abhängigkeitsstuktur von nfs-common hatte ich da plötzlich ein Sicherheitsproblem durch ein rpcbind, das ich gar nicht bemerkt hatte.

In meinem Fall war die Lösung simpel.

apt remove nfs-common

Das deinstallierte automatisch libnfsidmap2, libtirpc1 und rpcbind.

Der nächste Scan sah besser aus

root@somesystem:~# netstat -anp | grep LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      31653/mysqld        
tcp        0      0 127.0.0.53:53           0.0.0.0:*               LISTEN      6169/systemd-resolv 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      832/sshd            
tcp6       0      0 :::80                   :::*                    LISTEN      899/apache2         
tcp6       0      0 :::22                   :::*                    LISTEN      832/sshd            
tcp6       0      0 :::443                  :::*                    LISTEN      899/apache2         
​

Fazit: als Abschluss nach einer Neuinstallation immer netstat -anp | grep LISTEN durchführen

Dokuwiki als privates Wiki

Vor ein paar Jahren habe ich angefangen allerlei Notizen elektronisch zu sammeln. Dafür habe ich meist selbst entwickelte Programme benutzt, die zwar funktionierten, aber nie so ganz das boten, was ich gerne hätte. Letztlich ertappte ich mich immer wieder dabei, dass ich mehr an den Werkzeugen bastelte, als sie zu benutzen. Nicht so wirklich ideal. Andererseits habe ich im Laufe der Zeit einen interessanten Streifzug durch allerlei Software-Technologien gemacht. Auch nett. Aber irgendwann war Schluß mit lustig und eine dauerhaft benutzbare Lösung musste her: Dokuwiki

Warum Dokuwiki?

Letztlich war die Entscheidung für Dokuwiki völlig subjektiv, aber für mich sprachen ein paar gute Gründe dafür:

  • es ist simpel: keine Datenbank, nur PHP und Textfiles. Mediawiki wirkt dagegen wie ein Sumo-Ringer
  • es hat eine API. Ich mag Sachen mit einer API
  • man kann es gut mit Plugins und Themes an die eigenen Bedürfnisse anpassen
  • und noch ein ganz gewichtiger Grund: ich habe es schon seit ein paar Jahren für einige Dokumentationen im Einsatz

Import

Out-of-the-Box sieht die Editierung in Dokuwiki so aus:

Da ich der einzige Bearbeiter des Wikis bin, möchte ich auf die freundliche Ermahnung nur Verbesserungen beizutragen verzichten. Dadurch gewinne ich wertfollen Platz auf dem Bildschirm, wenn ich unterwegs vom Telefon aus editiere (das kommt häufig vor). Da der geschmeidige Update-Mechanismus von

Die zweite Sache, die ich nicht brauche, ist die kurze Notiz bei Änderungen. Ich benutze sie nie und auch sie kostet wieder Platz

.dokuwiki .editBar .summary {
    display: inline;
    visibility: hidden;
}

Und schon sieht die ganze Seite aufgeräumter aus ….

… vor allem unterwegs auf dem Smartphone.


Mobile Nutzung

Mir persönlich gefällt für die mobile Nutzung das Standardtheme von Dokuwiki am Besten. Es ist vielleicht nicht besonders stylisch, aber sehr praktisch. Um die Nutzung unterwegs noch zu verbessern, läuft auf meinem Smartphone WebApps aus dem FDroid-Store. So lässt sich das Wiki fast wie eine App benutzen (jedenfalls solange man Online ist)

Wolkenwechsel: von owncloud 8 zu Nextcloud 10

Statt ownCloud, das mich seit einigen Jahren ohne große Probleme begleitet hat, werkelt seit heute eine Nextcloud für mich. Ich war einfach neugierig und fand den Schritt von Frank Karlitschek zu mehr Offenheit hin sehr sympathisch.

In der Praxis bedeutete das:

  • Erst mal ein Backup
  • Alles, bis auf den Datenordner und den Configordner wegräumen
  • Dann zunächst Nextcloud 9 einspielen und die Aktualisierung durchführen (besser an der Commandline, wenn man nicht in blöde Browsertimeouts laufen will). Der Download der Version 9 ist nicht ganz leicht zu finden. Deshalb hier der Link in das Downloadverzeichnis
  • Hat man das erfolgreich hinter sich gebracht kommt noch einmal das gleiche Spiel mit Nextcloud 10. Ohne den Zwischenschritt scheint es im Moment nicht zu gehen.
  • Die diversen Clientprogramme von ownCloud auf Nextcloud umstellen. Dabei scheint aber der Unterschied noch nicht so immens zu sein, denn unter Linux benutze ich nach wie vor den ownCloud-Client, denn Nextcloud bietet die Linux-Software nur als Quellcode an. Aber ich hatte keine Lust selber zu compilieren

Der Android-Client hat gleich einen Absprung in DAVdroid, der die Server-URL und den User schon vor befüllt. Fast. Es fehlt am Ende der URL ein /remote.php/dav. Dann lassen sich auch Termine, Aufgaben und Kontakte angenehm teilen.

Die Cloudlösung heißt bei mir übrigens ganz neutral Wolke

Leerer Zug 

Der Spruch des Tages kam eben vom Zugführer im überfüllten RE 1:

Auf dem Gleis nebenan fährt gleich die S1 nach Dortmund ein. Wenn sie umsteigen ist das die Gelegenheit mal einen leeren Zug von innen zu sehen.