Solaris 10 Security. Jörg Möllenkamp Senior Systems Engineer. Sun Microsystems

Größe: px
Ab Seite anzeigen:

Download "Solaris 10 Security. Jörg Möllenkamp Senior Systems Engineer. Sun Microsystems"

Transkript

1 Solaris 10 Security Jörg Möllenkamp Senior Systems Engineer Sun Microsystems

2 Was ist Sicherheit? 2

3 Die Sicherheit einer Installation hängt von vielen Faktoren ab, und nur einer ist das Betriebsystem... 3

4 Sicherheit ist ein Kompromiss... ein Balanceakt... 4

5 Ein gutes und sicheres Betriebsystem stellt Tools und Mechanismen bereit mit denen ein Administator sein System schnell und einfach absichern kann ohne den normalen Nutzer mehr als nötig einzuschränken. 5

6 Was nutzt das tollste Tool, wenn man damit kaum umgehen kann? 6

7 <sarkasmus>oder warum steht bei vielen Anleitungen gleich am Anfang der SElinux-Anleitung, wie man es wieder ausschaltet?</sarkasmus> 7

8 Okay... zurück zu Solaris... 8

9 Aus Marketingsicht würde man mit der Common Criteria Evaluierung anfangen 9

10 Okay... 10

11 Common Criteria 11

12 Ja... haben wir auch... 12

13 Solaris 10 11/06 ist evaluiert nach... EAL 4+ Role Based Access Control Protection Profile Conditional Access Protection Profile 13

14 14

15 Solaris 10 + Trusted Extensions ist in Kürze evaluiert nach... EAL 4+ Role Based Access Control Protection Profile Conditional Access Protection Profile Label Security Protection Profile 15

16 16

17 Interessanterweise wissen nur wenige was es wirklich mit einer Common Criteria Evaluierung auf sich hat... 17

18 Im Rahmen der CC-Evaluierung wird nicht das Produkt zertifziziert. 18

19 Wofür steht nun die CC-Evaluierung? 19

20 Sehr böse Zungen behaupten: Die Zahl nach EAL steht für die Anzahl der Nullen, die man an 100 anfügen muss, um die Zertifizierung zu bekommen... ;) 20

21 Missverständnis Nummer 1 21

22 Im Rahmen der CC-Evaluierung wird nicht das Produkt zertifziziert. 22

23 Es wird die Evaluierung einer bestimmten Konfiguration eines bestimmten Produkts unter bestimmten Umständen hinsichtlich der Einhaltung eines bestimmten Regelwerks zertifiziert. Die Evaluierung erfolgt durch eine bestimmte Vorgehensweise! 23

24 Evaluierende Stelle und zertifizierende Stelle müssen nicht identisch sein - bei Solaris 11/06: Evaluierende Stelle Common Criteria Evaluation Facility CGI Information Systems & Management Consultants Inc. Zertifizierende Stelle Communications Security Establishment Certification Body 24

25 25

26 Missverständnis Nummer 2 26

27 Es reicht, den Evaluation Assurance Level in den Raum zu werfen... 27

28 Die Nennung des Evaulation Assurance Levels (EAL) sagt nichts über die Sicherheit des Systems aus. 28

29 Was ist also wichtig? 29

30 Okay... eine Einführung in die Begrifflichkeiten von Common Criteria... 30

31 Am Anfang war der Evaluierungsgegenstand... 31

32 Securityspeak für das was evaluiert werden soll 32

33 Also bei der Common Criteria Evaluierung von Solaris + TX Solaris 10 11/06* Sternchenschrift: A Common Criteria Certificate was awarded to Sun Microsystems on June 11, 2008 by the Canadian Common Criteria Evaluation and Certification Scheme. Solaris 10 11/06 with Trusted Extensions is an extension to the proven Solaris 10 security model. It utilizes User and Process Rights Management, Solaris Containers, file systems, and networking and doesn't require a new or separate kernel. Best of all, it doesn't require ISVs to requalify their applications to run them with sensitivity labels. Because it's an extension to the Solaris 10 OS's security policy, Solaris 10 11/06 with Trusted Extensions technology is flexible and quick to deploy: You can add new applications, new users, and more, very quickly, without extensive analysis of each application and without the need to write complex, error-prone security policies that require a system reboot. Security Features in the Evaluated Configuration include: * MAC and DAC - including ACLs; * Least privilege with fine-grained privileges for all policies; * Trusted networking and trusted NFS; * Identification and authentication - including password generation; * Roles for separating user and administration capabilities; * Rights profiles for grouping commands, applications, and authorizations and assigning to users or roles; * Centralized administration with easy-to-use graphical tools; * Auditing which records the actions of users and roles as well as non-attributable events; * Sun's Common Desktop Environment (CDE) and Sun Java Desktop System Multilevel windowing environment with trusted path for invoking trusted commands and applications. Solaris 10 11/06 with Trusted Extensions has being been certified on: * Workstations and servers using an UltraSPARC III, UltraSPARC IIIi, UltraSPARC II, UltraSPARC IIe, UltraSPARC IIi, or UltraSPARC T1 processor in single or multiple configuration. * The Netra 1280 and Sun Fire mid-frame and high-end family offering Dynamic Reconfiguration and Multiple Domaining using an UltraSPARC III, UltraSPARC III Cu (copper based) or UltraSPARC IV processor. * AMD based processor systems: AMD Opteron 800, 1200, and 8000 series; AMD , 200, and 2000 series; AMD dual-core 1200 and 2000 series; AMD Opteron 285; and, Intel Xeon. The Solaris 10 11/06 with Trusted Extensions Certified software consists of the Operating Environment and a subset of patches which have been reviewed to ensure that their application introduces no new security vulnerabilities. 33

34 Man muss wissen, welche gegen welche Protection Profiles überprüft wurden! 34

35 Ein Protection Profile ist eine Menge von vordefinierten Anforderungen, gegen die ein Evaluierungsgegenstand geprüft wird. 35

36 Das Protection Profile ist sozusagen ein Anforderungstemplate. 36

37 Man kann ein Protection Profile verwenden man muss es aber nicht. 37

38 ... für manches existiert gar kein Protection Profile. 38

39 Für Virtualisierung existieren keine beispielsweise Protection Profiles... 39

40 Dann muss man das Security Target selber beschreiben. 40

41 EAL 4+ für VMware ESX basiert auf einem selbstgeschriebenen Security Target. 41

42 Security Target??? 42

43 43

44 Das Security Target beschreibt, was mit einem Evaluierungsgegenstand gemacht wird um die Anforderungen des Protection Profiles zu erfüllen. 44

45 Und nur fuer das im Security Target beschriebene System gilt auch die Zertifizierung. nur auf der evaluierten Hardware nur mit den evaluierten Diensten nur mit den evaluierten Patches nur in der evaluierten Konfiguration 45

46 Den nur was evaluiert wird, ist auch Bestandteil der Zertifizierung! 46

47 Ja, aber was sagt also nun EAL 4+ aus? 47

48 EAL Evaluation Assurance Level 48

49 Der Evaluation Assurance Level sagt mit welchen Methoden ein Evaluierungsgegenstand geprüft wird. 49

50 Hersteller kommt zum Meeting... EAL1: Functionally Tested EAL2: Structurally Tested EAL3: Methodically Tested and Checked EAL4: Methodically Designed, Tested and Reviewed EAL5: Semiformally Designed and Tested EAL6: Semiformally Verified Design and Tested EAL7: Formally Verified Design and Tested Evaluierung durch einen mathematischen Beweis... 50

51 In der Praxis heisst das... 51

52 Überprüft man all das, kann herauskommen, das eine EAL Evaluierung nicht ganz so toll ist, zunächst gedacht... 52

53 Schönes schlechtes Beispiel: Die EAL4+ Zertifizierung eines Markbegleiters im Bereich der unixoiden Betriebsysteme... 53

54 Es wurde unter anderem auch die Clientvariante getestet... 54

55 Aus der Security Target Definition der Evaluierung: Aus dem Evaluation Report der Evaluierung: 55

56 Ein Client ohne graphischen Desktop? 56

57 Meine Empfehlung daher: Sehr genau die Evaluierungunterlagen lesen! 57

58 Schönes sehr schlechtes Beispiel: Die Evaluierung für Windows NT vor vielen Jahren... die nur galt, wenn das System nicht an Netzwerke angeschlossen war. 58

59 Im Security Target fuer Windows NT stand... The CAPP provides for a level of protection which is appropriate for an assumed non-hostile and well-managed user community requiring protection against threats of inadvertent or casual attempts to breach the system security. The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel. Bedeutet in Echtsprache... Häng das System nicht ans Internet, lass keine drauf laufen, und wenn du dem Softwareentwickler nicht 100% vertraust, installiere nicht dessen Programme. Und wenn einer deiner Mitarbeiter was gegen dich hat, bist Du eh im Eimer. Gegen einen ausreichend zielgesteuerten Angreifer hast Du eh keine Chance... 59

60 Bei Solaris beinhaltet das Security Target von den ACLs ueber RBAC bis hin zu Userdatenbanken im LDAP inclusive eingeschalteten Desktop eine Vielzahl von Features. 60

61 Bei den Trusted Solaris bzw. den Trusted Extension berücksichtigt die Evaluierung sogar die Berücksichtigung von Geheimhaltungsstufen beim Drucken, bei Übertragung von Daten via NFS sogar beim Cut n Paste zwischen Fenstern mit Daten unterschiedlicher Geheimhaltung. 61

62 62

63 Für Solaris 10 11/06: Security Target: Certification Report: 63

64 Und mal ganz ehrlich... 64

65 Eine erhaltene Certification sagt an sich auch noch wenig ueber die Sicherheit eines Systems aus... 65

66 Viele Sicherheitsprobleme haben ihren Ursprung vor der Tastatur. 66

67 Securityfeatures in Solaris 67

68 Daher werde ich in meinem Vortrag mich jetzt eher auf praktische Dinge verlagern... 68

69 Features, die es erleichtern ein System sicherer zu machen... 69

70 Ich kann in 60 Minuten nur eine kleine Auswahl streifen... 70

71 Secure by default 71

72 Solaris hat den Ruf, in der Standard Konfiguration zuviele Dienste im Netz zur Verfügung zu stellen... 72

73 Portscan wurde gestartet Port Scanning host: Open TCP Port: 21 ftp Open TCP Port: 22 ssh Open TCP Port: 23 telnet Open TCP Port: 25 smtp Open TCP Port: 79 finger Open TCP Port: 111 sunrpc Open TCP Port: 513 login Open TCP Port: 514 shell Open TCP Port: 587 submission Open TCP Port: 898 Portscan wurde beendet 73

74 Das dem so ist, hängt mit der Binärkompatibilitätsgarantie von Solaris zusammen... 74

75 Ein Programm könnte darauf angewiesen sein, das der Dienst genauso wie in alten Versionen offen verfügbar ist. 75

76 Secure by Default bedeutet: Vom Netz aus ist nur der SSH-Port erreichbar. 76

77 Will man den Zustand vor Secure by default # netservices open 77

78 Und so macht man das System wieder zu... # netservices limited 78

79 Secure by Default ist heute voreingestellt bei der Installation. 79

80 Der Auslieferungszustand sieht heute so aus... Portscan wurde gestartet Port Scanning host: Open TCP Port: 22 ssh Open TCP Port: 111 sunrpc Portscan wurde beendet 80

81 Die meisten Dienste sind weiterhin aktiv... 81

82 Sie horchen nur nicht mehr auf externe Netzwerkinterfaces... 82

83 (aus Glen Brunettes Solaris Security Deep Dive) 83

84 RBAC 84

85 Das herkömmliche Rechtemodell ist zweigeteilt... 85

86 $ kann wenig 86

87 # kann alles 87

88 Das ist nicht immer wirklich optimal... 88

89 Herausforderung: Manche Dinge in einem Unix-Rechner erfordern root-rechte 89

90 Problem: Will man jedem Admin wirklich das Password für den Root-Account geben? 90

91 Ein Admin, der eigentlich nur für das Hinzufügen von Druckern verantwortlich ist, kann auch das Auditing ausschalten am Cluster rumspielen Netzwerkinterfaces umkonfigurieren 91

92 Dieses Problem ist so alt wie Unix selbst. 92

93 1980 wurde daher sudo erfunden. 93

94 sudo steht übrigens nicht für super user do 94

95 sudo steht für substitute user do 95

96 Solaris löst das Problem etwas anders... 96

97 RBAC = Role based access control 97

98 Als Admin hat man immer eine Rolle. 98

99 Man ist normaler User, aber auch: Printer Admin Operator User Admin Filesystem Admin 99

100 Ein Rolle hat immer ein Rollenprofil

101 Das Rollenprofil legt fest: - welche Programme die Rolle ausführen kann - welche Authorisations eine Rolle hat 101

102 Eine oder mehrere Rollenprofile werden einer Rolle zugewiesen. 102

103 Eine Rolle ist technisch eine Nutzeraccount in den man sich nicht direkt einloggen kann. 103

104 Man loggt sich als normaler Nutzer ein

105 ... und nimmt eine Rolle an. 105

106 Nur so lange man diese Rolle angenommen hat, hat man die Sonderrechte dieser Rolle. 106

107 Hat man seine Arbeit erledigt, dann verlässt man die Rolle und ist wieder normaler User. 107

108 Beispiel: $ /usr/sbin/share /export/home/jmoekamp Could not share: /export/home/jmoekamp: no permission $ grep "share" /etc/security/exec_attr File System Management:suser:cmd:::/usr/sbin/dfshares:euid=0 File System Management:suser:cmd:::/usr/sbin/share:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/shareall:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/sharemgr:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/unshare:uid=0;gid=root File System Management:suser:cmd:::/usr/sbin/unshareall:uid=0;gid=root [...] $ su root Password: # usermod -P'File System Management' jmoekamp UX: usermod: jmoekamp is currently logged in, some changes may not take effect until next login. # exit $ pfexec /usr/sbin/share /export/home/jmoekamp $ /usr/sbin/share - /export/home/jmoekamp rw "" 108

109 Bisher klingt das ganze nach einem etwas erweiterten sudo. 109

110 Sun RBAC kennt zusätzlich das Konzept der Authorizations. 110

111 Authorisations löst folgende Frage: Wie kann man einem Nutzer nur erlauben nur bestimmte Funktionen eines Programms auszuführen? 111

112 Wichtig: Der Kernel erzwingt hier nichts

113 Das Beachten von Authorisations ist Sache der Applikation. 113

114 Allerdings unterstützen viele Programme des Solaris Operating Environments Authorisations. 114

115 Der Kernel stellt nur Funktionen bereit, um einer Applikation mitzuteilen, welche Authorisations eine Rolle hat. 115

116 Auch in einem frisch installierten Solaris werden Authorisations genutzt. 116

117 Jeder Nutzer hat die Authorisation: solaris.device.cdrw.* Dadurch kann jeder Nutzer CD lesen und beschreiben

118 Stellen Sie sich das wie ein Werkzeugschrank mit einer Bohrschraubmaschine vor. 118

119 Die Rolle ist der Schlüssel zum Werkzeugschrank 119

120 Mit der Authorisation überprüft der Bohrschrauber ob der Handwerker authorisiert ist: - ein Loch zu bohren - Schrauben aus der Wand zu drehen - den Bohrer oder das Bit zu wechseln 120

121 Wozu man das braucht? Wenn Sie verhindern wollen, das jemand wieder die Stromleitung anbohrt, aber sie der Person schon erlauben wollen, Schrauben aus der Wand zu holen

122 Um auf Solaris zurück zu kommen... Sie wollen möglicherweise nicht jedem Admin jede Funktion eines Tools zugänglich machen. 122

123 Least Privileges 123

124 There is no root! 124

125 Okay, es gibt noch einen User root mit der UserID 0 der alle Rechte eines root hat

126 Ja... hängt auch wieder mit der Binärkompatibilitätsgarantie zusammen

127 Sie können auch jedem anderen Nutzer root-gleiche Rechte geben

128 Aber das muss so nicht mehr sein

129 Es ist nur noch aus Kompatibilitätsgründen so! 129

130 Solaris 10 arbeitet mit Priviliegien 130

131 Es gibt mittlerweile eine Vielzahl von Privileges contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 131

132 Mit Solaris Privileges kann man auf zwei Arten umgehen. 132

133 Man startet mit dem Service Management Framework einen Service mit einem eingeschränkten oder erweiterten Satz Privilegien 133

134 Oder die Applikation macht das selber... usr/src/lib/print/libpapi-lpd/common/lpd-port.c: 134

135 Oder die Applikation macht das selber... usr/src/lib/print/libpapi-lpd/common/lpd-port.c: 135

136 Nehmen wir als Beispiel den Apache

137 Frage in die Runde: Warum muss Apache mit root-rechten gestartet werden? # ps -ef grep "apache" grep -v "grep" webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start root :11:50? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :11:54? 0:00 /usr/apache2/2.2/bin/httpd -k start 137

138 Richtig: Port 80 ist ein privilegierter Port

139 Man brauchte bisher root-rechte, um dieses Privileg zu erlangen

140 Ich kann unter Solaris 10 das Privileg an User vergeben, sich an priviligierte Ports zu binden! 140

141 Die Priviliegien eines Root-Users contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 141

142 Rechte eines normalen Users... contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config Das ist sys_devices der sogenannte sys_ip_config basic-set von Privilegien. sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 142

143 Um noch mal auf das Beispiel des Apache-Servers zurueck zu kommen

144 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid net_privaddr: proc_taskid Allow a process proc_zone to bind to a sys_acct privileged port sys_admin sys_audit sys_config number. The sys_devices privilege port sys_ip_config numbers are sys_ipc_config (the sys_linkdir sys_mount traditional UNIX sys_net_config privileged ports) sys_nfs as well sys_res_config as those sys_resource sys_smb ports marked sys_suser_compat as "udp/tcp_extra_priv_ports" sys_time with the sys_trans_label win_colormap exception of the ports win_config reserved for use win_dac_read by NFS and SMB. win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 144

145 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config proc_info: sys_devices Allow a process sys_ip_config to examine the sys_ipc_config status of sys_linkdir sys_mount processes sys_net_config other than those sys_nfs to which sys_res_config it can send sys_resource sys_smb signals. sys_suser_compat Processes that cannot be examined sys_time cannot sys_trans_label win_colormap be seen /proc win_config and appear not win_dac_read to exist. win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 145

146 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config proc_session: sys_devices Allow a sys_ip_config process to send signals sys_ipc_config or sys_linkdir sys_mount trace processes sys_net_config outside its session. sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 146

147 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config file_link_any: sys_devices Allow a sys_ip_config process to create sys_ipc_config hardlinks to files sys_linkdir sys_mount owned sys_net_config by a UID different from sys_nfs the process's sys_res_config effective UID. sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 147

148 Was braucht jetzt ein Apache Server? contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 148

149 There is no root! 149

150 Und das haben sie bisher vergeben... contract_event contract_observer cpc_cpu dtrace_kernel dtrace_proc dtrace_user file_chown file_chown_self file_dac_execute file_dac_read file_dac_search file_dac_write file_downgrade_sl file_flag_set file_link_any file_owner file_setid file_upgrade_sl graphics_access graphics_map ipc_dac_read ipc_dac_write ipc_owner net_bindmlp net_icmpaccess net_mac_aware net_privaddr net_rawaccess proc_audit proc_chroot proc_clock_highres proc_exec proc_fork proc_info proc_lock_memory proc_owner proc_priocntl proc_session proc_setid proc_taskid proc_zone sys_acct sys_admin sys_audit sys_config sys_devices sys_ip_config sys_ipc_config sys_linkdir sys_mount sys_net_config sys_nfs sys_res_config sys_resource sys_smb sys_suser_compat sys_time sys_trans_label win_colormap win_config win_dac_read win_dac_write win_devices win_dga win_downgrade_sl win_fontpath win_mac_read win_mac_write win_selection win_upgrade_sl 150

151 Via SMF kann man die Privilegien setzen... # svcprop -v -p start apache2 start/exec astring /lib/svc/method/http-apache2\ start start/timeout_seconds count 60 start/type astring method start/user astring webservd start/group astring webservd start/privileges astring basic,!proc_session,!proc_info,!file_link_any,net_privaddr start/limit_privileges astring :default start/use_profile boolean false start/supp_groups astring :default start/working_directory astring :default start/project astring :default start/resource_pool astring :default 151

152 Dann kann man auch den webserver ohne root-rechte laufen lassen... # svcprop -v -p start apache2 start/exec astring /lib/svc/method/http-apache2\ start start/timeout_seconds count 60 start/type astring method start/user astring webservd start/group astring webservd start/privileges astring basic,!proc_session,!proc_info,!file_link_any,net_privaddr start/limit_privileges astring :default start/use_profile boolean false start/supp_groups astring :default start/working_directory astring :default start/project astring :default start/resource_pool astring :default 152

153 # ps -ef grep "apache2" grep -v "grep" webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:53? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start webservd :29:54? 0:00 /usr/apache2/2.2/bin/httpd -k start 153

154 Ganz neue Entwicklung... Apache selbst wird privilege-aware - mod_privileges 154

155 mod_privileges Pro <virtualhost></virtualhost> ein eigener Satz Privilegien... und nebenbei auch getrennter User und Group. 155

156 Achja... ein Punkt zu there is no root. Eine Besonderheit gibt es

157 Files die root gehoeren, kann man nur ändern, wenn man alle Priviliegen hat. 157

158 Warum? Hat man die Privilegien sämtliche Dateien zu ändern, könnte man auch die Dateien ändern, die die Privilegien ändern. 158

159 Weitere interessante Features

160 Auditing Die Fragestellung: Was passiert auf meinem System? Wann hat wer welche Kommandos ausgeführt? 160

161 Auditing Solaris Auditing beantwortet diese Fragestellung header,124,2,aue_execve,,localhost, :12: :00 path,/usr/bin/ls attribute,100555,root,bin, ,1380,0 exec_args,2,ls,-l subject,jmoekamp,root,root,root,root,665, , return,success,0 161

162 Auditing Mit Solaris Auditing kann man eine Vielzahl von Aktionen im System überwachen

163 Basic Audit Reporting Tool Fragestellung: Ist das System wirklich noch so wie ich es installiert habe? Oder die Standardausrede eines jeden Admin wenn was schief geht: Ich habe wirklich nichts geändert!!! 1 1 Ich eingeschlossen

164 Basic Audit Reporting Tool Nach der Installation lässt man das BART ein erstes Mal über die Dateisysteme laufen. 164

165 Basic Audit Reporting Tool Damit hat man eine Baseline für spätere Vergleiche... Diese Datei gut weglegen! 165

166 Basic Audit Reporting Tool Der Tag ist da... man will wissen, was an einem System verändert worden ist. 166

167 Basic Audit Reporting Tool Man lässt nochmals das BART Tool über die Installation laufen. 167

168 Basic Audit Reporting Tool Und dann vergleicht man diese Versionen. 168

169 Basic Audit Reporting Tool /nsswitch.files: mode control: test: acl control:user::rw-,group::r--,mask:r--,other:r-- test:user::rwx,group::rwx,mask:rwx,other:rwx /nsswitch.nisplus: size control:2525 test:2538 mtime control:473976b5 test:47a44862 contents control:79e8fd689a5221d1cd059e5077da71b8 test:3f79176ec352441db11ec8a3d02ef67c /thisisjustatest:add Das kommt dabei raus, wenn man zwischen den beiden Starts von BART die rechte an /etc/nsswitch.files ändert, 2. an /etc/nsswitch.nisplus eine Zeile anhängt, 3. und ein touch /etc/thisisjustatest ausführt. 169

170 Signed Binaries Okay, ich habe hier die /usr/sbin/ifconfig... aber ist die Datei auch von Sun? 170

171 Signed Binaries Jedes Programm des Solaris Operating Environment ist von Sun digital signiert. 171

172 Signed Binaries # elfsign verify -v /usr/sbin/ifconfig elfsign: verification of /usr/sbin/ifconfig passed. format: rsa_md5_sha1. signer: CN=SunOS 5.10, OU=Solaris Signed Execution, O=Sun Microsystems Inc. 172

173 IP Filter Solaris verfügt über eine Firewall: Stateful und Stateless Packet Inspection beherrscht Support for both NAT and PAT Proxies für bestimmte (TCP, UDP, FTP, rcmds, etc.) 173

<Insert Picture Here> Ich bin /root ich darf das! Oder etwa nicht??? Eine Einführung in Role Based Access Control unter Solaris Stefan Hinker EMEA Hardware Principal Sales Consultant Agenda /root darf

Mehr

Titelbild1 ANSYS. Customer Portal LogIn

Titelbild1 ANSYS. Customer Portal LogIn Titelbild1 ANSYS Customer Portal LogIn 1 Neuanmeldung Neuanmeldung: Bitte Not yet a member anklicken Adressen-Check Adressdaten eintragen Customer No. ist hier bereits erforderlich HERE - Button Hier nochmal

Mehr

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2

ReadMe zur Installation der BRICKware for Windows, Version 6.1.2. ReadMe on Installing BRICKware for Windows, Version 6.1.2 ReadMe zur Installation der BRICKware for Windows, Version 6.1.2 Seiten 2-4 ReadMe on Installing BRICKware for Windows, Version 6.1.2 Pages 5/6 BRICKware for Windows ReadMe 1 1 BRICKware for Windows, Version

Mehr

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich?

KURZANLEITUNG. Firmware-Upgrade: Wie geht das eigentlich? KURZANLEITUNG Firmware-Upgrade: Wie geht das eigentlich? Die Firmware ist eine Software, die auf der IP-Kamera installiert ist und alle Funktionen des Gerätes steuert. Nach dem Firmware-Update stehen Ihnen

Mehr

Effizienz im Vor-Ort-Service

Effizienz im Vor-Ort-Service Installation: Anleitung SatWork Integrierte Auftragsabwicklung & -Disposition Februar 2012 Disposition & Auftragsabwicklung Effizienz im Vor-Ort-Service Disclaimer Vertraulichkeit Der Inhalt dieses Dokuments

Mehr

IT-Security durch das passende OS. Oracle Solaris 11.2.

IT-Security durch das passende OS. Oracle Solaris 11.2. IT-Security durch das passende OS. Oracle Solaris 11.2. Heiko Stein Senior IT-Architekt etomer GmbH Agenda. Motivation (?) Compliance und Security in Solaris 11.2 Besondere Funktionen und deren Nutzung

Mehr

Rechnernetze. 6. Übung

Rechnernetze. 6. Übung Hochschule für Technik und Wirtschaft Studiengang Kommunikationsinformatik Prof. Dr. Ing. Damian Weber Rechnernetze 6. Übung Aufgabe 1 (TCP Client) Der ECHO Service eines Hosts wird für die Protokolle

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= Error: "Could not connect to the SQL Server Instance" or "Failed to open a connection to the database." When you attempt to launch ACT! by Sage or ACT by Sage Premium for

Mehr

Softwareanforderungen für Microsoft Dynamics CRM Server 2015

Softwareanforderungen für Microsoft Dynamics CRM Server 2015 Softwareanforderungen für Microsoft Dynamics CRM Server 2015 https://technet.microsoft.com/de-de/library/hh699671.aspx Windows Server-Betriebssystem Microsoft Dynamics CRM Server 2015 kann nur auf Computern

Mehr

Version/Datum: 1.5 13-Dezember-2006

Version/Datum: 1.5 13-Dezember-2006 TIC Antispam: Limitierung SMTP Inbound Kunde/Projekt: TIC The Internet Company AG Version/Datum: 1.5 13-Dezember-2006 Autor/Autoren: Aldo Britschgi aldo.britschgi@tic.ch i:\products\antispam antivirus\smtp

Mehr

Invitation - Benutzerhandbuch. User Manual. User Manual. I. Deutsch 2. 1. Produktübersicht 2. 1.1. Beschreibung... 2

Invitation - Benutzerhandbuch. User Manual. User Manual. I. Deutsch 2. 1. Produktübersicht 2. 1.1. Beschreibung... 2 Invitation - Inhaltsverzeichnis I. Deutsch 2 1. Produktübersicht 2 1.1. Beschreibung......................................... 2 2. Installation und Konfiguration 2 2.1. Installation...........................................

Mehr

LINUX 4 AIX Ein Überblick. 1 17.03.2014 AIX 2 LINUX Webcast

LINUX 4 AIX Ein Überblick. 1 17.03.2014 AIX 2 LINUX Webcast LINUX 4 AIX Ein Überblick 1 17.03.2014 AIX 2 LINUX Webcast Agenda 00 Voraussetzungen und Vorbereitung 01 Virtualisierung 02 HA High Availability und Cluster 03 System Management Deployment Monitoring 04

Mehr

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3

1. General information... 2 2. Login... 2 3. Home... 3 4. Current applications... 3 User Manual for Marketing Authorisation and Lifecycle Management of Medicines Inhalt: User Manual for Marketing Authorisation and Lifecycle Management of Medicines... 1 1. General information... 2 2. Login...

Mehr

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient

NEWSLETTER. FileDirector Version 2.5 Novelties. Filing system designer. Filing system in WinClient Filing system designer FileDirector Version 2.5 Novelties FileDirector offers an easy way to design the filing system in WinClient. The filing system provides an Explorer-like structure in WinClient. The

Mehr

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe

Cameraserver mini. commissioning. Ihre Vision ist unsere Aufgabe Cameraserver mini commissioning Page 1 Cameraserver - commissioning Contents 1. Plug IN... 3 2. Turn ON... 3 3. Network configuration... 4 4. Client-Installation... 6 4.1 Desktop Client... 6 4.2 Silverlight

Mehr

Concept. Chapter. Locking daemon over CIFS for OpenOffice.org. Verantwortlich

Concept. Chapter. Locking daemon over CIFS for OpenOffice.org. Verantwortlich FOSS-Group GmbH Bismarckallee 9 4D-79098 Freiburg i.br Tel. +41 (0)61 751 72 80 Fax +41 (0)61 751 78 79 www.foss-group.eu Mail: info@foss-group.eu Concept OSBD Chapter Locking daemon over CIFS for OpenOffice.org

Mehr

LaFonera Erweiterung - Erstinstallation -

LaFonera Erweiterung - Erstinstallation - LaFonera Erweiterung - Erstinstallation - Inhaltsverzeichnis Benötigte Software SSH-Client z.b. Putty SFTP-Client z.b. WinSCP Vorraussetzungen Firmwareversion SSH Zugriff WinSCP3 Zugriff Installation der

Mehr

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie

Mac OS X Firewall. Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de. 21. November 2011. Zentrale Services Informationstechnologie Mac OS X Firewall Mark Heisterkamp heisterkamp@rrzn.uni-hannover.de 21. November 2011 Mark Heisterkamp, Mac OS X Firewall, 21. November 2011 Seite 1/20 Lion Seit Mac OS X 10.7 drei Firewalls: Applikationsspezifisch

Mehr

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe)

Sysadmin Day 2010. Windows & Linux. Ralf Wigand. MVP Directory Services KIT (Universität Karlsruhe) Sysadmin Day 2010 Windows & Linux just good friends? friends!!! Ralf Wigand MVP Directory Services KIT (Universität Karlsruhe) Voraussetzungen Sie haben ein Active Directory Sie haben einen Linux Client

Mehr

Installation mit Lizenz-Server verbinden

Installation mit Lizenz-Server verbinden Einsteiger Fortgeschrittene Profis markus.meinl@m-quest.ch Version 1.0 Voraussetzungen für diesen Workshop 1. Die M-Quest Suite 2005-M oder höher ist auf diesem Rechner installiert 2. Der M-Lock 2005 Lizenzserver

Mehr

ELBA2 ILIAS TOOLS AS SINGLE APPLICATIONS

ELBA2 ILIAS TOOLS AS SINGLE APPLICATIONS ELBA2 ILIAS TOOLS AS SINGLE APPLICATIONS An AAA/Switch cooperative project run by LET, ETH Zurich, and ilub, University of Bern Martin Studer, ilub, University of Bern Julia Kehl, LET, ETH Zurich 1 Contents

Mehr

p^db=`oj===pìééçêíáåñçêã~íáçå=

p^db=`oj===pìééçêíáåñçêã~íáçå= p^db=`oj===pìééçêíáåñçêã~íáçå= How to Disable User Account Control (UAC) in Windows Vista You are attempting to install or uninstall ACT! when Windows does not allow you access to needed files or folders.

Mehr

Galileo Desktop Benutzerhandbuch Version 1.02

Galileo Desktop Benutzerhandbuch Version 1.02 Galileo Desktop Benutzerhandbuch Version 1.02 Galileo Deutschland GmbH. All rights reserved. Dieses Dokument enthält Informationen, an denen Galileo International Rechte besitzt. Dieses Dokument darf nur

Mehr

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia

3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia 3A03 Security Löcher schnell und effizient schließen mit HP OpenView Radia Alexander Meisel HP OpenView 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change

Mehr

Mobile Device Management (MDM) Part2

Mobile Device Management (MDM) Part2 Jürg Koller CONSULTANT trueit GMBH juerg.koller@trueit.ch @juergkoller blog.trueit.ch / trueit.ch Pascal Berger CONSULTANT trueit GMBH pascal.berger@trueit.ch @bergerspascal blog.trueit.ch / trueit.ch

Mehr

WordPress lokal mit Xaamp installieren

WordPress lokal mit Xaamp installieren WordPress lokal mit Xaamp installieren Hallo und willkommen zu einem weiteren Teil der WordPress Serie, in diesem Teil geht es um die Lokale Installation von WordPress mithilfe von Xaamp. Kurz und knapp

Mehr

Remotely Anywhere Verwendung von Zertifikaten Schritt für Schritt Anleitung zur Implementation von Zertifikaten in Remotely Anywhere

Remotely Anywhere Verwendung von Zertifikaten Schritt für Schritt Anleitung zur Implementation von Zertifikaten in Remotely Anywhere Remotely Anywhere Verwendung von Zertifikaten Schritt für Schritt Anleitung zur Implementation von Zertifikaten in Remotely Anywhere Copyright 1997-2005 Brainware Consulting & Development AG All rights

Mehr

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com)

Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Frequently asked Questions for Kaercher Citrix (apps.kaercher.com) Inhalt Content Citrix-Anmeldung Login to Citrix Was bedeutet PIN und Token (bei Anmeldungen aus dem Internet)? What does PIN and Token

Mehr

1) JAVA JRE auf der QNAP Box installieren

1) JAVA JRE auf der QNAP Box installieren Hallo, hier eine kleine unvollständige Anleitung wie das CCU-Historian auf der QNAP läuft. Wenn Du eine QNAP hast, solltest Du diesen Weg nur dann beschreiten, wenn Du einmal eine Kommandozeile gesehen

Mehr

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation

Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com. z/os Explorer. 2014 IBM Corporation Isabel Arnold CICS Technical Sales Germany Isabel.arnold@de.ibm.com z/os Explorer Agenda Introduction and Background Why do you want z/os Explorer? What does z/os Explorer do? z/os Resource Management

Mehr

WINDOWS 8 WINDOWS SERVER 2012

WINDOWS 8 WINDOWS SERVER 2012 WINDOWS 8 WINDOWS SERVER 2012 IT Fachforum 2012 :: 24.09.-27.09.2012 Andreas Götzfried IT Fachforum::Agenda Windows 8 Windows Server 2012 Zertifizierung WINDOWS 8 Schöne neue Welt Andreas Götzfried Windows

Mehr

Ralf M. Schnell. Technical Evangelist Microsoft Deutschland GmbH

Ralf M. Schnell. Technical Evangelist Microsoft Deutschland GmbH Ralf M. Schnell Technical Evangelist Microsoft Deutschland GmbH Was ist Server Core? Warum Server Core? Was kann man damit machen? Was kann man damit nicht machen? Server Core: Installation Server Core:

Mehr

German English Firmware translation for T-Sinus 154 Access Point

German English Firmware translation for T-Sinus 154 Access Point German English Firmware translation for T-Sinus 154 Access Point Konfigurationsprogramm Configuration program (english translation italic type) Dieses Programm ermöglicht Ihnen Einstellungen in Ihrem Wireless

Mehr

Parameter-Updatesoftware PF-12 Plus

Parameter-Updatesoftware PF-12 Plus Parameter-Updatesoftware PF-12 Plus Mai / May 2015 Inhalt 1. Durchführung des Parameter-Updates... 2 2. Kontakt... 6 Content 1. Performance of the parameter-update... 4 2. Contact... 6 1. Durchführung

Mehr

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung

Stefan Dahler. 1. Konfiguration der Stateful Inspection Firewall. 1.1 Einleitung 1. Konfiguration der Stateful Inspection Firewall 1.1 Einleitung Im Folgenden wird die Konfiguration der Stateful Inspection Firewall beschrieben. Es werden Richtlinien erstellt, die nur den Internet Verkehr

Mehr

Sicherheitsdienste für große Firmen => Teil 2: Firewalls

Sicherheitsdienste für große Firmen => Teil 2: Firewalls Seite 21 Sicherheitsdienste für große Firmen => Teil 2: Firewalls Sicherer Zugang zum World Wide Web (HTTP, FTP etc.) Sicherer Übergang zum Internet: Firewalls und Intrusion Detection Verzeichnisdienste

Mehr

Availability Manager Overview

Availability Manager Overview DECUS Symposium 2007 Availability Manager Overview Günter Kriebel Senior Consultant OpenVMS guenter.kriebel@hp.com GET CONNECTED People. Training. Technology. 2006 Hewlett-Packard Development Company,

Mehr

Die in diesem Dokument aufgelisteten Anforderungen an das Betriebssystem schließen die aktuellen Patches und Servivepacks ein.

Die in diesem Dokument aufgelisteten Anforderungen an das Betriebssystem schließen die aktuellen Patches und Servivepacks ein. Systemanforderungen Die unten angeführten Systemanforderungen für Quark Publishing Platform sind grundlegende Anforderungen, Ihre Benutzerzahl, Asset-Anzahl und Anzahl der Asset-Versionen beeinflussen

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor Routern Rev. 1.0 Copyright 2003 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt, wie eine

Mehr

EEX Kundeninformation 2007-09-05

EEX Kundeninformation 2007-09-05 EEX Eurex Release 10.0: Dokumentation Windows Server 2003 auf Workstations; Windows Server 2003 Service Pack 2: Information bezüglich Support Sehr geehrte Handelsteilnehmer, Im Rahmen von Eurex Release

Mehr

HowTo OpenVPN Client mit öffentlich erreichbaren Feste IP Adressen

HowTo OpenVPN Client mit öffentlich erreichbaren Feste IP Adressen HowTo OpenVPN Client mit öffentlich erreichbaren Feste IP Adressen Ziel Als Ziel der Installation wird es folgende Szenario mit IPFire implementiert. (Quelle : http://www.portunity.de/access/wiki/beispiel-szenarien_von_vpn-tunneln_auf_pptp-

Mehr

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: 6. FTP Proxy (Anti Virus) 6.1 Einleitung Sie konfigurieren den FTP Proxy, um den Datentransfer übers Internet zu kontrollieren. Ein FTP Server befindet sich vorkonfiguriert im Internet mit der IP-Adresse

Mehr

How to use the large-capacity computer Lilli? IMPORTANT: Access only on JKU Campus!! Using Windows:

How to use the large-capacity computer Lilli? IMPORTANT: Access only on JKU Campus!! Using Windows: How to use the large-capacity computer Lilli? IMPORTANT: Access only on JKU Campus!! Using Windows: In order to connect to Lilli you need to install the program PUTTY. The program enables you to create

Mehr

MobiDM-App Handbuch für Windows Mobile

MobiDM-App Handbuch für Windows Mobile MobiDM-App Handbuch für Windows Mobile Dieses Handbuch beschreibt die Installation und Nutzung der MobiDM-App für Windows Mobile Version: x.x MobiDM-App Handbuch für Windows Mobile Seite 1 Inhalt 1. WILLKOMMEN

Mehr

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung

Security. Stefan Dahler. 6. Zone Defense. 6.1 Einleitung 6. Zone Defense 6.1 Einleitung Im Folgenden wird die Konfiguration von Zone Defense gezeigt. Sie verwenden einen Rechner für die Administration, den anderen für Ihre Tests. In der Firewall können Sie entweder

Mehr

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL - USER GUIDE June 2016

VGM. VGM information. HAMBURG SÜD VGM WEB PORTAL - USER GUIDE June 2016 Overview The Hamburg Süd VGM-Portal is an application which enables to submit VGM information directly to Hamburg Süd via our e-portal web page. You can choose to insert VGM information directly, or download

Mehr

VPN Tracker für Mac OS X

VPN Tracker für Mac OS X VPN Tracker für Mac OS X How-to: Kompatibilität mit DrayTek Vigor VPN Routern Rev. 3.0 Copyright 2003-2005 equinux USA Inc. Alle Rechte vorbehalten. 1. Einführung 1. Einführung Diese Anleitung beschreibt,

Mehr

Employment and Salary Verification in the Internet (PA-PA-US)

Employment and Salary Verification in the Internet (PA-PA-US) Employment and Salary Verification in the Internet (PA-PA-US) HELP.PYUS Release 4.6C Employment and Salary Verification in the Internet (PA-PA-US SAP AG Copyright Copyright 2001 SAP AG. Alle Rechte vorbehalten.

Mehr

Installationsanleitung für DoRIS unter Linux Inhaltsverzeichnis

Installationsanleitung für DoRIS unter Linux Inhaltsverzeichnis Installationsanleitung für DoRIS unter Linux Seite 1 Installationsanleitung für DoRIS unter Linux Inhaltsverzeichnis Installationsanleitung für DoRIS unter Linux... 1 Vorbemerkungen... 1 Benötigte Komponenten

Mehr

TW Struktura / TW ArchiMed

TW Struktura / TW ArchiMed Installation von Microsoft SQL Server 2008 R2 Express für TW ArchiMed / TW Struktura ab Version 2012 Arbeitsumgebung: Microsoft Windows XP Professional 32bit/64bit deutsch Microsoft Windows Vista Business

Mehr

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen Knowlegde Guide Wien, Februar 2004 INHALT Für den Test von zertifikatsbasierten Anwendungen in einer Windowsumgebung benötigt

Mehr

Meeting and TASK TOOL. Bedienungsanleitung / Manual. 2010 IQxperts GmbH. Alle Rechte vorbehalten.

Meeting and TASK TOOL. Bedienungsanleitung / Manual. 2010 IQxperts GmbH. Alle Rechte vorbehalten. 2010 IQxperts GmbH. Alle Rechte vorbehalten. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche

Mehr

Load balancing Router with / mit DMZ

Load balancing Router with / mit DMZ ALL7000 Load balancing Router with / mit DMZ Deutsch Seite 3 English Page 10 ALL7000 Quick Installation Guide / Express Setup ALL7000 Quick Installation Guide / Express Setup - 2 - Hardware Beschreibung

Mehr

VoIP Test mit HST-3000 und T-Online Anschluss Von Sascha Chwalek

VoIP Test mit HST-3000 und T-Online Anschluss Von Sascha Chwalek Application Note VoIP Test mit HST-3000 und T-Online Anschluss Von Sascha Chwalek T-Online bietet jedem T-DSL Kunden einen kostenlosen VoIP-Anschluss unter der Bezeichnung DSL Telefonie an. Der Dienst

Mehr

Exercise (Part VIII) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1

Exercise (Part VIII) Anastasia Mochalova, Lehrstuhl für ABWL und Wirtschaftsinformatik, Kath. Universität Eichstätt-Ingolstadt 1 Exercise (Part VIII) Notes: The exercise is based on Microsoft Dynamics CRM Online. For all screenshots: Copyright Microsoft Corporation. The sign ## is you personal number to be used in all exercises.

Mehr

OEDIV SSL-VPN Portal Access for externals

OEDIV SSL-VPN Portal Access for externals OEDIV SSL-VPN Portal Access for externals Abteilung Serverbetreuung Andre Landwehr Date 31.07.2013 Version 1.2 Seite 1 von 9 Versionshistorie Version Datum Autor Bemerkung 1.0 06.08.2011 A. Landwehr Initial

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Virtualisierung in der Praxis. Thomas Uhl Topalis AG

Virtualisierung in der Praxis. Thomas Uhl Topalis AG Thomas Uhl Topalis AG Firmenübersicht 20.11.07 Thomas Uhl 2 Wikipedia sagt: In computing, virtualization is a broad term that refers to the abstraction of computer resources. One useful definition is "a

Mehr

05. admin Installation von ClarkConnect 3.0 - V1.01.doc

05. admin Installation von ClarkConnect 3.0 - V1.01.doc Admin Installation von ClarkConnect 3.0 - Home Axel Häseli 05. admin Installation von ClarkConnect 3.0 - V1.01.doc Voraussetzung: 02. Installation von Clarkconnect Home 3.0 Vx.xx.doc erledigt 03. Registrierung

Mehr

Powershell DSC Oliver Ryf

Powershell DSC Oliver Ryf 1 Powershell DSC Oliver Ryf Partner: 2 Agenda Begrüssung Vorstellung Referent PowerShell Desired State Configuration F&A Weiterführende Kurse 3 Vorstellung Referent Seit 1991 IT-Trainer 1995 MCSE und MCT

Mehr

Windows Server 2003. Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06.

Windows Server 2003. Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06. Dieses Dokument beschreibt einige Details zum Aufsetzen eines Windows Server 2003 (Andres Bohren / 05.06.2004) Inhalt Inhalt... 2 Konfiguration... 3 Features Konfigurieren... 3 Shutdown Event Tracker...

Mehr

Abteilung Internationales CampusCenter

Abteilung Internationales CampusCenter Abteilung Internationales CampusCenter Instructions for the STiNE Online Enrollment Application for Exchange Students 1. Please go to www.uni-hamburg.de/online-bewerbung and click on Bewerberaccount anlegen

Mehr

Symbio system requirements. Version 5.1

Symbio system requirements. Version 5.1 Symbio system requirements Version 5.1 From: January 2016 2016 Ploetz + Zeller GmbH Symbio system requirements 2 Content 1 Symbio Web... 3 1.1 Overview... 3 1.1.1 Single server installation... 3 1.1.2

Mehr

Network-Attached Storage mit FreeNAS

Network-Attached Storage mit FreeNAS Network-Attached Storage mit FreeNAS Diese Anleitung zeigt das Setup eines NAS-Servers mit FreeNAS. FreeNAS basiert auf dem OS FreeBSD und unterstützt CIFS (samba), FTP, NFS, RSYNC, SSH, lokale Benutzer-Authentifizierung

Mehr

Firewalling. Michael Mayer IAV0608 Seite 1 von 6

Firewalling. Michael Mayer IAV0608 Seite 1 von 6 Firewalling Ausgangssituation: Das Netzwerk besteht aus einem Gateway, mehreren Subservern und dessen Subnetzwerken. Aufgabe ist es eine Firewall auf dem Subserver zu installieren, welche das Netzwerk

Mehr

Version 1.2.0. smart.finder SDI. What's New?

Version 1.2.0. smart.finder SDI. What's New? Version 1.2.0 smart.finder SDI What's New? 1 Neue Funktionen in Version 1.2.0 3 2 Neue Funktionen in Version 1.1 3 Neue Funktionen in Version 1.2.0 Neue Funktionen Unterstützung von Java 8 Die aktuelle

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren...

Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren... Ein neues TOONTRACK Produkt registrieren / installieren / authorisieren... Viele TOONTRACK Music Produkte sind mittlerweile als reine Seriennummer-Version oder als auf einer Karte aufgedruckte Seriennummer

Mehr

Firewalls mit Iptables

Firewalls mit Iptables Firewalls mit Iptables Firewalls für den Linux Kernel 2.4 17.05.2003 von Alexander Elbs Seite 1 Was ist eine Firewall? Kontrolliert den Datenfluss zwischen dem internen Netz und dem Rest der Welt. Es gibt

Mehr

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit?

Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts. Womit? Cryx (cryx at h3q dot com), v1.1 Workshop: Was wollen wir tun? - Aufbau eines einfachen Tunnel Setup zum verbinden zweier netze und eines externen hosts - Aufbau der Netze und testen der Funktion ohne

Mehr

Ingenics Project Portal

Ingenics Project Portal Version: 00; Status: E Seite: 1/6 This document is drawn to show the functions of the project portal developed by Ingenics AG. To use the portal enter the following URL in your Browser: https://projectportal.ingenics.de

Mehr

Vorteile von Java und Konvergenz Service Creation mit JAIN Network Management mit JMX Fazit

Vorteile von Java und Konvergenz Service Creation mit JAIN Network Management mit JMX Fazit Hochschule für Technik und Architektur Chur Dr. Bruno Studer Studienleiter NDS Telecom, FH-Dozent bruno.studer@fh-htachur.ch 1 GSM: 079/610 51 75 Agenda Vorteile von Java und Konvergenz Service Creation

Mehr

Nagios Erweiterungen Der Rest. Nagios / Icinga. OpenSource Network-Monitoring im großen Stil. Manuel Landesfeind

Nagios Erweiterungen Der Rest. Nagios / Icinga. OpenSource Network-Monitoring im großen Stil. Manuel Landesfeind Erweiterungen Der Rest / Icinga OpenSource Network-Monitoring im großen Stil Manuel Landesfeind Institut für Mathematik Georg-August-Universität Göttingen This presentation can be used under the terms

Mehr

Scanner, Sniffer und Scanlogger

Scanner, Sniffer und Scanlogger Scanner, Sniffer und Scanlogger Sniffer Sniffer Grundlagen Promiscuous Mode Ethernet Gefahren und Nutzen von Sniffer Praxis mit Buttsniff und Sniffit Sniffer Grundlagen Ein Sniffer ist ein Device, ob Software

Mehr

NetDot und RANCID. Jens Link. NetDot und RANCID. jl@jenslink.net. Jens Link (jl@jenslink.net) NetDot 1 / 25

NetDot und RANCID. Jens Link. NetDot und RANCID. jl@jenslink.net. Jens Link (jl@jenslink.net) NetDot 1 / 25 NetDot und RANCID Jens Link jl@jenslink.net NetDot und RANCID Jens Link (jl@jenslink.net) NetDot 1 / 25 Übersicht 1 Dokumentation 2 netdot 3 Rancid Jens Link (jl@jenslink.net) NetDot 2 / 25 Wer bin ich?

Mehr

Wireless LAN Installation Windows XP

Wireless LAN Installation Windows XP Wireless LAN Installation Windows XP Vergewissern Sie sich bitte zuerst, ob Ihre Hardware kompatibel ist und das Betriebssystem mit den aktuellen Service Packs und Patches installiert ist. Installieren

Mehr

Fachbereich Medienproduktion

Fachbereich Medienproduktion Fachbereich Medienproduktion Herzlich willkommen zur Vorlesung im Studienfach: Grundlagen der Informatik I Security Rev.00 FB2, Grundlagen der Informatik I 2 Paketaufbau Application Host 1 Payload Hallo

Mehr

NG-NAC, Auf der Weg zu kontinuierlichem

NG-NAC, Auf der Weg zu kontinuierlichem NG-NAC, Auf der Weg zu kontinuierlichem Monitoring, Sichtbarkeit und Problembehebung 2013 ForeScout Technologies, Page 1 Matthias Ems, Markus Auer, 2014 ForeScout Technologies, Page 1 Director IT Security

Mehr

Webmin mit SSL Unterstützung

Webmin mit SSL Unterstützung Webmin mit SSL Unterstützung Installation Für die Installation werden benötigt: Net_SSLeay.pm-1.05.tar.gz webmin-0.80.tar.gz mögliche Zusatzmodule: backup_1.0.wbm ipchains-0.80.1.wbm nettools-0.79.1.wbm

Mehr

www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess SVV Präsentation 4. April 2013

www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess SVV Präsentation 4. April 2013 www.pwc.com FATCA implementieren in der Schweiz vom Projekt bis zum operativen Prozess Präsentation 4. Agenda 1. Einführung 2. FATCA-Hauptaufgaben 3. Versicherer in der Schweiz und FATCA 4. Implementierungsaspekte

Mehr

BartPE. Dokumentation. Projektarbeit Network Services. Dozent: Wolf-Fritz Riekert. Belmondo Kovac. Autor: Andreas Dinkelacker, 3.

BartPE. Dokumentation. Projektarbeit Network Services. Dozent: Wolf-Fritz Riekert. Belmondo Kovac. Autor: Andreas Dinkelacker, 3. BartPE Dokumentation Projektarbeit Network Services Dozent: Wolf-Fritz Riekert Belmondo Kovac Autor: Andreas Dinkelacker, 3. Semester IWD, HdM Stuttgart, Fachbereich IuK Was ist BartPE und PE Builder?

Mehr

VPN Client installieren und starten

VPN Client installieren und starten Netzzugang VPN steht für Virtual Private Network und ist für all diejenigen gedacht, die mit ihren Rechnern über einen beliebigen Internet-Zugang von ausserhalb auf spezielle Dienste der Universität Bielefeld

Mehr

Linux Extension for AIDA64

Linux Extension for AIDA64 Konfigurationsanleitung v 1.0 30. 07. 2014. wurde von Szilveszter Tóth, für ABSEIRA GmbH., dem weltweiten Distributor der AIDA64 Produktfamilie entwickelt. Dieses Handbuch wurde von ABSEIRA GmbH. verfasst.

Mehr

Installation Guide/ Installationsanleitung. Spring 16 Release

Installation Guide/ Installationsanleitung. Spring 16 Release Guide/ Installationsanleitung Spring 16 Release Visit AppExchange (appexchange.salesforce.com) and go to the CONNECT for XING listing. Login with your Salesforce.com user is required. Click on Get It Now.

Mehr

McAfee Database Security. DOAG Konferenz 2012. Franz Hüll Senior Security Consultant. November 20, 2012

McAfee Database Security. DOAG Konferenz 2012. Franz Hüll Senior Security Consultant. November 20, 2012 McAfee Database Security DOAG Konferenz 2012 Franz Hüll Senior Security Consultant November 20, 2012 Agenda Überblick Datenbank Activity Monitoring Erfahrungen aus diversen Projekten bei der Implementierung

Mehr

Der Adapter Z250I / Z270I lässt sich auf folgenden Betriebssystemen installieren:

Der Adapter Z250I / Z270I lässt sich auf folgenden Betriebssystemen installieren: Installationshinweise Z250I / Z270I Adapter IR USB Installation hints Z250I / Z270I Adapter IR USB 06/07 (Laden Sie den Treiber vom WEB, entpacken Sie ihn in ein leeres Verzeichnis und geben Sie dieses

Mehr

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE MARKUS NÜSSELER-POLKE SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON FÜR SAP UND NON-SAP UMGEBUNGEN WIE MELDEN SIE SICH AN SAP AN? 1 Alltägliche Situation beim Kunden! Nüsseler Pa$$w0rd

Mehr

Neuerungen in System Center Endpoint Protection (SCEP) 2012

Neuerungen in System Center Endpoint Protection (SCEP) 2012 1.-2.2.2012, MÜNCHEN Windows Desktop und Server Konferenz Neuerungen in System Center Endpoint Protection (SCEP) 2012 Marc Grote IT TRAINING GROTE Consulting und Workshops Agenda Aus FEP 2012 wird SCEP

Mehr

JobScheduler - Job Execution and Scheduling System Software Open Source

JobScheduler - Job Execution and Scheduling System Software Open Source JobScheduler - Job Execution and Scheduling System März 2015 März 2015 Seite: 1 Impressum Impressum Software- und Organisations-Service GmbH Giesebrechtstr. 15 D-10629 Berlin Germany Telefon +49 (0)30

Mehr

There are 10 weeks this summer vacation the weeks beginning: June 23, June 30, July 7, July 14, July 21, Jul 28, Aug 4, Aug 11, Aug 18, Aug 25

There are 10 weeks this summer vacation the weeks beginning: June 23, June 30, July 7, July 14, July 21, Jul 28, Aug 4, Aug 11, Aug 18, Aug 25 Name: AP Deutsch Sommerpaket 2014 The AP German exam is designed to test your language proficiency your ability to use the German language to speak, listen, read and write. All the grammar concepts and

Mehr

Command-Line. Line-Tools und Unix-Umgebungen Umgebungen unter Windows

Command-Line. Line-Tools und Unix-Umgebungen Umgebungen unter Windows Command-Line Line-Tools und Unix-Umgebungen Umgebungen unter Windows Wie mache ich dem Unix- Sysadmin das Leben einfacher im Umgang mit Windows-Rechnern? Jochen Felten 19.1.2002 Inhalt I.CMD-Tools von

Mehr

Java Application 1 Java Application 2. JDBC DriverManager. JDBC-ODBC Br idge. ODBC Driver Manager. Dr iver C. Dr iver D.

Java Application 1 Java Application 2. JDBC DriverManager. JDBC-ODBC Br idge. ODBC Driver Manager. Dr iver C. Dr iver D. 1 Copyright 1996-1997 by Axel T. Schreiner. All Rights Reserved. 7 Datenbankzugriff Prinzip Dieser Abschnitt beschäftigt sich mit dem Paket java.sql, das eine SQL-Schnittstelle für Java verkapselt. Java-Programme

Mehr

Zentrales Konfigurationsmanagement mit Puppet

Zentrales Konfigurationsmanagement mit Puppet Zentrales Konfigurationsmanagement mit Puppet SLAC 2011 Martin Alfke Einführung Wie managed man 600 Linux-Server mit 20 unterschiedlichen Applikationen? Einführung Wie

Mehr

IPCOP OPENVPN TUTORIAL

IPCOP OPENVPN TUTORIAL IPCOP OPENVPN TUTORIAL von Blue nach Green über VPN mit installiertem BOT Zerina Plugin 0.9.4b und OPENVPN GUI auf IPCOP 1.4.10 http://www.ipcop.org http://www.carinthian-linux.at http://www.openvpn-forum.de

Mehr

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation

Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Einsatz einer Dokumentenverwaltungslösung zur Optimierung der unternehmensübergreifenden Kommunikation Eine Betrachtung im Kontext der Ausgliederung von Chrysler Daniel Rheinbay Abstract Betriebliche Informationssysteme

Mehr

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best.

Oracle VM Support und Lizensierung. best Open Systems Day April 2010. Unterföhring. Marco Kühn best Systeme GmbH marco.kuehn@best. Oracle VM Support und Lizensierung best Open Systems Day April 2010 Unterföhring Marco Kühn best Systeme GmbH marco.kuehn@best.de Agenda Oracle VM 2.2 Oracle VM 3.0 Oracle DB in virtualisierten Umgebungen

Mehr

Administering Microsoft Exchange Server 2016 MOC 20345-1

Administering Microsoft Exchange Server 2016 MOC 20345-1 Administering Microsoft Exchange Server 2016 MOC 20345-1 In diesem 5-tägigen Kurs lernen Sie, wie Sie Exchange Server 2012 administrieren und supporten. Sie erfahren, wie Sie den Exchange Server 2016 installieren

Mehr

Nortel Networks VPN - Client

Nortel Networks VPN - Client I. Download des Clients Nortel Networks VPN - Client Den vorkonfigurierten VPN-Client der Firma Nortel für den Zugang zum VPN-Dienst des Galileo Rechners gibt es für die Betriebssysteme Windows 2000 und

Mehr

NetDot und RANCID. Jens Link. NetDot und RANCID. jl@jenslink.net. Jens Link (jl@jenslink.net) IPv6 1 / 24

NetDot und RANCID. Jens Link. NetDot und RANCID. jl@jenslink.net. Jens Link (jl@jenslink.net) IPv6 1 / 24 NetDot und RANCID Jens Link jl@jenslink.net NetDot und RANCID Jens Link (jl@jenslink.net) IPv6 1 / 24 Übersicht 1 Dokumentation 2 netdot 3 Rancid Jens Link (jl@jenslink.net) IPv6 2 / 24 Wer bin ich? Freiberuflicher

Mehr