Tagesarchiv für den 17. November 2008

Kurze Spam-Pause

Montag, den 17. November 2008

Als Antwort auf einen Beitrag vom AdminBlogger adminlife.net sind hier die aktuellen Spamstatistiken von unserem Mailcluster (mail.keppler-it.de). Die blaue Linie entspricht den abgelehnten Mails (Blacklist/Greylisting/Contentfilter), die grüne Linie den akzeptierten Mails. Derzeit werden nur 4,4% aller eintreffenden Mails auch tatsächlich akzeptiert.

maileximio-week.gif

Da heute der Spam-Anteil wieder erheblich angestiegen ist, befürchte ich, dass die Spam-Absender eine neue Heimat gefunden haben… :-(

TCP-Tunnel mit SSH deaktivieren

Montag, den 17. November 2008

Sowohl für das Büro-Intranet als auch für das Management-Netz im Rechenzentrum haben wir VPN-Zugänge eingerichtet. Diese sind mittels Firewall-Regeln relativ streng gefiltert; Zugriffe werden nur auf einige festgelegte Dienste erlaubt, u.a. SSH.
Theoretisch könnte man aber über SSH beliebige TCP-Verbindungen durchtunneln, ohne dass die Firewall davon etwas mitbekommt. Das kann zwar seinen Vorteil haben (z.B. wenn man vergessen hat einen bestimmten Port in der Firewall freizugeben, oder den SSH-Server als “Sprungbrett” in andere Netze nutzen will), allerdings widerspricht das nunmal der Sicherheits-Policy.

Mit wenigen Befehlen kann das Tunneln von TCP-Verbindungen aber deaktiviert werden: ein einfaches

AllowTcpForwarding No

in der sshd_config genügt bereits. Alternativ kann man mit den Befehlen AllowTcpForwardingForUsers bzw. AllowTcpForwardingForGroups die Weiterleitung nur für bestimmte Benutzer/Gruppen erlauben. Letzteres setzen wir beispielsweise auf allen Hosting-Servern ein; da sind SSH-Tunnel nur in besonderen Fällen für administrative Zwecke notwendig und daher auch nicht pauschal erlaubt.

Schöner malen mit DIA

Montag, den 17. November 2008

Für die Dokumentation von Netzwerkstrukturen etc. setzen wir sehr gerne DIA ein. Der Funktionsumfang ist mit dem von MS Visio halbwegs vergleichbar, allerdings ist der Bedienkomfort auch genauso schlecht optimierungsbedürftig.
Damit die erstellten Grafiken etwas schöner aussehen, empfehle ich das Projekt gnomeDIAicons. Die ersten Icons daraus sind jedenfalls schonmal sehr vielversprechend!