Day 347: Privileged processes bypass all kernel permission checks

Hier ein ganz toller Link, den ich gerade brauche, um Docker-Instanzen zu zähmen. Nerds: merken, alle anderen: weitergehen

http://man7.org/linux/man-pages/man7/capabilities.7.html

For the purpose of performing permission checks, traditional UNIX implementations distinguish two categories of processes: privileged processes (whose effective user ID is 0, referred to as superuser or root), and unprivileged processes (whose effective UID is nonzero).
Privileged processes bypass all kernel permission checks, while
unprivileged processes are subject to full permission checking based on the process’s credentials (usually: effective UID, effective GID, and supplementary group list).

Starting with kernel 2.2, Linux divides the privileges traditionally associated with superuser into distinct units, known as capabilities, which can be independently enabled and disabled. Capabilities are a per-thread attribute.

Day 328: TLS, Ciphers und CAA

Ich hab gerade die Verbindungs-Sicherheit eines Webservers optimiert. Die meisten Einstellungen waren noch im unspezifischen 0-8-15 Paketauslieferungsdefault, also war es nicht schwer, da was zu verbessern.

In dem Zusammenhang einfach ein paar nützliche Links zu Seiten, die aktuell gehalten werden und viele nützliche Hintergrundinfos mitbringen:

https://cipherli.st/
Eine (von mehreren) Anlaufstellen für Empfehlungen, wie die Einstellungen zum Thema SSL/TLS/Ciphers optimiert werden sollten. Gerade die Ciphers (Schlüsselaustausch, Authentifizierung, Verschlüsselung, Hashfunktion) sind ein Thema für sich, weil oft zwischen größtmöglicher Sicherheit und zu unterstützenden Devices und Browsern abgewogen werden muss.
Hier eine andere Seite mit TLS-Background, aber eher für lange verregnete Sonntagnachmittage.

https://hstspreload.org/
Die HSTS-Headerangabe in der Server-Response informiert den Client, zukünftige Requests sofort und nur via https aufzubauen. Damit bereits der erste Request sicher erfolgt, ist eine Aufnahme in Browserlisten erwägenswert.
This form is used to submit domains for inclusion in Chrome’s HTTP Strict Transport Security (HSTS) preload list. This is a list of sites that are hardcoded into Chrome as being HTTPS only.
(Weitere Hintergrundinfos zu HSTS vom Wiki Peter)

https://letsencrypt.org/docs/caa/
Vielen noch unbekannt, aber schnell im DNS-Zonefile hinzugefügt: der CAA-Record.
CAA is a type of DNS record that allows site owners to specify which Certificate Authorities (CAs) are allowed to issue certificates containing their domain names.

https://www.ssllabs.com/ssltest/
Die Transportverschlüsselung umfangreich testen. Der Service gehört zu den Besten. Wenn bestimmte (ältere) Clients unterstützt werden müssen, ist ein A+ Ranking nicht immer erstrebenswert; aber wenigstens sollten die gängigen gefundenen Sicherheitslücken der letzten Jahre nicht in der Prüfliste auftauchen.

Day 305: Happy World Vegan Day!

Heute, am 1. November, wird der World Vegan Day gefeiert. Wusste ich bis eben nicht (Danke! You know who you are!), aber man kann ja auch nicht alles wissen.  Zum Beispiel, dass am 25. Mai der Handtuch-Tag ist.

Ob es vegane Katholikinnen und Katholiken gibt, die heute eine vegane Variante des Allerheiligenstriezels zubereiten?

Ob es in Linz vegane Katholikinnen und Katholiken gibt, die heute eine vegane Variante des Allerheiligenstriezels zubereiten? Denn, so schreibt es der Wiki Peter im eben verlinkten Artikel: „Insbesondere in Linz war das Gelingen des Backwerks mit dem Aberglauben verbunden, dieses bedeute Glück und Erfolg für das bevorstehende Jahr. Ging der Teig nicht auf, befürchtete man großes Unglück oder gar den eigenen Tod.“

Uiuiui! Die Brüder und Schwestern in Linz müssen ja eine Alternative für Eier und Milch verwenden, die es selbstverständlich gibt, aber ob ich mein Leben unter verschärften Bedingungen auf das Gelingen eines Allerheiligenstriezels  verwetten wollen würde? Eher nicht.

Das Schlupfloch wäre in diesem Fall wohl, den veganen Seelenwecken einen Tag vorher oder nachher zuzubereiten. Oder am Welt-Handtuch-Tag und dann einfrieren.

Dankt mir später.

Ansonsten, weil ich gerade über die Zutatenliste für den Striezel blicke, allgemein, zur Feier des Tages, eine kurze Liste von Ersatzstoffen für tierische Produkte, die man leicht beschaffen kann bzw. die sich in jedem Haushalt finden:

Lebensmittel / Zutat vegane Alternative
Butter Margarine (bzw. Margerine, wenn man Simpsons mag)
Pommes Pommes
Fisch Blei
Wurst Auspuffgase
Bier Bier
Eutersekret Mandeldrink

Easy. Happy World Vegan Day!

Day 301: Der Sound zum Wochenende

Sagt der Wiki Peter:

Snarky Puppy ist ein US-amerikanisches Musiker-Kollektiv im Genre Fusion/Jazzrock. Die Gruppe hat etwa 25 Mitglieder, die in ständig wechselnden Besetzungen weltweit auftreten. Geleitet wird die Truppe von ihrem Gründer, dem Bassisten, Komponisten und Produzenten Michael League in Denton, Texas

(Long Story)

Hier glänzt jeder, aber Cory Henry haut besonders elaboriert in die Tasten.

Auch hierzu kurz Wiki Peter:

Henry spielte als Wunderkind angeblich bereits mit zwei Jahren Klavier und Orgel; mit 5 Jahren nannten sie ihn in seiner Kirche Master Henry, weil er jeden Song auf der Hammond-Orgel begleiten konnte, egal in welcher Tonart.

 

Day 017: beyond tellerrand 2018 München

Sa-gen-haft. Gerade zurück von der beyond tellerrand 2018 / München. Was für tolle zwei Tage im Künstlerhaus. Nicht nur wegen des sympathischen DJ’s, der in den Pausen die O-Töne aus den Vorträgen zu satten Beats verquirlt hat, der Top-Stimmung, dem perfekten Ablauf.

Weil neben klassischen Nerd-Themen wie Interactive E-Mail von Mark Robbins (Fun-Beispiel: Ego-Shooter mit CSS-Only in E-Mails…), gesellschaftlich relevanten Themen wie Accessibility (Marcy Sutton, Robin Christopherson) auch faszinierende Einblicke in die japanische Kalligrafie (siehe Video) oder inspirierende Geschichten wie die von dina Amin (A Tinker Story) geboten wurden.

Der krönende Abschluss dann der kurzweilige Vortrag vom Auslandsösterreicher des Jahres 2016 Stefan Sagmeister (wie ich auf der Rückfahrt durch googlen rausgefunden habe, wusste gar nicht, dass es solche Auszeichnungen gibt): Warum Schönheit von Bedeutung ist.

Links:
Der Channel von dina Amin auf Youtube
Kanal der beyond tellerrand auf Vimeo

 

Day 009: Werkzeuge für Sysadmins

Schon ein paar Jahre her, der Vortrag von Charly Kuehnast auf der 7. Secure Linux Administration Conference (https://www.youtube.com/watch?v=M5LzL2JfpOI) – aber ich bin gerade erst darüber gestolpert und notiere mir die Tools, die ich bei nächster Gelegenheit ausprobieren werde:

So.

Episode 351: Visual Studio Code Experience

Es geht ja nichts über gute Integrierte Entwicklungsumgebungen. Wer von euch erinnert sich z.B. noch an:

Quelle https://commons.wikimedia.org/wiki/File:Turbopascal_6.png

Neben der ein oder anderen IDE von JetBrains (PyCharm, PHPStorm) werfe bzw. warf ich für kleinere Aufgaben gerne auch Atom, Sublime oder Brackets an, seit ein paar Wochen setze ich mich auch intensiver mit Visual Studio Code auseinander. Der Unterbau basiert auf Electron, d.h. ein speichersparsames kleines Editörchen ist es nicht gerade, aber es will ja nicht jeder Hipster sein und vim benutzen 🙂

Der eigentliche Nutzen für den konkreten Anwendungsfall (Python, PHP, Javascript, Ruby, etc. pp.) kommt wie immer mit den Extensions, z.B. fürs Syntax Highlighting, Linting, die Versionsverwaltung oder das Deployment.

Ich schau mir aktuell die folgenden Erweiterungen genauer an (Ich muss die Extensions noch auf den unterschiedlichen Rechnern abgleichen, im Moment ist es noch ein Test-Durcheinander):

  • Django Snippets (bibhasdn)
  • Django Template (bibhasdn)
  • Docker (Microsoft)
  • ESLint (Dirk Baeumer)
  • Git History (Don Jayamanne)
  • Git Lens (Eric Amodio)
  • Jinja (wholroyd)
  • Jupyter (Don Jayamanne)
  • MagicPython (MagickStack Inc)
  • PHP Debug (Felix Becker)
  • PHP Extension Pack (Felix Becker)
  • PHP IntelliSense (Felix Becker)
  • phpcs (Ioannis Kappas)
  • Python (Microsoft)
  • Python Extension Pack (Don Jayamanne)
  • YAML (Adam Voss)

Insgesamt macht das Arbeiten mit der IDE Spaß: Globale Suche, Befehlspalette, schneller Zugriff auf die Optionen der einzelnen Extensions, Debugger, verschiedene Arbeitsbereiche, Themes, alle bekannten Editor-Features, Aufgaben konfigurieren… ist eigentlich alles da, um verregnete Nachmittage zu überstehen.

Wer kein Geld für die sehr ausgereiften Tools von JetBrains ausgeben kann oder will, kommt mit VSC definitiv sehr weit.