Hanfis Weg in die Hölle

Auf meinem neuen rootserver wollte ich die Root-Partition LUKS-verschlüsseln.
Debian unterstützt dieses vorgehen fast ohne manuelle eingriffe, wobei ein paar Details zu beachten sind.

In meinem Fall sind die beiden 3TB Festplatten in 2 Partitionen unterteilt, einmal eine kleine (1GB) /boot partition und eine LUKS-verschlüsselte LVM für alles andere.
Das LVM erlaubt es mir, Partitionen einfach anzupassen wenn es irgendwo knapp wird (die betrifft vor allem die Home-partitionen).
Das setup habe ich vor dem installieren aus dem rescue-system meines ISPs eingerichtet, die Anleitung im Debian-Handbuch ist dabei hilfreich (suche nach debootstrap).

Das Problem mit LUKS ist, dass das Passwort/Keyfile im initramfs vorhanden sein muss, sonst kann die HD nicht entschlüsselt werden. Normalerweise fragt das initramfs beim booten nach dem Passwort, was aber bei einem headless rootserver im Rechenzentrum nicht geht.
Der Trick besteht darin, einen ssh-server ins initramfs einzubauen, und den key dann über ein keyscript an cryptsetup weiterzureichen. Der normale openssh ist dafür etwas zu gross, daher verwende ich den dropbear sshd. Dieser ist Bestandteil vieler busybox-installationen auf (zum Beispiel) Routern und das von debian verwendete update-initramfs-script benützt es automatisch wenn eine verschlüsselte root-partition gefunden wird (man kann es aber auch in /usr/share/initramfs-tools/conf-hooks/dropbear erzwingen).

Dann muss man noch die /etc/crypttab anpassen.

md1_crypt /dev/md1 none luks,tries=0,keyscript=/lib/cryptsetup/keyscript

Den Key auf “none” setzten; tries=0 erzwingt ewiges warten im initramfs bis das keyscript den korrekten Key liefert.
Das Keyscript prüft ob der key existiert, und falls ja gibt es ihn zurück

if [ -f /lib/cryptsetup/passfifo ]; then
    cat /lib/cryptsetup/passfifo
fi

Das Keyscript wird am einfachsten auf dem host in /lib/cryptsetup/ abgelegt, damit die initramfs-tools es automatisch finden.

Um einfach einzuloggen (ohne passwort) ist es ratsam, den eigenen public key in /etc/initramfs-tools/root/.ssh/authorized-keys anzugeben. Falls die Datei nicht existiert erzeugt initramfs ein eigenes Key-paar, und hinterlegt es im initramfs (schlechte Idee).

Damit ist man fast fertig. Erhält der Server seine IP per DHCP, kann man das interface einfach in /etc/initramfs-tools/initramfs.conf als DEVICE angeben. Will man eine statische öffentliche IP vergeben, so muss man die parameter als kernel-boot-parameter übergeben. In meinem Fall (Grub2, hetzner setup) füge ich also

GRUB_CMDLINE_LINUX="ip=88.198.59.12::88.198.59.1:255.255.255.224:::none"

zu /etc/default/grub hinzu. Die parameter kann man in der Linux-Dokumentation unter /usr/src/linux/Documentation/filesystems/nfs/nfsroot nachlesen (das ganze ist dafür gedacht nfs-Volumes als root einzubinden, aber es funktioniert auch für andere Dinge). Die leeren Parameter werden für nfs-boot gebraucht.
Falls dass nicht klappt, kann man auch ein simples script in /etc/initramfs-tools/scripts/init-premount/mount-boot hinterlegen:

PREREQ="udev devpts"
prereqs() {
    echo "$PREREQ"
}
case "$1" in
    prereqs)
        prereqs
        exit 0
    ;;
esac
. /scripts/functions
ifconfig eth0 inet pointopoint 88.198.59.1 88.198.59.12/32

Damit ist alles bereit und der Server hält beim booten an, bis in der Datei /lib/cryptsetup/passfifo der Korrekte Key hinterlegt wird.
Der Key muss nach dem booten nicht gelöscht werden da initramfs eh nur im RAM liegt und bald überschrieben sein sollte.

Um sich einzuloggen verwendet man dann etwas in der Art

# ssh -o "UserKnownHostsFile=~/.ssh/known_hosts.initramfs" \
	-i "~/id_rsa.initramfs" root@initramfshost.example.com \
	"echo -ne \"secret\" >/lib/cryptsetup/passfifo"

Weitere Details findet man unter /usr/share/doc/cryptsetup/README.remote auf der Festplatte von Debian.
Viel Spass beim basteln und immer schön lange Passwörter verwenden.

DISCLAIMER: Das obige setup ist nicht 100% sicher. ein lokaler Angreifer kann immer noch böse Dinge tun. Ich habe daher (als zusätzliche Hürde) bei mir die /boot partition im normalbetrieb nur read-only gemounted. Kann ein Angreifer aber unbemerkt darauf rumschreiben, wird Sicherheit schwierig. Man könnte im ssh noch den hash des initramfs-images prüfen, aber auch das ist nicht sicher, da der Angreifer ja das hash-tool ersetzten könnte. Aber alles in allem muss der Angreifer mit diesen Massnahmen sehr viel wissen mitbringen, und auch entsprechend vorbereitet sein. Ein Fehler, und der Angriff wird erkannt.

Firefox comes with a set of predefined search plugins. Those are stored inside the Application bundle. Go to /Applications (or wherever your Firefox.app is), right click and choose “Show package content”.
This will open a new window with the Application Data and Binaries. Inside “Content/MacOS/searchplugins” you can find the preset search plugins. You may want remove those not used, I don’t think this has any speed impact, but you never use the wrong one then.

The searchplugins use a open standard which works for multiple Browsers. The default file on my System one see below:

<SearchPlugin xmlns=”http://www.mozilla.org/2006/browser/search/“>
<ShortName>Google</ShortName>
<Description>Google Search</Description>
<InputEncoding>UTF-8</InputEncoding>
<Image width=”16″ height=”16″>data:image/png;base64,[long base64 encoded image]</Image>
<Url type=”application/x-suggestions+json” method=”GET” template=”http://suggestqueries.google.com/complete/search?output=firefox&amp;client=firefox&amp;hl={moz:locale}&amp;q={searchTerms}”/>
<Url type=”text/html” method=”GET” template=”http://www.google.com/search“>
<Param name=”q” value=”{searchTerms}”/>
<Param name=”ie” value=”utf-8″/>
<Param name=”oe” value=”utf-8″/>
<Param name=”aq” value=”t”/>
<!– Dynamic parameters –>
<Param name=”rls” value=”{moz:distributionID}:{moz:locale}:{moz:official}”/>
<MozParam name=”client” condition=”defaultEngine” trueValue=”firefox-a” falseValue=”firefox”/>
</Url>
<SearchForm>http://www.google.com/firefox</SearchForm>
</SearchPlugin>

This is a xml file, and one can use any text editor to edit. We need change 3 lines.

1. In the second last line starting with <SearchForm> replace http://www.google.com/firefox by https://encrypted.google.com/ (important! NO firefox at end!)
2. In the line starting with <Url type=”text/html” replace http://www.google.com/search by https://encrypted.google.com/search (including the /search!)
3. Remove the first Url tag (the one which has suggestqueries in it). Unfortunately it looks like google doesnt offer suggestqueries over https for now. If you do not remove this line, all your typing will search for suggestions at google without https, therefore rendering all the other changes unneeded. Your final query would be https encrypted, but before that it will check for suggestions unencrpyted. If your concerned enough to switch google to https, i assume you dont miss the suggestions anyway.

Thats it. Now your search field uses https. Don’t feel bad about google servers have more load because of this. Google is working on lower the footprint of ssl. So help them debug their stuff.

Side notes: IF you are paranoid, think about remove the 2 Lines after “<!– Dynamic parameters –>”. The first will tell google your FF version, your language setting, and if your FF is the official one. The second one is used to show google if your using google as default search engine. I assume both lines are used to allow Mozilla get money from Google. Since google is a big source of income for Mozilla, I actually suggest to at lest keep the MozParam. They deserve some money for their good work. Setting those lines to static values may help too.

Ich wollte ja schon mehrmals an den Chaos Communication Congress fahren. Dieses Jahr hab ich endlich mal keine Ausrede gefunden und bin hin gefahren. Das hat mich ziemlich viel gekostet, aber das war es definitiv Wert.

Ich bin dabei Zweigleisig gefahren. Einerseits Kongress, andererseits Berliner Nachtleben mit meinen Freunden die ebenfalls dort waren. Sie haben das ganze etwas gelassener angegangen und sind meist erst spät Nachmittags am Kongress aufgetaucht, während ich auch nach einer durchzechten Nacht meist um 12h wieder vor Ort war. Daher bin ich wohl am Mate-Konsum-Rekord nicht ganz unschuldig.

Berlin ist nicht umsonst berühmt für sein Nachtleben. Irgendwo ist immer Party , auch um 5 Uhr am Morgen. Und Alkohol ist billig. Kein Vergleich zu Basel. Mein neuer Lieblingsdrink ist der “Mexicana”, ein dem Bloody Mary ähnelnden Drink.

Der Kongress war ein Feuerwerk an Ideen und Erfahrungen. Am meisten Beeindruckt hat mich eine  verblüffend einfache Sicherheitslücke in GSM und der MakerBot (der Replikator ist gar nicht so weit entfernt wie ich immer dachte).

Neben den Sensationen war aber auch Zeit mich weiter zu Bilden. Sehr interessiert habe ich mich da für die Hardwaresachen, speziell auch das ganze mobile Zeugs.

Die ganzen Zensur-Sachen interessieren mich nicht so sehr, ich sehe das ganze als ganze als Entwicklung die dieser Staat machen muss um die bestehende Ordnung zu erhalten. Um das Problem zu lösen hilft es nichts, wenn man versucht die Bürgerlichen Freiheiten auf biegen und brechen zu verteidigen, wir müssen das System viel Tiefer angreifen und verändern (Und genau hier finde ich die MakerBot-Idee absolut Genial. Sie versucht die Industrie zu dezentralisieren, was dann notwendigerweise auch die Eigentumsverhältnisse durcheinander würfelt)

Und das wurde am Kongress im Untergeschoss aka Hackzenter getan. Moral erstmal egal, gehackt wird was gehackt werden kann. Vorstellen kann man sich das ganze als einen Grossen Raum mit hunderten (?) Hackern die dicht gepackt an Tischen an ihren Laptops sitzen und irgendwelche Dinge machen. Setz dich hin, pack deinen PC aus, leg los.Gleich dahinter (etwas kleiner) die MusikLounge, wo man sich auf mit dem Laptop auf Sofas breit macht und rauchend/saufend/musizierend sein Ding dreht.

Dann gab es auch noch die kleinen Highligts die einfach Nett waren; Die singende Teslaspule, selbstgebaute Flugmaschienen und noch viele kleine Spielereien.

Ich kann mich daher dieser Twittermeldung anschliessen und Freue mich aufs nächste mal am 27c3.

GMX meint es gut mit mir. Darum sind sie um Sicherheit bemüht.

*Schluss mit dem Passwort-Spuk:
TÜV-geprüfte Sicherheit für Ihre Daten!*
<http://portal.gmx.net//de/themen/nachrichten/in-eigener-sache/9063766-GMX-Navigator-schuetzt-Login-Daten-optimal,cc=000921405000090637661czW7O.html>

Wenn man sich gerade diese Meldungen anschaut, war der Zeitpunkt für dieses Feature nicht allzu gut gewählt.

Der BigBrother Award 2009 in der Kategorie Business geht an die Swisscom

Warum? Weil Sie genau das machen was ich damals befürchtet habe, verwenden sie die AGB zum schnüffeln, speichern und wohl noch ganz anderen Niederträchtigkeiten. Ich würde ja lieber heute als Morgen wechseln, aber sind die anderen besser? Ich glaub nicht so recht daran. Zumindest kommen sie nicht in MEIN Netz rein. Eigene Router sind schon was brauchbares, genauso wie eigene DNS-Server. Aber ausser der IWB freut das Schlussendlich keinen so richtig.

Gratulation an die Studentengewerkschaft CUAE die den Preis für den Kampf GEGEN Überwachung und Bespitzelung bekam.

Hetzner hat meinen Server letzte Woche vom Netzt genommen, wahrscheinlich wegen einer ddos-Attacke.
Ich habe die Gelegenheit genutzt mal richtig aufzuräumen und meinen Server neu aufgesetzt. Das schöne an 2 Festplatten im Server ist, dass man einfach mal switchen kann. Natürlich nur wenn man die zweite Platte nicht braucht.

Ein Hauptanliegen seit langem ist ein gut funktionierender Mailserver, mit http-Frontend und virtuellen Usern. Hier läuft jetzt eine Postfix/Dovecot-Installation, als Webinterface kommt zurzeit Squirellmail zum Einsatz. Wobei ich für dieses noch einen Ersatz suche, das sieht ja grauenhaft aus. Etwa mehr GUI wäre hier sicher nicht Pfui.

Daneben hab ich endlich auch meine CA-Idee verwirklicht, damit ich nicht für jeden ssl-enabled-service das Cert einzeln akzeptieren muss. Wer das Certifikat in den Browser importieren will, kann es hier herunterladen.

Der obige Link verweist übrigens auch auf ein neues Projekt. Hanfis File Manager ist eine php-basierte Software, die es erlaubt Files mit einem Passwort zu verteilen. Wer jetzt verwundert die Augen reibt das nicht auch mit .htaccess geht liegt falsch. Es geht bei HFM darum Passwörter für einzelne Dateien zu haben, die aber nicht an einen User gebunden sind.

Zurzeit wird in Deutschland ja gerade viel über die DNS-Blockade geredet. Wie in anderen Ländern sollen gewisse DNS-Namen nicht mehr korrekt aufgelöst werden.

Auch in der Schweiz ist ein ähnliches System in Einsatz. Im Gegensatz zu vielen anderen Ländern ist die Liste der Schweiz aber immer noch geheim. Oder besser gesagt, niemand hat bisher die Vollständige Liste gesehen. Da sich die meisten Listen Grundsätzlich mit Kinderpornographie befassen, ist es kein Wunder, wenn diese Listen gemeinsame Einträge haben. Leider funktioniert dieses Argument bei wichtigeren Themen nicht (Politik, lokales, etc).

Dennoch ist es interessant mal die Listen anderer Länder durch das System zu jagen und zu gucken was so zurück kommt. Ich habe mir also die aktuelle Liste der Norweger von Wikileaks gezogen, und mit einem einfachen Shellscript einen DNS-Server meines ISPs gecheckt. Die Norweger mussten herhalten, da es die aktuellste Liste auf Wikileaks ist. Im total sind darin 3518 DNS-Namen gelistet.

Um Fehler zu vermeiden, hab ich die DNS-Namen erst mal meinem eigenen voll rekursiv arbeitenden name-server gefüttert, und alle nicht mehr vorhandenen Namen gefiltert. Das waren 885 Namen von 3518 (~25%).

Die übrig gebliebenen Namen (2632) habe ich dann über cns1.bluewin.ch aufgelöst. In 486 Fällen erhielt ich eine andere Antwort vom Bluewin-Name-Server als von meinem.

Dabei wurde in 329 Fällen die IP 81.63.144.199 zurückgeliefert. Hier der reverse dns Eintrag der IP:

;; QUESTION SECTION:
;199.144.63.81.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
199.144.63.81.in-addr.arpa. 15631 IN    PTR    block.bluewin.ch

Ein Screenshot der Webseite für nicht-TOR-benutzer kann man hier finden (Das original ist ein Beispiel dafür ist wie man eine Webseite nicht machen soll. CSS+Tabellenlayout=OMFG. )

Bei den verbleibenden 157 Adressen stimmt oft nur das letzte IP-Oktet nicht überein, was auf eine Netzumstellung zurückgeführt werden kann, in mindestens einem Fall scheint da ein einfaches DNS-Round-Robin verfahren zur Lastverteilung zum Einsatz zu kommen.

Zurzeit scheint die Schweizer Liste beträchtlich kürzer zu sein als die Norwegische. Oder sie hat ganz andere Links drin. Über die Inhalte kann ich nicht viel sagen, hab keine der genannten Webseiten angesurft (das nur so als Notiz für die Kripo). Mal gucken welchen Freund ich dafür reinreiten will :.

Ich frag mich echt was das ganze soll. Das ganze macht etwa soviel Sinn wie Nummern aus dem Telefonbuch streichen. Für ernsthafte Internet User ist ein Zensur-System egal welcher Art (DNS, BlueRay, Firewalls, etc) immer einfach ein Anreiz es zu brechen. Und wir sind viele. So viele, dass wir selbst die besten Systeme in kürzester Zeit brechen.

Geht sterben Offline-Politiker.

Wir kennen das ja alle, Mails mit dem Betreff “FBI: URGENT reply or go jail!”, “POLIZEI: Tauschbörse” etc. Im allgemeinen verschiebt man sowas ja direkt in den Spamordner. Die folgende Mail von heute Morgen war aber doch etwas verwirrend.


X-Account-Key: account2
X-UIDL: UID60118-1158173284
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
Delivered-To: spahan00@mbx.unibas.ch
Received: from smtp2pub.unibas.ch (smtp2pub.unibas.ch [131.152.227.82])
by imap1.urz.unibas.ch (Postfix) with ESMTP id D168038C046
for ; Fri, 6 Mar 2009 09:45:24 +0100 (CET)
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AlgCAJZxsEnDkaC4mWdsb2JhbACCJiuRdDoBAQEBAQgLCgcRwh+ECAY
X-IronPort-AV: E=Sophos;i="4.38,313,1233529200";
d="scan'208,217";a="12532162"
Received: from relay2.lds.nrw.de ([195.145.160.184])
by smtp2pub.unibas.ch with ESMTP; 06 Mar 2009 09:45:24 +0100
Received: from gg43.gg.nrw.de (gw43.nrw.de [93.184.136.60])
by relay2.lds.nrw.de with ESMTP id n268jJMI002984
for ; Fri, 6 Mar 2009 09:45:19 +0100
Received: from gg43.gg.nrw.de (localhost [127.0.0.1])
by gg43.gg.nrw.de (8.14.0/8.14.0) with ESMTP id n268jYlP018798
for ; Fri, 6 Mar 2009 09:45:34 +0100 (CET)
Received: from MAILHUB1.nrw.de (10.64.112.141) by gg43.gg.nrw.de (smtprelay) with ESMTP Fri Mar 6 09:45:22 2009.
Received: from s564uxg0201.polizei.nrw.de (POLIZEI-MAILER [10.216.241.1])
by MAILHUB1.nrw.de with ESMTP id n268jAC0005480
for ; Fri, 6 Mar 2009 09:45:10 +0100
Received: from smtp-gw-1.polizei.nrw.de (unknown [1.4.112.69])
by s564uxg0201.polizei.nrw.de (Postfix) with ESMTP id 01C8F6F957
for ; Fri, 6 Mar 2009 09:56:59 +0100 (CET)
Received: from smtp-gw-1.polizei.nrw.de (localhost [127.0.0.1])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id DEDF723CC5
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAABEX01.polizei.nrw.de (s00paabex01.polizei.nrw.de [1.1.20.228])
by smtp-gw-1.polizei.nrw.de (Postfix) with ESMTP id D399B23CC4
for ; Fri, 6 Mar 2009 09:45:10 +0100 (CET)
Received: from S00PAADEX02.polizei.nrw.de ([2.1.1.229]) by S00PAABEX01.polizei.nrw.de with Microsoft SMTPSVC(6.0.3790.2668);
Fri, 6 Mar 2009 09:45:10 +0100
Content-class: urn:content-classes:message
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----_=_NextPart_001_01C99E37.DB7C750C"
X-MimeOLE: Produced By Microsoft Exchange V6.5
Subject: Internetzugang
Date: Fri, 6 Mar 2009 09:45:09 +0100
Message-ID: <45200EA5B54F7A4EB22907EC6E37ADF9114AFB@S00PAADEX02.polizei.nrw.de>
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
Thread-Topic: Internetzugang
Thread-Index: AcmeN9tUNgsH6BsLT3W+IoEgm2d21w==
From: "Kuschwart, Herbert"
To:
X-OriginalArrivalTime: 06 Mar 2009 08:45:10.0493 (UTC) FILETIME=[DBCEE8D0:01C99E37]

This is a multi-part message in MIME format.

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/plain;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

Sehr geehrter Herrr Spalinger,

=20

bei der Staatsanwaltschaft K=F6ln / Deutschland ist unter dem =
Aktenzeichen 119 UJs77/09 ein Ermittlungsverfahren wegen Betrug =
anh=E4ngig. Der Betrug wurde unter Verwendung des Internets ver=FCbt. Es =
konnte folgende IP-Adresse festgestellt werden:

=20

08.12.2008 =
um 19:38 UTC / 20:35:48 MEZ

IP =
88.198.56.140

=20

Lt. Auskunft der Fa. Hetzner Online AG, Gunzenhausen, geh=F6rt diese IP =
zu einem Rootserver, den Sie angemietet haben.=20

=20

Ich bitte Sie, mir die verantwortlichen Personaldaten f=FCr den oben =
genannten Internetzugang mitzuteilen.=20

=20

=20

Mit freundlichen Gr=FC=DFen

=20

Herbert Kuschwart

Regionalkommissariat

Telegrafenstra=DFe 35

42929 Wermelskirchen

Tel.: 02196/941441

Fax: 02196/94110441

Mail: herbert.kuschwart@polizei.nrw.de =
=20

=20

——_=_NextPart_001_01C99E37.DB7C750C
Content-Type: text/html;
charset=”iso-8859-1″
Content-Transfer-Encoding: quoted-printable

xmlns:w=3D”urn:schemas-microsoft-com:office:word” =
xmlns=3D”http://www.w3.org/TR/REC-html40″>
charset=3Diso-8859-1″>

–>

Folgende Gründe sprechen für die Echtheit:

1. Heder: Die Mail stammt offensichtlich von der Domain polizei.nrw.de, die auf http://www.robtex.com/dns/www.polizei-nrw.de.html verweist, was die Domain der Polizei NRW ist.
2. Keine Viren in der Mail (keine Anhänge)
3. Herbert Kuschwart wohnt in Wermelskirchen
4. Es giebt einen Wermelskirchen bei der Polizei NRW

Sollte die Mail echt sein ergeben sich mehrere Fragen:

1. Wie authentiziert man Mails von Behörden, wenn diese nicht signiert sind?
2. Was will Herbert Kuschwart von mir?
3. Was meint Herbert Kuschwart mit “Internetzugang” ?

Ich habe die Polizei NRW angemailt und eine Bestätigung erbeten. Bis ich weitere Infos habe, werde ich mal nichts tun und abwarten.

update: Wie gedacht war die Mail echt. Heute morgen hat mich H. Kuschwart angerufen. Nach einer Erklärung meinerseits wegen des Anhangs (die pgp-Signatur), kam er dann zum Thema. Ob auf dem Server eine Anonymisierungssoftware abreitet?

Bisher hatte ich mit Tor nur mit Urheberrechtsverdrehern Probleme. Aber auf der Tor-Seite wird ja gesagt, dass sich früher oder später auch staatliche Ermittler melden würden.

Ich denke mal, dass ich nicht wirklich in Schwierigkeiten stecke. Herr Kuschwart wollte nicht mehr viel mehr Wissen, als ich ihm vom Tor-Node erzählt habe, er wird wohl wissen, dass da nichts zu finden ist.

Today I went over and had to enable the testing tree of debian.

This was actualy very easy, just adding the correct repository to the sources.list in /etc/ap. One little trouble with this was aptitude crushing with not enough memory. This i solved by add APT::Cache-Limit:26777216 to the apt config. I did this by (dirty ) add the line to the /etc/apt/apt.conf.d/70debconf file (i tried make a new file in the conf directory, but apt ignored my file).

Next was to run aptitude and update my packages. This took quiet some time since a big load of packages got updated, and i had to resolve some conflicts manualy. Actualy i just had to remove a obsolete package that hold a lot of other packages back.

As i was doing maintenance anyway i checked out uname -a to see what my kernel is. Big surprise, even if i had installed about 5 more recent kernes on my Harddisk, it seems i never actualy loaded those! So i headed over to /boot and linked vmlinuz and initrd.img to the most recent ones, run lilo and rebooted.

This was where all went bad. Somehow it didnt installed my lilo, and my system refused to boot. After about 10 reboots into the hetzner rescue system later, i finaly managed to install a working version of the kernel.But finaly i run a 2.26 linux kernel now.

One more problem was to install newest version of VMware. I needed to export a old gcc (4.1 instead 4.3) and ignore complaints about minor version differences. Some time in the future i need try run this shitty legacy server only running on windows with wine again, but guess what..their debian repository just went down today so im out of luck with this (Why don’t those big Software Vendors at least publish their old non-continued software under some open-to-use licence? so at least we could make it run on modern systems like linux,bsd instead need run emulations? Fuck you Adobe!).

Long talk, short outcome..all is back and running now. Yay me!

At work, we use the very nice and easy to use DBAN tool to wipe Harddisks before give them out of our reach. This ensures our Users Data are save from restoring by bad people.

However, with the recent growing of Hard-disk sizes up to 1TB this became somewhat hard to do.

Usually we use the DoD-short algorithm, since it provides fair cost/revenue ratio. A 40GB Hard-disk can be wiped in about 8-10h without trouble. Usually i start it near end of day and when i come back next Morning, its done wiping.

Now, Today i have to wipe a Hard-disk from a User concerned about security (A User concerned about security? Actually a very good thing.) So i thought i wont use the DoD-Short but the standard DoD algorithm. Guess how long it takes to wipe those 80GB…. 50 hours.

TGiF, so i can go home and it will be done when i come back next week.

This made me think about 2 things:

1. I think the DoD standard should be used always. If the US Government doesn’t trust DoD-short algorithm fully, why should we trust it? So if possible always use the standard. But that actually means 2-3 times the time we need now.
2. This was a 80GB Hard-disk. Today’s HDs are up to 1TB.

Conclusion: Soon Administrators will face the Problem of securely erase much bigger Hard-disks than today. In addition, i don’t think it will be harder to restore Data from Hard-disks than it is now (more likely it will be easier due to improvements in technology). If such a wiping takes more than 1 week, it becomes troubling work with it. In the end I can only see one useful solution: shredding Hard-disk into pieces. Sure this isn’t good for the environment.

The problemis, that we get bigger HDs and better technology, making security growing more painful. A great debacle. I think we will soon see more of those “mistakenly sold HD with Data on it on ebay”-News.