Belwue stellt alle Dienste für Schulen ein

Moin,

Textmaker der Firma Softmaker aus Nürnberg bietet sein Office 2018 kostenfrei an, für das Produkt Office Nx bzw. 2021 gibt es auch Schullizenzen. zu finden unter Schulangebote.

Win/Android/macOS, aber - keine iPad-Version.

Habe letzte Woche dort angerufen, sehr freundliches Telefonat, offen gegenüber „flexible“ Lizenzen für Schulen etc.
Lange Rede: Mit dennen kann man normal reden.

Wer von Euch hat Erfahrung mit Softmaker-Produkten/Office?

Das hauseigene Programm FlexiPDF halte ich persönlich für träge/bugy und wird anscheinend auch nicht mehr weiter entwickelt. Also, Finger weg :wink:

VG Andreas

PS: Wollte Euch eh schon immer mal fragen bzgl. (Erfahrung mit) Softmaker, jetzt bietet sich gerade so schön die Möglichkeit.

Hallo,

passt irgendwie ein bisschen zum Thema:

(Falls der Link schon gepostet wurde bitte einfach löschen - ich habe die Übersicht leicht verloren)

Grüße
Manuel

Hallo Manuel.

guter Artikel. Danke für den Link.
Leider macht er noch deutlicher, was wir da verlieren.

Viele Grüße
Steffen

++ Geoblocker (man weiß ja, aus welchem Land die anfragen der eigenen Schüler kommen - und ja, ich weiß da kann man diskutieren)

Klar - wenn das Passwort 512byte hat g
Wir diskutieren da acuh oft drüber. Bei Root-Server ist das aber oft ne Frage, wie man damit umgeht. Die ganzen SSH-Versuche der Exploits verursachen nämlich schon eine gewisse Systemlast. Viele SSH-Angreifer geben direkt auf, wenn die feststellen dass SSH-Keys zum Einsatz kommen.

Wir fahren insgesamt mit der Kombination aus SSH-Key, Fail2Ban und Geoblocking eigentlich relativ gut.
Anfangs wollten wir mit IPTables (kein Port, kein Angriff) alles raus fischen, was nicht von unserer IP kommt → dann kam aber so ein schöner Brief nach dem Motto „Ihre neue feste IP-Adresse“…

Serverhärtung ist aber auch ein ganz eigenes Kapitel, da kann man viel drüber Philosophieren =)

Du brauchst kein Mathematiker zu sein um auf das Ergebnis zu kommen, dass Angriffe auf das root-Passwort nur funktionieren, wenn man ein extrem mieses Passwort fuer root gewaehlt hat, schau ruhig mal in Deine /var/log/auth.log rein wie langsam die Bots sich da durchprobieren.

Die Systemlast ist zu vernachlaessigen, zumindest solange sich kein ganzer Schwarm auf Dich eingeschossen hat, es aendert sich aber durch das Erzwingen von Keys daran ueberhaupt nichts, denn die Bots koennen doch gar nicht feststellen, dass Keys aktiviert sind. Die haben einen Satz Passwoerter in einer Textdatei und sind um den Code von Hydra herumgeschrieben. Sie probieren stur die Liste durch und fertig.

Nix fuer ungut, aber ihr wuerdet ohne genauso gut fahren.

fail2ban macht ja eigentlich nix anderes, nach ein paar Versuchen sperrt es per iptables die Angriffs-IP fuer eine bestimmte Zeit, 5 Sekunden spaeter geht’s dann von einer anderen IP dieses Netzes weiter.

Wenn ihr ernsthaft Angst vor den

Failed password for root from 178.128.21.38 port 36894 ssh2

habt, dann legt ssh auf einen anderen Port, da sucht/findet euch niemand, Du kannst Dir das ueber laengere Zeit mit portsentry anschauen. Die Bots haben draussen auf den bekannten Ports soviel Futter, dass sie es nicht noetig haben auch noch ssh-Ports auf den dynamischen Ports ganz oben zu suchen. Da kommen uebrigens so gut wie keine Portscans an, ich hatte in den letzten Jahren auf einem Port 50tausendirgendwas nicht eine einzige Anfrage.

In Anbetracht der Tatsache, dass Deine/Eure Daten einen ueberschaubaren Wert haben, ist nicht davon auszugehen, dass sich Geheimdienste oder ganze Hackerkollektive auf diese stuerzen, da gibt es tieferhaengerende Fruechte im Netz - zumindest wenn Du ein paar grundlegende Dinge beruecksichtigst.
Falls Du paranoid bist, dann kannst Du noch portknocking aktivieren, macht Dir das Leben schwerer, das System einen Furz sicherer, der knockd ist im Debian-Repository drin.

Die grundlegende Frage bzgl. Haertung waere ja, wie oft machst Du Updates auf Deinem Server? Hatte schon geschrieben, dass Einbrueche in Deinem System ueber Sicherheitsluecken im Serverdienst die Regel sind und nicht ueber durchprobierte ssh-Passwoerter. Da hilft Dir keine Firewall der Welt, diese sind uebrigens auf dem Server auch so gut wie immer sinnbefreit, ein lsof -i -P zeigt Dir die nach draussen offenen Ports, was bringt da noch eine Firewall?

Es gibt ja auch Leute, die halten das sudo-Gewese unter Ubuntu fuer ein Sicherheitsfeature, dafuer war es aber eigentlich nie gedacht und weder bei Ubuntu noch bei den Raspherry Pis ist es ein solches, es macht einem das Leben nur schwerer - denke da hatten wir es aber auch schon drueber.

Gruss Harry

Morgen Andreas,

Um sich mit Textmaker zu beschaeftigen braeuchte ich erstmal einen Grund hierfuer und dieser koennte die Antwort auf die Frage sein: „Was kann Textmaker besser als LibreOffice?“.
Wenn darauf keine Antwort kommt, spare ich mir die Zeit, wir sind naemlich mit LibreOffice (vorher OpenOffice) seit ueber 15 Jahren zufrieden, als IT-Schule. Selbst in den IT-Abschlusspruefungen hatten wir mit den gestellten Exceltabellen keine Probleme.

Gruss Harry

Hallo,

gerade nachgesehen. LMN 6.2 in der auth.log kein- bzw. ein Eintrag dieser Art in allen Dateien auch den auth.log.gz-Dateien. Der eine Eintrag stammt von einem Vertipper von mir. An dieser Schule ändert sich die IP-Adresse täglich.

In den meisten Fällen (feste IP-Adresse) ist der direkte Ssh-Zugang nicht mehr möglich. Es geht nur noch per OpenVPN und dann per ssh auf den Server. Das war eine Vorgabe vom Internet-Provider.

Gruß

Alois

Kommt auf die Software an. Wir habens meistens in Crontab drin stehen, wöchentlich oder täglich.

Dann scheinen wir aber zumindest nicht auf einem falschen Weg zu sein :slight_smile:

root@sysfn01 /var/log # cat auth.log | grep „pam_unix(sshd:auth): authentication failure“ | wc -l auth.log
43682 auth.log
Sind ja erst 43.000 seit um 0 Uhr.

Tjo, das frag ich mich auch immer. Das blöde ist halt wenn man wüsste wie man das System weiter härten kann, aber eigentlich zu faul ist g

Danke für den Tipp mit Portknocking, dass muss cih mir auch mal ansehen - auch wenns wahrscheinlich nicht in Produktiveinsatz geht.

Ich glaube hier gilt auch das alte bekannte „nichts ist so schlimm wie die Angst davor“-Sprichwort.


Mal eine andere Frage zum Thema:
hat schon jemand den Verwaltungszugang über das Träger-Netzwerk per „Site-to-Site“-Router (o.Ä.) umgesetzt? Sieht das zufällig jemand als „den richtigen Next step“?

Das mag zwar stimmen, glauben tu ich das aber nicht. Schau mal genau nach, die ersten Eintraege sind aelter als 0 Uhr heute Nacht.

Es gibt jede Menge Serverdienste, die per cronjob nicht zuverlaessig geupdatet werden koennen, fast alle die nicht aus dem Repository kommen und genau da sind Deine Einfallstore fuer die dunkle Seite der Macht. :slight_smile:

Gruss Harry

Ouh! ist mir jetzt etwas peinlich, aber du hast Recht:
root@sysfn01 /var/log # head auth.log
May 2 00:01:35 sysfn01 sshd[19775]: Invalid user oracle from 81.71.37.46 port 55522

da war wohl der Koffeinspiegel noch nicht auf dem richtigen Niveau :frowning:

Jo - die Systemdienste (aus den Distributionsrepos) laufen. Aber wir updaten auch BBB und NC mit „crontab“, das war am Anfang etwas gefriemel - und kommt auch mal vor, dass mal ein fehlerhaftes Update dabei ist.

logrotate rotiert in der Regel einmal die Woche und das sonntags und da es eigentlich nur einen Grund gibt in der Config rumzueditieren, bin ich davon ausgegangen, dass das bei Dir auch so ist.

Der eine Grund ist aus meiner Sicht die Anzahl der backlogs zu erhoehen, die letzten 4 Wochen ist mir zu wenig, man koennte das aber auch anders sehen, wenn wirklich jemand den root-Account gehackt bekommt, dann loescht er sowieso seine Spuren und da auch die auth.log bzw. bereinigt diese mit zur Distribution passenden Skripten. An diese Skripte kommt man wenn man sich in den entsprechenden Foren rumdrueckt oder wenn man sich die Muehe macht draussen einen Satz Honeypots zu installieren und da quasi ueber ein paar Jahre das Aquarium durch die Glasscheibe beobachtet. Die Downloads der boesen Jungs (die sich unbeobachtet fuehlen) per curl oder wget zeigen Dir dann jede Menge interessante Quellen fuer interessante Skripte.

Davon abgesehen war die Anzahl der Logins bei Dir auch viel zu hoch, der login-Prozess bzw. das PAM-Modul hintendran inklusive dem sshd lassen nur eine bestimmte Anzahlt Versuche pro Zeiteinheit zu, das ist aber von einigen Variablen abhaengig, laesst sich schwer verallgemeinern - deshalb sind die Bots auch per default sehr lahm unterwegs, sonst wuerden sie bei einem Grossteil der Systeme gleich ins offene Messer laufen.

Bei Nextcloud kann ich mir das automatisiert nicht vorstellen, welche Magie loest bei Dir da Abhaengigkeiten bzgl. php- und MariaDB-Versionen? Aktivierung von PHP-FPM und dergleichen?
Bei BBB mag das klappen, ich haette da aber auch kein gutes Gefuehl bei - musste da schon zu oft unvorhersebare Probleme loesen.

Gruss Harry

  1. Systemupdate mit apt
  2. Upgrade via built-in updater — Nextcloud latest Administration Manual latest documentation
    und
    Bei BigBlueButton: im Prinzip läuft das eigentlich relativ gut. Updates mittels Apt, dann läuft dieses Skript von bbb-conf durch was die wichtigsten Einstellungen wiederherstellt (find nur den richtigen Artikel gerade nicht mehr - könnte aber auch schon überaltert sein)

In der Anfangszeit war das auch recht holprig, weiß nicht ob es daran lag, dass es plötzlich häufiger Updates gab (wegen höherer Nutzung) oder daran, dass wir noch nicht erfahren genug waren. Mittlerweile - jedenfalls - gabs erst ein Mal 2021 Probleme, die ich auf „im Rahmen von automatischen Updates entstanden“ schieben würde.
(Ist aber ehrlicherweise einer der Gründe, warum wir auch nur 99%-Verfügbarkeit garantieren)

Wie würdest du mit Updates umgehen? Patchdays einführen?

Hallo,

wenn ich diese Sätze richtig interpretiere vergleicht ihr glaube ich Äpfel mit Birnen, nämlich Dienstleister mit vielen NC etc. Installationen vs. Einzelschule.

Ich mache Updates bislang auch von Hand und überwache und prüfe, dass alles glatt läuft.
Bei x Installationen/Instanzen muss man natürlich automatisieren. Das macht auch Belwü mit Moodle, das ZSL mit BBB usw.

Viele Grüße
Steffen

5 Beiträge wurden in ein neues Thema verschoben: IT-Sicherheit und Datenschutz in Schulen

Hallo Manuel,

danke dafür, hatte ich nicht gesehen.
Und Danke an @merdian , dass er im wirklich wortgetreuen Sinne seinen Kopf hin hält.
Ihr habt wirklich verdient, durch heise so interviewt und indirekt auch gelobt zu werden!

VG, Tobias

1 „Gefällt mir“

Hallo,

beim Lesen des Artikels kommen mir zwei Dinge in den Sinn:

  1. Es ist eine gigantische Nichtwertschätzung der Arbeit die vollbracht wurde jetzt alles wegzuwerfen!
  2. Was passiert mit den Gerätschaften die für über 10 Millionen Steuergeldern angeschafft wurden?

Viele Grüße

Alois

Ps. Wie war das noch mit dem Eid „… Schaden vom Volk fernhalten“, oder lautet der „… den Schaden für das Volk maximieren“?

Hallo Alois,

Ja, frag mich auch wie bescheuert man sein muss, das aufzugeben.

Ein Rechenzentrum, Server, Speicher, einen Pool von IP-Adressen und Bandbreite haben wir sowieso. Wir brauchten nur zusätzliche Server und mehr Speicherplatz. Wenn man Cloud-Ressourcen einkauft, zahlt man für diese Dinge mit, die wir schon haben.

Da ist ein Haufen Wahnnsinniger unterwegs, der die Herausforderung auch annimmt und anstatt diesen Haufen mit Geld und zusaetzlichen Wahnsinnigen zu bewerfen…machen wir das jetzt alles irgendwie neu, wissen aber nicht wie.

Viel mehr faellt mir da nicht zu ein, da werde ich sprachlos.

Gruss Harry

Hallo Jochen,

Da bislang über Belwue genügend IPs zur Verfügung stehen (demnächst dann wohl nicht mehr), habe ich mir über deren Verwendung keine großen Gedanken gemacht, und so auch Subdomains für Nextcloud und Rocket.Chat mit eigenen IPs versorgen lassen. Wenn alles auf einem Host läuft, dann spielt die Bandbreite wohl keine Rolle. Aber schon aus Kostengründen könnte man ja überlegen, ob nicht eine IP ausreicht und die Verteilung dann über einen Reverse Proxy funktioniert, wovon ich momentan nur wenig Ahnung habe. Müsste der Reverse Proxy dann auf der OPNsense laufen? Welche Konsequenzen hat das für die Sicherheit, Zertifikat usw. … ?

Viele Grüße

Wilfried

Hallo Wilfried,

ausprobiert hab’ ich das auch noch nicht. Ja, ich deenke, der Reverse-Proxy sollte dann auf der OPNsense laufen.

Viele Grüße,
Jochen

Hallo Wilfried,

bei mir läuft HAproxy auf IPFire, weil ich noch LMN6.2 habe, aber es müsste mit der OPNsense in LMN7 auch funktionieren. Man müsste sich überlegen, ob man z.B. ein Wildcard Zertifikat auf der Firewall ablegt und nur bis dahin verschlüsselt oder bis zum Webserver, der das Zertifikat, die Verschlüsselung aufrecht erhält. Für den zweiten Fall hat mir das Stichwort SNI geholfen, obwohl ich es nicht richtig verstanden habe. Jedenfalls habe ich mich damals an einer Anleitung orientiert, die dieser Anleitung ähnlich sah: Kann ein Reverse Proxy SNI mit SSL-Pass-Through verwenden?
Inzwischen habe ich ein Wildcard Zertifikat, das ich hoffentlich bald auch automatisiert (dank DNS API bei Ionos) mit einer DNS-Challenge erneuern kann. Dann wäre der erste Fall wahrscheinlich auch sinnvoll und möglich.
VG
Christian