04. Februar 2014

Treffen

Splinetreffen vom 04. Februar 2014

Protokoll: alex

Anwesende (spline login): alex, grundrauschen, lotte, dalino, roxc, sunn

Nachbesprechung vom letzten Treffen

Splinetalk
- Schließsystem nach den Semesterferien
- Plakat:
  
  Tobi will ein Plakat machen aber frühstens ab 12.3. (nach seiner Verteidigung)
Treffen mit Rechnerbetrieb
- nichts passiert, alex kümmert sich (jetzt wirklich)
Spline Pinnwand
- nichts passiert, viirus wollte was machen
Gobby als neuer Dienst
- lram sagt, Gobby-Server läuft unter vm-gobby.spline.de
- wäre cool, wenn man den auf der Webseite announcen würde
Hardware
- das raid und ein pizzakarton ist auf ebay kleinanzeigen
- RAID wohl mit VB - noch keine reaktion
- pizzakarton - gab einen interressenten der mit PCIe 30€ bezahlen würde
5Ghz Netzwerk
- nichts passiert

Neue Themen

Ethercalc

http://ethercalc.net/
Enno machts

Gitlab

Confirmation E-Mails mit https://gitlab.spline.de als Host
Alle User (mit E-Mails und LDAP dn) per API abrufbar
- patchbar, alex kümmert sich
Update?
- 1. Jan update
- 1. Jan CVE: http://blog.gitlab.org/xss-vulnerability-in-gitlab/

Accounts

Löschen von Accounts (in progress): http://pad.spline.de/accounts-del

Fragen

Update auf 0.7.49
Accountlöschung nicht vorgesehen (grml)

SSL

Wir unterstützen eine vielzahl von unsicheren Ciphers (MD4, TLSv1), auch bei sicherheitskritischen Websites:

$ sslscan accounts.spline.de | grep Accepted
  Accepted  SSLv3  256 bits  ECDHE-RSA-AES256-SHA
  Accepted  SSLv3  256 bits  DHE-RSA-AES256-SHA
  Accepted  SSLv3  256 bits  DHE-RSA-CAMELLIA256-SHA
  Accepted  SSLv3  256 bits  AES256-SHA
  Accepted  SSLv3  256 bits  CAMELLIA256-SHA
  Accepted  SSLv3  168 bits  ECDHE-RSA-DES-CBC3-SHA
  Accepted  SSLv3  168 bits  EDH-RSA-DES-CBC3-SHA
  Accepted  SSLv3  168 bits  DES-CBC3-SHA
  Accepted  SSLv3  128 bits  ECDHE-RSA-AES128-SHA
  Accepted  SSLv3  128 bits  DHE-RSA-AES128-SHA
  Accepted  SSLv3  128 bits  DHE-RSA-CAMELLIA128-SHA
  Accepted  SSLv3  128 bits  AES128-SHA
  Accepted  SSLv3  128 bits  CAMELLIA128-SHA
  Accepted  SSLv3  128 bits  ECDHE-RSA-RC4-SHA
  Accepted  SSLv3  128 bits  RC4-SHA
  Accepted  TLSv1  256 bits  ECDHE-RSA-AES256-SHA
  Accepted  TLSv1  256 bits  DHE-RSA-AES256-SHA
  Accepted  TLSv1  256 bits  DHE-RSA-CAMELLIA256-SHA
  Accepted  TLSv1  256 bits  AES256-SHA
  Accepted  TLSv1  256 bits  CAMELLIA256-SHA
  Accepted  TLSv1  168 bits  ECDHE-RSA-DES-CBC3-SHA
  Accepted  TLSv1  168 bits  EDH-RSA-DES-CBC3-SHA
  Accepted  TLSv1  168 bits  DES-CBC3-SHA
  Accepted  TLSv1  128 bits  ECDHE-RSA-AES128-SHA
  Accepted  TLSv1  128 bits  DHE-RSA-AES128-SHA
  Accepted  TLSv1  128 bits  DHE-RSA-CAMELLIA128-SHA
  Accepted  TLSv1  128 bits  AES128-SHA
  Accepted  TLSv1  128 bits  CAMELLIA128-SHA
  Accepted  TLSv1  128 bits  ECDHE-RSA-RC4-SHA
  Accepted  TLSv1  128 bits  RC4-SHA

Vorschlag aus dem off:
- TLS 1.1 vorraussetzen (wegen BEAST, geht aber erst ab openssl 1.1)
- AES und eventuell 3DES zulassen
- am besten DHE oder ECDHE
- nochmal DNSSEC wieder an den Start und CERT Records für alle Dienste
https://www.ssllabs.com/ssltest/index.html
config auf accounts.spline.de (wg. BEAST): RC4:HIGH:!aNULL:!MD5;
- RC4 ist bekanntermaßen broken. Besser z.B.: DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ALL:!LOW:!SSLv2:!EXP:!aNULL (Kein EC vor'm DHE weil die Kurven afaik immer noch die NSA-Kurven sind..)

Girlsday

2 Gruppen
Jeweils 14 Teilnehmerinnen
mitmachen wollten: Dario, Tobias, Robin
Wir wollen noch Informatikerinnen nach Beteiligung fragen
Arduino-Workshop für Helferinnen möglich
1x 5-7 Klasse, 1x 8-10
Dario kümmert sich um die Anmeldung
Titel: Großes Blinken mit kleinem (Programmier-)aufwand

klausuren.spline.de

geht bei mir nicht, selbst via VPN
- vermutlich IPv6 Problem (AnyConnect macht nur VPN für IPv4)
- Problem von Cisco und Zedat
geht bei mir via SSH-Tunnel zu FOB
geht bei mir aus dem Poolraum

Sommersemestern-Erstis

lram würde auf jeden Fall eine Crypto-Schulung durchführen, hofft auf unsere Unterstützung!
Wir warten auf Planungen von der FSI für weitere Kursüberlegungen

Physikhardware

Es gibt Prozessoren und RAM
Bräuchten aber Boards mit Gehäusen
Wollen die eher nicht nehmen

Netzwerkkarten ping und pong

Haben aus den Pizzaschachteln noch 4 Intel Pro/1000 PCI-X
Bauen die in Ping und Pong ein, weil die internen Probleme machen

Rack aufräumen

Last der Server auf den einzelnen Phasen ist noch fehlverteilt
Netzwerkkabel müssen noch mal geordnet arrangiert werden
Termin: 13.02.2014, 14:00 st.

Updatelogs

Kann man vielleicht in Hostinfo einbauen