staging.inyokaproject.org

Hallo zusammen, ich hab mir vor kurzem Lynis heruntergeladen und versuche nun die Tipps/Warnungen umzusetzen. Bisher gibt es nur eine Warnung, mit der ich leider nichts anfangen kann.

  -[ Lynis 2.4.0 Results ]-

  Warnings (1):
  ----------------------------
  ! Couldn't find 2 responsive nameservers

Könnt ihr mir vielleicht einen Tipp geben, wie ich diese Warnung behebe? Danke im voraus für eure Hilfe!

Hallo!

Nameserver sind für die Namensauflösung zuständig. Siehe zum Beispiel resolv.conf ff. Allerdings ist diese Datei heutzutage nur noch ein Dummy, je nachdem wie du dein Netzwerk konfiguriert hast.

Verwendest du lynis unter Xubuntu oder einem Ubuntu-Server?

/edit: da es gar keinen Eintrag zu resolv.conf gibt, verweise ich an der Stelle auf DNS-Probleme

Hallo und danke für deine Antwort.

Ich benutze Lynis unter Xubuntu auf meinem Laptop. Da ich aber auch andere WLAN-Netzwerke nutze, möchte ich den Laptop so gut es geht absichern. Soweit ich die Meldung verstanden hab, geht es darum, dass man in einem anderen Netzwerk keinen "falschen" Nameserver untergejubelt bekommt um zB den Datenverkehr mitzuschneiden o.ä., oder?

Im Moment nutze ich dafür OpenVPN um mich mit meinem (Heim-)Netzwerk zu verbinden. Wäre das "Problem" damit nicht so gravierend?

Hm. Ich habe das nur einmal benutzt und zwar durch deinen thread ☺ Es kann natürlich an verschiedenen Konfigurationen liegen und dort hinterlegten nameservern. Wie sieht denn aktuell deine resolv.conf aus?

Du kannst uns die ja mit

cat /etc/resolv.conf

hier im Codeblock zeigen.

Alle bestehenden NetworkManager-Netze kannst du dir auch ausgeben lassen: ❗ ACHTUNG ❗
Bei WLAN-Verbindungen werden gespeicherte Zugangsdaten und Kennwörter offengelegt!

for file in /etc/NetworkManager/system-connections/*; do echo "$file"; sudo cat "$file"; done 

Solltest du also diese Ausgabe hier posten wollen, mach bitte die Passwörter vorher unkenntlich!

Hm, okay. Dann müsste ich in die resolv.conf einfach einen anderen/weiteren Nameserver eintragen?

cat /etc/resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 127.0.1.1
search fritz.box

/etc/NetworkManager/system-connections/******
[connection]
id=******
uuid=15ef04db-e168-4cb1-8b20-5394d216e583
type=wifi
permissions=user:******:;
secondaries=

[wifi]
mac-address=78:E4:00:20:35:A3
mac-address-blacklist=
mac-address-randomization=0
mode=infrastructure
seen-bssids=
ssid=******

[wifi-security]
auth-alg=open
group=
key-mgmt=wpa-psk
pairwise=
proto=
psk=******

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=auto
/etc/NetworkManager/system-connections/******
[connection]
id=******
uuid=435598c3-ae11-40fc-a171-d5670239be93
type=wifi
permissions=user:******:;
secondaries=

[wifi]
mac-address=78:E4:00:20:35:A3
mac-address-blacklist=
mac-address-randomization=0
mode=infrastructure
seen-bssids=
ssid=******

[wifi-security]
auth-alg=open
group=
key-mgmt=wpa-psk
pairwise=
proto=
psk=******

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=auto
/etc/NetworkManager/system-connections/******
[connection]
id=******
uuid=7df035bb-3821-4923-a463-ca51e0c5c745
type=wifi
permissions=user:******:;
secondaries=

[wifi]
mac-address=78:E4:00:20:35:A3
mac-address-blacklist=
mac-address-randomization=0
mode=infrastructure
seen-bssids=
ssid=******

[wifi-security]
auth-alg=open
group=
key-mgmt=wpa-eap
pairwise=
proto=

[802-1x]
altsubject-matches=
eap=ttls;
identity=5d26
password=ska*46
phase2-altsubject-matches=
phase2-autheap=mschapv2

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=auto
/etc/NetworkManager/system-connections/******-Gast
[connection]
id=******-Gast
uuid=a8992091-10cf-4ab1-8d5c-4070e9185833
type=wifi
permissions=user:******:;
secondaries=

[wifi]
mac-address=78:E4:00:20:35:A3
mac-address-blacklist=
mac-address-randomization=0
mode=infrastructure
seen-bssids=
ssid=******-Gast

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
method=auto
/etc/NetworkManager/system-connections/******
[connection]
id=Zuhause
uuid=1610cf76-8944-4d8a-90a6-b243aa244a4d
type=vpn
permissions=
secondaries=
timestamp=1475752522

[vpn]
connection-type=tls
remote=******
comp-lzo=yes
cert-pass-flags=0
ns-cert-type=server
cert=/home/******/Downloads/openvpn/******-client.crt
key=/home/******/Downloads/openvpn/******-client.key
dev=tun
ca=/home/*****/Downloads/openvpn/*****-ca.crt
service-type=org.freedesktop.NetworkManager.openvpn

[ipv4]
dns-search=
method=auto

[ipv6]
addr-gen-mode=stable-privacy
dns-search=
ip6-privacy=0
method=auto

/EDIT: Habs nun einfach mal probiert. Dazu fand ich vom ChoasComputerClub eine Liste mit freien DNS-Servern: http://www.ccc.de/censorship/dns-howto/#dnsserver

Meine resolv.config sieht nun so aus:

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 194.150.168.168
nameserver 213.73.91.35

Die Einstellungen werden anscheinend direkt übernommen und die Fehlermeldung von Lynis ist verschwunden! Danke für die Hilfe! ☺

nobody2311 schrieb:

Meine resolv.config sieht nun so aus:

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 194.150.168.168
nameserver 213.73.91.35

Die Einstellungen werden anscheinend direkt übernommen und die Fehlermeldung von Lynis ist verschwunden! Danke für die Hilfe! ☺

Bei Verwendung des NetworkManagers müssen die nameserver allerdings über die GUI eingetragen werden, sonst ist nach dem Neustart alles wieder beim Alten. Ich denke er hat sich an fritz.box gestört. Das könnte man umgehen, in dem man das in die /etc/hosts mit aufnimmt oder die ip der Box verwendet, falls es das ist.

Falls das Thema für dich dann gelöst ist, markiere es bitte noch so. Danke!

ChickenLipsRfun2eat schrieb:

Bei Verwendung des NetworkManagers müssen die nameserver allerdings über die GUI eingetragen werden, sonst ist nach dem Neustart alles wieder beim Alten.

Oha, ja tatsächlich.. Hmm, wenn ich das dann über den NetworkManager lösen muss/will, dann für jede einzelne Verbindung, richtig? Ich tendiere im Moment eher dazu, diesen "Tipp" zu ignorieren, oder was meinst du/ihr dazu?

Richtig. Jede Verbindung kann separat konfiguriert werden.

Ich würde das ignorieren. Es ist ja nur eine Warnung und deren Ursache kennst du jetzt.

Alles klar, dann bedank ich mich nochmal für deine Hilfe und markier das Thema als gelöst 😉