Sicherheit

Sicherheit


Die WordPress-Farm wurde auf HTTPS umgestellt

Hypertext Transfer Protocol Secure (HTTPS, englisch für „sicheres Hypertext-Übertragungsprotokoll“) ist ein Kommunikationsprotokoll im World Wide Web, um Daten abhörsicher zu übertragen. Es stellt eine Transportverschlüsselung dar.

Für die Anmeldung der Redakteure und Abonnenten der betroffenen Seite diser WordPressfarm erhöht sich damit ab sofort die Sicherheit, da die Kommunikation zwischen Browser und Anmeldeseite verschlüsselt stattfindet.

https

Verschlüsselte Webseite

Die Seiten wurden insgesamt (also nicht nur der Login-Bereich) auf HTTPS (anstelle von HTTP) umgestellt, um direkt die selben URLS im Redakteur-Backend und auf den Frontend-Seiten darzustellen (damit entstehen keine Probleme beim kopieren von Links). Durch die Umstellung wirken die Seiten insgesamt „sicherer“ und „seriöser“ was zukünftig vermutlich zu einem verbesserten Rating seitens der Suchmaschinen führen wird.

grünes Schloß

Grünes Schloß bei https Seiten

Dass die Seiten nun „sicher“ und verschlüsselt sind zeigt sich an dem Protokoll-Anfang der URL: HTTPS und an dem grünen Schloß, welches von den Browsern angezeigt wird. Es kann vorkommen dass auf einigen Seiten kein „grünes Schloß“ dargestellt wird – in diesen Fällen handelt es sich in der Regel um „Mixed Content“ Seiten. Bei diesen Seiten wurden unverschlüsselten Daten (Mediadaten, Stylesheets, etc.) in die jetzt insgesamt Verschlüsselte Seite eingebunden. Solche Inhalte wie Bilder oder Medien, die direkt von externen Seiten über HTTP (anstelle von HTTPS) eingebunden werden könnten sollten zukünftig vermieden werden oder es sollte besser versucht werden von der selben Quelle eine HTTPS-Adresse einzubinden.

Konsequenz beim Einbinden von unverschlüsselten Daten (Mediadaten, Stylesheets, etc.) in einer Verschlüsselte Seite ist dass der Browser die Nutzer warnt, dass die Seite „nicht Sicher“ ist.

 

grünes Schloß

Letsencrypt

zulauf it solutions – Neues SSL Zertifikat (WWW)Letsencrypt

Seit heute heute gibt es ein neues SSL Zertifikat für  Webmail https://zlauf.de/webmail/ bzw. weitere Web-Dienste.

Die E-Mail-Dienste sind weiterhin mit dem Startssl Zertifikat verbunden.Zertifikat-Daten

Zertifikatsaussteller:

Let’s Encrypt Authority X3

https://letsencrypt.org/

Gültigkeit:

ab 30.4.2017


Dateisysteme umkopieren mit xfsdump und xfsrestore oder xfs_copy

Vor einiger Zeit hatte ich beschrieben wie man mit Tar Dateisysteme umkopieren kann. Wenn sowohl bei dem alten wie auch bei dem neuen Dateisystem XFS eingesetzt werden soll gibtes eine bessere Möglichkeit. Um den gesamten Inhalt eines XFS-Dateisystem auf einen anderen Datenträger, der auch als XFS-Dateisystem formatiert ist zu kopieren, […]


Firefox Error

http leitet immer wieder auf https um

Seit kurzem beschäftige ich mich mit dem Problem dass ich auf einigen Subdomains automatisch auf die https-URL umgeleitet werde. Diese Umleitung bewirkt eine Einstellung in meiner Apache SSL/TLS Konfiguration – Ich hatte hier HSTS (HTTP Strict Transport Security) eingeschaltet. Bei eingeschaltetem HSTS mit der Option includeSubDomains Versucht der Browser auch […]


Backups mit Backintime

Das Passwort für verschlüsselte Backups ließ sich nicht speichern (die Option war ausgegraut).
Durch „ausprobieren“ habe ich herausgefunden dass durch Nachinstallation von python-keyring die Option wieder zur Verfügung steht. Diese Abhängigkeit wird leider nicht automatisch aufgelöst, sodass man mittels

sudo apt-get install python-keyring

Nachinstallieren muss.


Imap und OpenSSL testen

Nach dem aktuell eine OpenSSL Schwachstelle bekannt wurde habe ich das Thema nach dem OpenSSL Update noch mal aufgegriffen:  wie kann ich schnell auf der Konsole SSL Zertifikate prüfen?

Bei Imap-SSL startet man einen openssl-Aufruf in der Art:

openssl s_client -connect mail.example.com:993

Wenn man TLS verwendet muss man das Protokoll (imap) der Option „-starttls“ übergeben:

openssl s_client -connect mail.example.com:143 -starttls imap

Globale Blacklist für Apache-Webserver

Neben aufwendigen Mechanismen um Einbruchsversuche oder Passwort-Tests zu vermeiden habe ich nach einer einfachen Möglichkeit gesucht ungewollte Besucher auszusperrren. Die Lösung läßt sich mit einer globalen Apache-Konfiguration erstellen:

/etc/apache2/conf.d/blacklist

 

  

    order allow,deny
    allow from all
    deny from 111.111.122.222
    #deny from
  


Known_Hosts,

SSH – Offending key for IP

Irgendwann ist es immer soweit und man sucht nach der passenden Lösung.
Es kann schon mal vorkommen, dass der Sicherheitsmechanismus der SSH Hinweise gibt, die man nicht benötigt.
Man hat selber den entfernten Rechner zwischendurch mit einem Rescue-System gestartet, und schon gibt es einen neuen Key der im weiteren Produktivbetrieb für die SSH nach einem Sicherheitsrisiko aussieht.
Die Fehlermeldung lautet:

Offending key for IP in ~/.ssh/known_hosts:53

Abhilfe schafft in dem Fall das kurze Kommando:

sed -i '53d' ~/.ssh/known_hosts

Rescue Systeme zum Einsatz für Rootserver

Ich will in der nächsten Zeit einen Rootserver bei Hosteurope in Betrieb nehmen. Von früheren Anbietern kenne ich die Möglichkeit den Server über ein Rescue-System zu bedienen. Bei Hosteurope gibt es die Möglichkeit ein beliebiges CD/DVD Image als Rescue/Rettungs-System einzubinden. Ich kenne aus anderen Situationen Rescue-Systeme auf CD/DVD wie zum […]