Advanced Search
Search Results
609 total results found
SSH als SocksProxy
Sinn eines SocksProxy ist es z.B. auf Server und Dienste innerhalb eines Firmennetzwerks zugreifen zu können ohne jedoch dafür Ports in der Firewall aufreissen zu müssen oder auch um Netzwerkverkehr verschlüsselt über einen anderen PC zu tunneln. SSH Tunnel u...
SSH-Clientkonfiguration Multiplexing
Hier meine Clientkonfiguration. Das Snippet kann entweder global in /etc/ssh/ssh_config oder im Home ~/.ssh/config hinterlegt werden. Diese Einstellungen sorgen dafür, dass die Verbindung länger bestehen bleibt (Keepalive) und eine SSH-Verbindung mehrfach benu...
SSH-Forwarding über SUDO behalten
Aus Sicherheitsgründen werden beim Wechsel per Sudo auf einen anderen Benutzer die Umgebungsvariablen (Environment) gelöscht. Allerdings kann es nützlich sein, die Variable SSH_AUTH_SOCK zu behalten, damit das SSH-Forwarding weiter funktioniert. Im SSH-Client...
SSH-Keys von OpenSSH nach SSH2 konvertieren und zurück
Hier wird gezeigt, wie SSH-Keys zwischen verschiedenen Typen von SSH-Servern konvertiert werden können. Dazu wird eine OpenSSH-Installation benötigt (Paket openssh-client bei Debian). SSH2-Key zu OpenSSH-Key konvertieren: # ssh-keygen -i -f ~/.ssh/id_dsa...
SSH-Tunnel
Durch SSH-Tunnel ist es möglich, Systeme zu erreichen, die z.B. in einem privaten Netz hinter einer Firewall liegen. Ein typisches Szenario sieht z.B. so aus: Arbeitsplatz Zuhause 192.168.10.1 → via NAT-Router ins internet –> firewall@work firewall.beispiel.d...
(Zwischen-)Zertifikat Key und Zertifikatsrequest per Script auf Plausibilität prüfen
Dieses Script prüft folgende Punkte: mind. 4096 Bit Key Passen CSR, CRT, KEY zusammen (openssl modulus / md5)? Signatur-Hash prüfen Passt das Intermediate-CRT zum CRT Namenskonvention der Dateien: meine-domain.de.key ...
CAcert Root Zertifikat unter Debian/Ubuntu einbinden
Da das CAcert Root Zertifikat leider nicht mehr mit Debian und damit auch nicht mit Ubuntu ausgeliefert wird folgt hier eine Anleitung, wie man es im System einbindet. Das betrifft nur das Betriebssystem, ggf. muss das Zertifikat auch in euren Browser importie...
Diffie-Hellman Parameterdatei Bitgröße ermitteln
Auf Diffie-Hellman aufsetzende Cipher benötigen eine entsprechende Parameterdatei. Die Standardgröße beträgt 1024 bit. Die Empfehlung nach der Logjam-Attacke sind mind. 2048 bit, besser 4096 bit. Die Parameterdatei wird folgendermaßen erstellt: openssl d...
Signatur-Algorithmen einer Zertifikatskette anzeigen
Da mit SHA1 signierte Zertifikate inzwischen als unsicher eingestuft werden, habe ich nach einer einfachen Möglichkeit gesucht, wie ich herausfinden kann, welche meiner Zertifikate davon betroffen sind. Es reicht allerdings nicht, nur das Serverzertifikat aus...
OpenVPN nach Hause
Serverseite hier bei mir dient die Fritz!Box 7050 als OpenVPN Server(via Firmaware-Mod von http://www.freetz.org). Die Konfiguration sieht so aus: # dev tun0 dev-node /dev/misc/net/tun ifconfig 192.168.200.2 192.168.200.1 tun-mtu 1500 float mssfix ...
IPSec Roadwarrior-VPN via racoon
Dieses Dokument beschreibt die Konfiguration und den Betrieb eines VPN mit Preshared-Keys und Racoon unter Fedora Core 4. Falls nicht vorhanden, das Verzeichnis „/etc/racoon“ anlegen, hier werden alle Configfiles abgelegt /etc/racoon/setkey.c...
Tunnelüberwachung via Script
Mit dem folgenden Script lässt sich bequem ein Tunnel überwachen und ggf. automatisch neu starten: #!/bin/bash # keepalive for ipsec # quick'n'dirty hack # Check darf 3x fehlschlagen, dann wird der Tunnel neu gestartet failmax=3 # Check alle 10...
syslog-ng
Dieses Dokument beschreibt die Konfiguration und den Betrieb von Syslog-NG unter Fedora Core (5). syslog-ng ist ein mächtiger syslogd-Ersatz. Meine syslog-ng Konfiguration: options { stats(3600); dir_perm(0755); perm(0644); chain_hostn...
Meldungen per Regex in eine andere Datei umleiten
Mit diesem Beispiel lassen sich Meldungen, die von „apache2“ gesendet werden und nicht den String „PHP Notice“ enthalten in die Datei /var/log/apache2-global-error.log schreiben. if $programname == 'apache2' and not ($msg contains 'PHP Notice') then /var/...
Remote-Logging mit rsyslog
Um den Empfang von Remote-Messages im rsyslog zu ermöglichen sind in /etc/rsyslog.conf zwei, bzw. 4 Zeilen einzukommentieren: # provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 Üblicherweise werden Syslog-Messages per UDP übertragen. ...
Graylog-Index in Elasticsearch anzeigen und löschen
Für Testzwecke läßt sich der Index von Graylog in Elasticsearch löschen (und damit alle gespeicherten Nachrichten entfernen). Das harte Löschen kann durchaus zu Problemen führen und sollte auf produktiven Servern vermieden werden! Elasticsearch Indizes anzeig...
Graylog-Services per Supervisord starten und überwachen
Um Graylog ohne eigenes Initscript starten und überwachen zu können setze ich das in Python geschriebene Tool Supervisor ein. Ähnlich wie monit kann es Dienste überwachen und bei Problemen neu starten. Die Konfiguration für Graylog sieht so aus: /etc/s...
ISPConfig nginx Logfiles an Graylog-Server schicken
Diese Konfiguration schickt nginx Access- und Errorlogs über GELF an einen Graylog-Server. Der GELF-Input im Graylog sollte natürlich aktiviert sein. Das Pattern-Matching funktioniert leider noch nicht exakt. /etc/logstash/patterns.d/nginx-access.conf ...
ISPConfig Apache2 Logfiles an Graylog-Server schicken
Diese Konfiguration schickt nginx Access- und Errorlogs über GELF an einen Graylog-Server. Der GELF-Input im Graylog sollte natürlich aktiviert sein. Das Pattern-Matching funktioniert leider noch nicht exakt. /etc/logstash/patterns.d/apache.conf # get ...
rsyslog-Messages an Graylog-Server schicken
Diese Konfiguration ermöglicht es rsyslog-Nachrichten an einen externen Graylog-Server weiterzuleiten: /etc/rsyslog.d/graylog.conf # keep full qualified domain names $PreserveFQDN on # graylog-server on log.myserver.de UDP Port 5140 $template GRAY...