Search Results

Sinn eines SocksProxy ist es z.B. auf Server und Dienste innerhalb eines Firmennetzwerks zugreifen zu können ohne jedoch dafür Ports in der Firewall aufreissen zu müssen oder auch um Netzwerkverkehr verschlüsselt über einen anderen PC zu tunneln. SSH Tunnel u...

Hier meine Clientkonfiguration. Das Snippet kann entweder global in /etc/ssh/ssh_config oder im Home ~/.ssh/config hinterlegt werden. Diese Einstellungen sorgen dafür, dass die Verbindung länger bestehen bleibt (Keepalive) und eine SSH-Verbindung mehrfach benu...

Aus Sicherheitsgründen werden beim Wechsel per Sudo auf einen anderen Benutzer die Umgebungsvariablen (Environment) gelöscht. Allerdings kann es nützlich sein, die Variable SSH_AUTH_SOCK zu behalten, damit das SSH-Forwarding weiter funktioniert. Im SSH-Client...

Hier wird gezeigt, wie SSH-Keys zwischen verschiedenen Typen von SSH-Servern konvertiert werden können. Dazu wird eine OpenSSH-Installation benötigt (Paket openssh-client bei Debian). SSH2-Key zu OpenSSH-Key konvertieren: # ssh-keygen -i -f ~/.ssh/id_dsa...

Durch SSH-Tunnel ist es möglich, Systeme zu erreichen, die z.B. in einem privaten Netz hinter einer Firewall liegen. Ein typisches Szenario sieht z.B. so aus: Arbeitsplatz Zuhause 192.168.10.1 → via NAT-Router ins internet –> firewall@work firewall.beispiel.d...

Dieses Script prüft folgende Punkte: mind. 4096 Bit Key Passen CSR, CRT, KEY zusammen (openssl modulus / md5)? Signatur-Hash prüfen Passt das Intermediate-CRT zum CRT Namenskonvention der Dateien: meine-domain.de.key ...

Da das CAcert Root Zertifikat leider nicht mehr mit Debian und damit auch nicht mit Ubuntu ausgeliefert wird folgt hier eine Anleitung, wie man es im System einbindet. Das betrifft nur das Betriebssystem, ggf. muss das Zertifikat auch in euren Browser importie...

Auf Diffie-Hellman aufsetzende Cipher benötigen eine entsprechende Parameterdatei. Die Standardgröße beträgt 1024 bit. Die Empfehlung nach der Logjam-Attacke sind mind. 2048 bit, besser 4096 bit. Die Parameterdatei wird folgendermaßen erstellt: openssl d...

Da mit SHA1 signierte Zertifikate inzwischen als unsicher eingestuft werden, habe ich nach einer einfachen Möglichkeit gesucht, wie ich herausfinden kann, welche meiner Zertifikate davon betroffen sind. Es reicht allerdings nicht, nur das Serverzertifikat aus...

Serverseite hier bei mir dient die Fritz!Box 7050 als OpenVPN Server(via Firmaware-Mod von http://www.freetz.org). Die Konfiguration sieht so aus: # dev tun0 dev-node /dev/misc/net/tun ifconfig 192.168.200.2 192.168.200.1 tun-mtu 1500 float mssfix ...

Dieses Dokument beschreibt die Konfiguration und den Betrieb eines VPN mit Preshared-Keys und Racoon unter Fedora Core 4. Falls nicht vorhanden, das Verzeichnis „/etc/racoon“ anlegen, hier werden alle Configfiles abgelegt /etc/racoon/setkey.c...

Mit dem folgenden Script lässt sich bequem ein Tunnel überwachen und ggf. automatisch neu starten: #!/bin/bash # keepalive for ipsec # quick'n'dirty hack   # Check darf 3x fehlschlagen, dann wird der Tunnel neu gestartet failmax=3   # Check alle 10...

Dieses Dokument beschreibt die Konfiguration und den Betrieb von Syslog-NG unter Fedora Core (5). syslog-ng ist ein mächtiger syslogd-Ersatz. Meine syslog-ng Konfiguration: options { stats(3600); dir_perm(0755); perm(0644); chain_hostn...

Mit diesem Beispiel lassen sich Meldungen, die von „apache2“ gesendet werden und nicht den String „PHP Notice“ enthalten in die Datei /var/log/apache2-global-error.log schreiben. if $programname == 'apache2' and not ($msg contains 'PHP Notice') then /var/...

Um den Empfang von Remote-Messages im rsyslog zu ermöglichen sind in /etc/rsyslog.conf zwei, bzw. 4 Zeilen einzukommentieren: # provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 Üblicherweise werden Syslog-Messages per UDP übertragen. ...

Für Testzwecke läßt sich der Index von Graylog in Elasticsearch löschen (und damit alle gespeicherten Nachrichten entfernen). Das harte Löschen kann durchaus zu Problemen führen und sollte auf produktiven Servern vermieden werden! Elasticsearch Indizes anzeig...

Um Graylog ohne eigenes Initscript starten und überwachen zu können setze ich das in Python geschriebene Tool Supervisor ein. Ähnlich wie monit kann es Dienste überwachen und bei Problemen neu starten. Die Konfiguration für Graylog sieht so aus: /etc/s...

Diese Konfiguration schickt nginx Access- und Errorlogs über GELF an einen Graylog-Server. Der GELF-Input im Graylog sollte natürlich aktiviert sein. Das Pattern-Matching funktioniert leider noch nicht exakt. /etc/logstash/patterns.d/nginx-access.conf ...

Diese Konfiguration schickt nginx Access- und Errorlogs über GELF an einen Graylog-Server. Der GELF-Input im Graylog sollte natürlich aktiviert sein. Das Pattern-Matching funktioniert leider noch nicht exakt. /etc/logstash/patterns.d/apache.conf # get ...

Diese Konfiguration ermöglicht es rsyslog-Nachrichten an einen externen Graylog-Server weiterzuleiten: /etc/rsyslog.d/graylog.conf # keep full qualified domain names $PreserveFQDN on # graylog-server on log.myserver.de UDP Port 5140 $template GRAY...