Mein Notizblog
Folgender Beitrag „Nichts zu verbergen?“ aus dem Kuketz Blog trifft es auf den Punkt: ″ Edward Snowden ist ein Privatsphäre-Fürsprecher und sagt: Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben, ist so, als würden Sie sagen, dass Sie keine Meinungsfreiheit brauchen, weil Sie nichts zu sagen haben. Es gibt weitere Argumente, die die Aussage »Ich […]
WeiterlesenUm sicher zu stellen, daß mein Rootserver bei Wartungsarbeiten beim Hoster rechtzeitig heruntergefahren wird (die Zugangsdaten mag ich nicht im Webpanel hinterlegen) eigenet sich am besten at: at 9 pm today <Enter> poweroff <Enter> Ctrl-D Anschließend mit atq kontrollieren: root@imhotep:/usr/ports # atq Date Owner Queue Job# Wed May 19 21:00:00 CEST 2021 root c 6
WeiterlesenEs gibt eine sehr sinnvolle neue Aktion gegen Datenkraken und den Überwachungsstaat. Die Bürgerrechtsallianz „Reclaim Your Face“ hat eine Europäische Bürgerinitiative (EBI) gegen biometrische Gesichtserkennung und automatisierte Massenüberwachung gestartet. Sie braucht die Unterschriften von einer Million EU-Bürgern, um erfolgreich zu sein: Reclaim Your Face Auf Heise Online News gibt es einen Artikel dazu. Die Aktion sollte von möglichst vielen (mindestens […]
WeiterlesenVor längerer Zeit (2016) habe ich nach Scripten oder OpenSource Software zum Erstellen und Erneuern von Letsencrypt Zertikaten gesucht, da ich nach dem Ende von StartSSL auf die Letsencrypt Zertikate umgestiegen war und diese nicht nur für Webseiten, sondern auch für Postfix, Dovecot und Vsftpd nutze.Leider habe ich nichts gefunden, was meine Anforderungen entsprach und habe daher die Scripte selber […]
WeiterlesenUnd hier gleich noch eine Postillon Perle: Statt Händeschütteln: AfD empfiehlt wegen Coronavirus neuen kontaktlosen Gruß mit erhobenem rechten Arm
WeiterlesenOder muß es „Weiterer Humor aus dem Der Postillion“ lauten? Da ich als Schüler selber fast immer in der letzten Reihe Platz genommen habe, mußte ich über den Artikel „Ständiger Unruheherd“: Bildungsministerium schafft letzte Reihe im Klassenzimmer ab schon sehr schmunzeln!
WeiterlesenDer Humor vom Postillion ist immer wieder saugenial (mit Ausnahme des Jahresabreißkalenders, der ist ziemlich maximal unlustig). daher werde ich ab und zu hier ein paar Perlen erwähnen. Z.B. Sensation! Autobahn-Fahrer entdeckt weitere Fahrbahn rechts neben der Mittelspur Ich wollte gerade ein Photos des Artikels hier einfügen, aber es ist offensichtlich selber kein Photo vom Postillion, daher füge ich es […]
WeiterlesenIn der aktuellen c’t 01/2020 steht im Artikel „FAQ: Basics zum Linux-Kernel, Teil 5“ folgender Hinweis, wie man das Nachladen von Kernelmodulen im laufenden Betrieb verhindern kann:
Sie können die angesprochene Angriffsfläche schon ein gutes Stück reduzieren, indem Sie dem Kernel Ihrer Distribution das Nachladen von Modulen verbieten:echo 1 > /proc/sys/kernel/modules_disabledDiese Blockade können Sie im Betrieb nicht widerrufen, daher müssen Sie neu starten, um wieder Module laden zu können. Sie sollten den Befehl daher erst ausführen, wenn das System wirklich alle im Betrieb erforderlichen Kernel-Module geladen hat. Bei einer selbst gebauten Firewall und simplen Servern ist das oft schon am Ende des Boot-Prozesses der Fall, daher kann es dort ausreichen, den Befehl über die /etc/rc.d/rc.local auszuführen.
Möglicherweise sollte man vor dem Aktivieren der Modulladeblockade bei einigen Systemen im laufenden Betrieb, wenn alle Funktionalitäten schon mal genutzt wurden, mit einem lsmod nachsehen, ob beim Start möglicherweise noch nicht alle für den Betrieb des Systems erforderlichen Kernelmodule geladen wurden und diese dann mit einem modprobe vor dem echo Befehl laden.
WeiterlesenMeine Scripte zum Erstellen und Erneuern der Let’s Encrypt funktionierte nach einem Serverumzug und ein paar Konfigurationsänderungen nicht mehr. Folgende Fehlermeldung wurde ausgeworfen:
Verifying www.domain.tld...Traceback (most recent call last):File "/usr/local/bin/acme_tiny", line 141, in get_crtassert (disable_check or _do_request(wellknown_url)[0] == keyauthorization)File "/usr/local/bin/acme_tiny", line 46, in _do_requestraise ValueError("{0}:\nUrl: {1}\nData: {2}\nResponse Code: {3}\nResponse: {4}".format(err_msg, url, data, code, resp_data))ValueError: Error:Url: http://www.domain.tld/.well-known/acme-challenge/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_MapwData: NoneResponse Code: NoneResponse: <urlopen error [Errno 8] Name does not resolve>
During handling of the above exception, another exception occurred:
Traceback (most recent call last):File "/usr/local/bin/acme_tiny", line 198, in <module>main(sys.argv[1:])File "/usr/local/bin/acme_tiny", line 194, in mainsigned_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca, disable_check=args.disable_check, directory_url=args.directory_url, contact=args.contact)File "/usr/local/bin/acme_tiny", line 143, in get_crtraise ValueError("Wrote file to {0}, but couldn't download {1}: {2}".format(wellknown_path, wellknown_url, e))ValueError: Wrote file to /usr/local/www/challenges/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_Mapw, but couldn't download http://www.domain.tld/.well-known/acme-challenge/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_Mapw: Error:Url: http://www.domain.tld/.well-known/acme-challenge/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_MapwData: NoneResponse Code: NoneResponse: <urlopen error [Errno 8] Name does not resolve>Signierung nicht erfolgreich!
Wie ich dann herausgefunden habe, mag Let’s Encrypt nicht mit der Konfiguration Redirect permanent spielen:
<VirtualHost *:80>
ServerName domain.tld
ServerAlias www.domain.tld
ServerAdmin contact@domain.tld
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
Redirect permanent / https://domain.tld/
<Directory /var/www/html>
Options FollowSymLinks AllowOverride all Require all granted
</Directory>
</VirtualHost>
Nachdem ich statt mit
Redirect permanent / https://domain.tld/
das Umschreiben zu HTTPS mittels folgendem Block
RewriteEngine OnRewriteCond %{HTTPS} offRewriteCond %{REQUEST_URI} !^/.well-known/.*$RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [L,R=301]
umgesetzt habe, konnte ich wieder Zertifikate anfordern und erneuern.
WeiterlesenEs gibt keinen Textauszug, da dies ein geschützter Beitrag ist.
Weiterlesen