Folgender Beitrag „Nichts zu verbergen?“ aus dem Kuketz Blog trifft es auf den Punkt: ″ Edward Snowden ist ein Privatsphäre-Fürsprecher und sagt: Zu argumentieren, dass Sie keine Privatsphäre brauchen, weil Sie nichts zu verbergen haben,
WeiterlesenKategorie: EDV
Alles rund um Computer
FreeBSD at Job
Um sicher zu stellen, daß mein Rootserver bei Wartungsarbeiten beim Hoster rechtzeitig heruntergefahren wird (die Zugangsdaten mag ich nicht im Webpanel hinterlegen) eigenet sich am besten at: at 9 pm today <Enter> poweroff <Enter> Ctrl-D
WeiterlesenReclaim Your Face: Europaweite Unterschriftensammlung gegen Gesichtserkennung
Es gibt eine sehr sinnvolle neue Aktion gegen Datenkraken und den Überwachungsstaat. Die Bürgerrechtsallianz „Reclaim Your Face“ hat eine Europäische Bürgerinitiative (EBI) gegen biometrische Gesichtserkennung und automatisierte Massenüberwachung gestartet. Sie braucht die Unterschriften von einer
WeiterlesenScripte zum Erstellen und Erneuern von Letsencrypt Zertifikaten
Vor längerer Zeit (2016) habe ich nach Scripten oder OpenSource Software zum Erstellen und Erneuern von Letsencrypt Zertikaten gesucht, da ich nach dem Ende von StartSSL auf die Letsencrypt Zertikate umgestiegen war und diese nicht
WeiterlesenNachladen von Kernelmodulen verhindern
In der aktuellen c’t 01/2020 steht im Artikel „FAQ: Basics zum Linux-Kernel, Teil 5“ folgender Hinweis, wie man das Nachladen von Kernelmodulen im laufenden Betrieb verhindern kann:
Sie können die angesprochene Angriffsfläche schon ein gutes Stück reduzieren, indem Sie dem Kernel Ihrer Distribution das Nachladen von Modulen verbieten:echo 1 > /proc/sys/kernel/modules_disabled
Diese Blockade können Sie im Betrieb nicht widerrufen, daher müssen Sie neu starten, um wieder Module laden zu können. Sie sollten den Befehl daher erst ausführen, wenn das System wirklich alle im Betrieb erforderlichen Kernel-Module geladen hat. Bei einer selbst gebauten Firewall und simplen Servern ist das oft schon am Ende des Boot-Prozesses der Fall, daher kann es dort ausreichen, den Befehl über die /etc/rc.d/rc.local auszuführen.
Möglicherweise sollte man vor dem Aktivieren der Modulladeblockade bei einigen Systemen im laufenden Betrieb, wenn alle Funktionalitäten schon mal genutzt wurden, mit einem lsmod nachsehen, ob beim Start möglicherweise noch nicht alle für den Betrieb des Systems erforderlichen Kernelmodule geladen wurden und diese dann mit einem modprobe vor dem echo Befehl laden.
WeiterlesenProblem mit RedirectPermanent und automatischen Updates von Let’s Encrypt
Meine Scripte zum Erstellen und Erneuern der Let’s Encrypt funktionierte nach einem Serverumzug und ein paar Konfigurationsänderungen nicht mehr. Folgende Fehlermeldung wurde ausgeworfen:
Verifying www.domain.tld...
Traceback (most recent call last):
File "/usr/local/bin/acme_tiny", line 141, in get_crt
assert (disable_check or _do_request(wellknown_url)[0] == keyauthorization)
File "/usr/local/bin/acme_tiny", line 46, in _do_request
raise ValueError("{0}:\nUrl: {1}\nData: {2}\nResponse Code: {3}\nResponse: {4}".format(err_msg, url, data, code, resp_data))
ValueError: Error:
Url: http://www.domain.tld/.well-known/acme-challenge/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_Mapw
Data: None
Response Code: None
Response: <urlopen error [Errno 8] Name does not resolve>
During handling of the above exception, another exception occurred:
Traceback (most recent call last):
File "/usr/local/bin/acme_tiny", line 198, in <module>
main(sys.argv[1:])
File "/usr/local/bin/acme_tiny", line 194, in main
signed_crt = get_crt(args.account_key, args.csr, args.acme_dir, log=LOGGER, CA=args.ca, disable_check=args.disable_check, directory_url=args.directory_url, contact=args.contact)
File "/usr/local/bin/acme_tiny", line 143, in get_crt
raise ValueError("Wrote file to {0}, but couldn't download {1}: {2}".format(wellknown_path, wellknown_url, e))
ValueError: Wrote file to /usr/local/www/challenges/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_Mapw, but couldn't download http://www.domain.tld/.well-known/acme-challenge/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_Mapw: Error:
Url: http://www.domain.tld/.well-known/acme-challenge/xr8lBzb_kujRUBCVMwXI7dVLy1m6wrfEkhw-Jr_Mapw
Data: None
Response Code: None
Response: <urlopen error [Errno 8] Name does not resolve>
Signierung nicht erfolgreich!
Wie ich dann herausgefunden habe, mag Let’s Encrypt nicht mit der Konfiguration Redirect permanent spielen:
<VirtualHost *:80>
ServerName domain.tld
ServerAlias www.domain.tld
ServerAdmin contact@domain.tld
DocumentRoot /var/www/html
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
Redirect permanent / https://domain.tld/
<Directory /var/www/html>
Options FollowSymLinks AllowOverride all Require all granted
</Directory>
</VirtualHost>
Nachdem ich statt mit
Redirect permanent / https://domain.tld/
das Umschreiben zu HTTPS mittels folgendem Block
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteCond %{REQUEST_URI} !^/.well-known/.*$
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [L,R=301]
umgesetzt habe, konnte ich wieder Zertifikate anfordern und erneuern.
WeiterlesenEvent Organiser anpassen
Um die Farben des WP Plugins Event Organiser Posterboard anzupassen, muß nicht die CSS Datei sondern event-organiser-posterboard/event-organiser-posterboard.php in Zeile 246 angepaßt werden: $colour = ( eo_get_event_color() ? eo_get_event_color() : ‚#B61C3E‘ ); Für ein SPD Rot
WeiterlesenZFS: zpool reparieren, wenn die Partitionstabelle beschädigt wurde
Leider ist mir ein gravierender Fauxpas unterlaufen, als ich die Systemplatte meines FreeNAS Servers klonen wollte, um das Update auf 9.10 zu testen. Weil ich unbedacht das DVD Laufwerk aktiviert habe, bevor ich mit dd
WeiterlesenCoppermine: Paßwortschutz für Alben ohne Benutzeraccount
In Coppermine ein Album mit einem Paßwort zu versehen, so daß Nutzer nur ein Paßwort und keine komplette Benutzerauthentifizierung eingeben müssen, ist ein bischen tricky. Wenn man ein Album in den Eigenschaften mit Paßwort versieht:
WeiterlesenLösung des Problems von Postfix mit der OpenSSL Option ZLIB
Vor knapp 2 Wochen habe ich meinen Mailserver von FreeBSD 9.3 auf FreeBSD 10.2 umgezogen. Ich hatte so ziemlich alles vorher getestet, allerdings nicht die Verschlüsselung des Mailverkehrs von Postfix und Dovecot, weil das offizielle
Weiterlesen