Let’s encrypt

letsencryptWarum man verschlüsseln sollte geht aus dem Artikel Ein Geschenk für alle Administratoren von Patrick Beuth auf Zeit Online gut hervor. Man kann zum Beispiel auch auf startssl.com ein kostenloses Zertifikat erhalten, aber ich bin von dem Projekt Let’s encrypt begeistert. Es steht ja auch die Linux foundation hinter dem Projekt und es wird unterstützt von Mozilla, Cisco und anderen namhaften Firmen. Ich denke, dass sich das Projekt zukünftig sehr großer Beliebtheit erfreuen wird. Ich habe es jedenfalls getestet und stellte fest, dass es noch nie so einfach war, ein Zertifikat für den Apachen zu installieren. Es ist wirklich sehr benutzerfreundlich. Mit „./letsencrypt-auto –apache“, wie auf How it works beschrieben, war schon alles erledigt.
Auch für Webmin funktionierte es denkbar einfach: „./letsencrypt-auto certonly“ bekam ich die pem-Dateien, die ich dann in das Verzeichnis von Webmin kopierte. In Webmin gab ich dann unter „SSL Support“ den Pfad für das „private key file“ und für das „certificat file“ an – Webmin neu starten – fertig.

Im Chrome sieht die Testseite dann so aus:
chrome
Also mit einem roten Kreuz im Schloss und httpss durchgestrichen, was bedeutet, dass die Verbindung angeblich nicht sicher ist.

Im Firefox hingegen ist die Seite sicher, was mir persönlich völlig reicht. 😉
firefox
Das bedeutet, ab jetzt sind meine Seiten wieder optimiert für Firefox und der Browserkrieg geht in die nächste Runde. Wobei der ehemalige Platzhirsch, der Internet Explorer, zu meiner Freude inzwischen zu einem unbedeutenden Nebendarsteller wurde.

Weblinks:
letsencrypt.org
Let’s encrypt auf Golem, GitHub, Wikipedia und zum Schluss erwähne ich hier noch den User Guide.

(86)

Absicherung eines Debian (Ubuntu) Servers: SSH

Biuldquelle: https://www.openssh.com/
Bildquelle: https://www.openssh.com/
Obwohl ich keine sensiblen Daten auf meinem Server habe und es sich nur um einen sehr günstigen v-Host, also nur einen virtuellen Rechner handelt, so sind einige erste Schritte nach der Installation für mich trotzdem selbstverständlich. Viele Systeme werden gehackt, weil es einfach möglich ist. Also ohne richtige Motivation, sondern einige Wannabies missbrauchen einfach Netzwerktools und finden es cool, wenn sie z.B. über aktuelle SW-Bugs in fremde Systeme einbrechen können, habe ich gehört. Das muss man nicht fördern, denke ich mir und daher bestehe ich auf ein gewisses Mindestmaß an Sicherheit. Früher regte ich mich über anonyme Proxies auf und verstand nicht, weshalb nicht alle Benutzer auf signierte Emails bestehen, sondern sie Signaturen sogar ablehnen. Heute ist mir das schon gleichgültig und bei dem Schundluder, das bei manchen Zertifizierungsstellen getrieben wird, machen Zertifikate ohnehin bald nicht mehr viel Sinn.
Was soll’s, als erstes halte ich mich an den Grundsatz, nur diese SW zu installieren, die ich wirklich benötige. Plesk gehört da jedenfalls nicht mehr dazu. Als erstes benötige ich natürlich SSH. Daher wird der SSH-Server auch als erstes einigermaßen abgesichert.
Dazu gehört, dass ich den Root-Login nicht erlaube. Siehe dazu SSH Root Login unter Debian verbieten
Plagte mich Paranoia, wählte ich die „Public Key Authentication für SSH“. Aber da dies nicht der Fall ist, genügt mir, dass sich nur ein bestimmter Benutzer (ich) anmelden darf. Außerdem darf sich nur ein Benutzer aus AT, also Österreich anmelden und somit ist der Rest der Welt schon einmal ausgesperrt. Für letzteres verwende ich GeoIP, siehe Limit your SSH logins using GeoIP.
So, das genügt mir schon, was den sshd betrifft.
Naja, vielleicht erwähne ich noch, dass man natürlich die sshd_conf anpassen muss, nicht die ssh_conf.

Weblinks:
https://www.openssh.com/
Manual pages
Secure Shell (SSH) – Halte deine Verbindungen sicher

Absicherung eines Debian Servers
Securing Debian Manual
Debian Server absichern – so machen Sie es richtig!
Absichern von FreeBSD
SSH konfigurieren & absichern
SSH richtig einrichten
How to Allow SSH/FTP Access Based on Country using GeoIP
Linux > SSH optimal schützen bzw. SSH > Public Key Authentication
Tutorials – Secure SSH Tutorial Part 4: Security & ssh-agent
SSH konfigurieren & absichern
GSSAPI authenticationBildquelle: https://www.openssh.com/

(59)

E-Herd anschließen: Gute Frage – dumme Antwort

neuer HerdEs gibt keine dummen Fragen, sondern nur dumme Antworten, sagt ein Sprichwort und auf gutefrage.net hat sich das wieder einmal bewahrheitet. Ich bekam meinen E-Herd geliefert und sparte mir die € 80.- für’s Anschließen. Für das Anschließen von 5 Drähten, die deppensicher gekennzeichnet sind, will ich einfach nicht € 80.- hin blättern.
Obwohl ich das alte Gerät selbst entfernte und den Anschluss vorher photographierte, machte ich mich zur Sicherheit im Internet schlau. Der Rat, sich vorher mit einem Messgerät zu versichern, dass kein Strom mehr in den Leitungen ist, war jedenfalls nicht schlecht. Auch bezüglich der Farben wollte ich mich vergewissern und fand auf Herd anschließen:

Farbcodierung nach DIN VDE neu :

GrünGelb = PE (Erdung)
Blau = N (Neutralleiter evtl. Nullleiter, klassische Nullung)
Braun = L1 (Phase 1)
Schwarz = L2 (Phase 2)
Grau = L3 (Phase 3)

Farbcodierung nach DIN VDE alt :

GrünGelb = PE (Erdung)
Blau = N (Neutralleiter evtl. Nullleiter, klassische Nullung)
Schwarz = L1 (Phase 1)
Braun = L2 (Phase 2)
Schwarz = L3 (Phase 3)

Farbcodierung nach DIN VDE sehr alt :

Rot = PE (Erdung)
Grau = N (Neutralleiter evtl. Nullleiter, klassische Nullung)
Schwarz = L1 (Phase 1)
Blau = L2 (Phase 2)
Schwarz = L3 (Phase 3)

alter Anschluss
alter Anschluss

Manche, der zahlreich zu findenden Anleitungen sind mir schon ein wenig suspekt, denn ich würde nie selbst andere Brücken setzen, als auf dem Gerät angegeben. Ja, auf dem neuen Gerät ist noch einmal eine ganz deutliche und einfache Erklärung mit Abbildung der Anschlüsse. Also wer in den Kindergarten gegangen ist, muss das problemlos schaffen, es sei denn, er schaut vorher auf gutefrage.net vorbei. Denn da erfährt man auf die Frage, wie man die Abdeckkappe entfernt 10 mal, dass man einen E-Herd nicht selbst anschließen darf, sondern das darf nur ein Elektriker. Erstens hatten die Antworten nicht das Geringste mit der Frage zu tun und zweitens las ich die „dumme Antwort“, die eigentlich gar keine Antwort ist, zehn mal. Entweder auf gutefrage.net sind nur Elektriker unterwegs und die Antworter erwarten sich einen persönlichen Vorteil von dem 10-fachen Schwachsinn, oder man will einfach dem Seitenbetreiber schaden. Prinzipiell ist die Idee der Website ja gut, aber die Nutzer machen sie zu nichte, wie so oft bei Internet-Projekten.
Wie dem auch sei, das Abhebeln der Schutzkappe war wirklich das Schwierigste am Anschließen, aber mit ein wenig Krafteinsatz, habe ich auch dieses Problem gelöst und der Rest war einfach.
Ich habe dazu etwa 15 Minuten benötigt und dafür praktisch einen Stundenlohn von € 320.- erhalten.
Übrigens, alle Infos, die Elektriker in der Berufsschule erhalten, finde ich auch im Internet, aber eben nicht auf der Seite gutefrage.net die sich in meinem Fall genau so gut dummeantwort.net nennen könnte 😉

(413)