Archiv

Archiv für die Kategorie ‘Systemverwaltung’

Hacker aussperren mit fail2ban

8. Oktober 2013 3 Kommentare

Seid einigen Tagen wird unser Server im Sekundentakt mit Verbindungsanforderungen von permanent wechselnden IP-Adressen traktiert. Botnet at work, würde ich mal sagen. Sieht dann im Log so aus:

Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: lost connection after UNKNOWN from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: disconnect from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[21223]: connect from rrcs-24-106-99-253.central.biz.rr.com[24.106.99.253]
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: warning: hostname customer-187-141-162-172-sta.uninet-ide.com.mx does not resolve to address 187.141.162.172: No address associated with hostname
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: connect from unknown[187.141.162.172]
root@h2145820:# tail /var/log/syslog
Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: lost connection after UNKNOWN from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[20627]: disconnect from unknown[197.148.232.61]
Oct  8 20:04:14 h2145820 postfix/smtpd[21223]: connect from rrcs-24-106-99-253.central.biz.rr.com[24.106.99.253]
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: warning: hostname customer-187-141-162-172-sta.uninet-ide.com.mx does not resolve to address 187.141.162.172: No address associated with hostname
Oct  8 20:04:16 h2145820 postfix/smtpd[20569]: connect from unknown[187.141.162.172]
Oct  8 20:04:17 h2145820 postfix/smtpd[21354]: connect from 85-250-130-223.bb.netvision.net.il[85.250.130.223]
Oct  8 20:04:18 h2145820 postfix/smtpd[20582]: connect from 89-96-53-186.ip10.fastwebnet.it[89.96.53.186]
Oct  8 20:04:18 h2145820 postfix/smtpd[21357]: lost connection after UNKNOWN from unknown[202.126.212.192]
Oct  8 20:04:18 h2145820 postfix/smtpd[21357]: disconnect from unknown[202.126.212.192]
Oct  8 20:04:19 h2145820 postfix/smtpd[21352]: connect from 70-90-111-49-nh.hfc.comcastbusiness.net[70.90.111.49]


Nett, nicht wahr ?  Was tut man dann nun ? Es gibt ja auch noch einige andere Angriffspunkte, wie ssh, den Webserver etc.

Die wichtigsten Massnahmen sind natürlich

  1. ein aktuelles System : Update, Update, Update …
  2. sichere Passwörter

Darüber hinaus gibt es u.a. noch ein leicht einsetzbares Tool, mit dem dynamisch solche Einbruchsversuche erkannt werden und die IP-Adressen des Angreifers dann für einen festzulegenden Zeitraum gesperrt werden können.

fail2ban

Mehr…

KategorienOpen Source, Systemverwaltung Tags:

SSH ohne Passwort ?

5. Februar 2012 4 Kommentare

Ich betreue neben unserem eigenen Unternehmensserver auch eine ganze Reihe von Kundenservern (Linux). Da diese über das Internet per SSH erreichbar sind und sein müssen, empfiehlt es sich dort wirklich starke Passwörter zu verwenden, damit nicht irgendein Script-Kiddie  einbricht und Unsinn macht.

Tja und starke Passwörter haben nun mal den Nachteil, dass sie nur schwer bis gar nicht im Kopf zu behalten sind. Es ist auch nicht gut, überall das gleiche Passwort zu verwenden. Gelingt tatsächlich ein Einbruch, sind gleich alle Server betroffen. Nicht klug.

Was tut man also ? Man hat ein geheimes Plätzchen (elektronisch oder Papier) um das entsprechende Passwort zu notieren, das man dann bei Bedarf raussucht und dann eintippt. Also mich nervt das und es hält auf.

Nachfolgend die Lösung, die ich verwende, um einen optimalen Kompromiss zwischen Sicherheit und Komfort zu haben. Letztlich melde ich mich lokal auf meinem PC als root ein und verwende dann immer das gleiche leicht merkbare Passwort um mich auf allen Servern mit verschiedenen und hochkomplexen langen Passwörtern per SSH anzumelden.

Mehr…

KategorienSystemverwaltung Tags: ,

Mail an Alfresco : Postfix umkonfigurieren

Wie bereits an anderer Stelle beschrieben, kann man ja Alfresco so konfigurieren, dass er als Mailserver arbeitet und Mails empfangen kann. Damit ist es möglich an jeden Ordner innerhalb des Systems Mails zu senden, die dann in Anschreiben und Anhänge getrennt in diesem Ordner landen.

Es gibt nun 2 Szenarien zu beachten:

1. Es läuft bereits ein Mailserver (hier reden wir nur über Postfix) auf dem Server

2. Mail kommt von googlemail

Szenario1 : Postfix läuft auf dem Server bereits

Standardmäßig lauscht ein Mailserver auf dem SMTP-Port 25. Alfresco kann damit nicht ebenfalls auf diesem Port laufen. Heißt, wir müssen Alfresco anweisen, Mails auf einem anderen Port zu erwarten. Oder wir müssen den Standard-Mailserver abschalten.

Letzteres (Mailserver abschalten) funktioniert natürlich. Leider aber nur dann zufriedenstellend, wenn man keine Mails von Googlemail empfangen will ;-). Siehe dazu Szenario 2.

Szenario 2 : Mail kommt von Googlemail

Ein Alfresco-Kunde von uns wickelt seinen gesamten Mailverkehr über Google ab. Daher habe ich auf seinem Alfresco-Server den Standard-Postfix abgeschaltet. Meine Testmails von unserem Firmenserver kamen danach auch problemlos in Alfresco an.

Er sagte mir dann, dass seine Mails von Google nur mit Verzögerung (1/4h bis zu 2 Tagen) ankämen. Hat mich zwar gewundert, aber ich habe dies dann auch ausprobiert und von meinem Googlemail-Account getestet. Stimmt ! Manchmal kamen diese Mails auch gar nicht an : Mail kam als unzustellbar zurück mit „Protocol Error“.

Recherchen im Internet zeigten, dass dieses Problem auch bei anderen empfangenden Mailservern auftritt bzw auftreten kann. Ist also kein wirkliches Alfresco-Problem.  In allen Fällen schiebt Google die Schuld auf den empfangenden Mailserver und die Admins dieser Server die Schuld auf Google 😉 Catch22…

Lösung für beide Szenarien:

Postfix als Relay konfigurieren, das alle Mails lokal auf den Alfresco-Port umleitet.

Dies habe ich am Wochenende für meinen Kunden gemacht und hier die Einstellungen dafür:

Einträge in /etc/postfix/main.cf:

transport_maps = hash:/etc/postfix/transport
local_recipient_maps =

Es wird eine Transport-Regel definiert, die die Weiterleitung beschreibt.

Die Filterung der Mail-Empfänger (Empfänger bekannt, oder nicht) fällt weg, da sonst hier alle empfangenden Alfresco-Ordner zu nennen wären 😉

/etc/postfix/transport:
meindomain.de  smtp:127.0.0.1:425

/etc/postfix/transport mit Shell-Kommando „postmap /etc/postfix/transport“ in /etc/postfix/transport.db eintragen

Postfix neu starten :

/etc/init.d/postfix restart

Mit oben genannter transport-Zeile  muss Alfresco auf Port 425 lauschen.

Thats it ! Einfach, wenn man es weiß 🙂

Kochrezept: Installation Alfresco mit war-Files auf existierendem Tomcat6

Und nochmals ein Alfresco-Artikel 😉 …

Die neueste Version Alfresco Community 3.4d kann man sich in verschiedenen Geschmacksrichtungen runterladen und installieren: als Windows- oder Linux-Installer, oder als WAR-Files.

Dabei hat der Installer einen großen Nachteil : er installiert auch Tomcat und sogar mySQL. Das bedeudet, dass man mit hoher Wahrscheinlichkeit in Portkonflikte rennt, wenn man mySQL und/oder Tomcat bereits installiert hat. Auf unserem gemieteten Strato-Server war das Ding jedenfalls nicht zu gebrauchen. Da man nicht weiß, was dieser sog. Wizard treibt, steht man bei Fehlermeldungen auch etwas hilflos da. Ich habe nach kurzer Zeit den Installer in die Tonne getreten und Alfresco per War-Files auf einem laufenden Tomcat6 installiert. Die notwendigen Infos kann man verstreut finden, aber nachstehend das simple Kochrezept. Ich beschränke mich hier auf die Linux-Variante (openSUSE und Ubuntu) und gehe von einer ordnungsgemäßen und lauffähigen Tomcat-Installation mit Standardports (8080 bzw 8443) aus. Eine Tomcat-Installation hat man schnell mittels der Linux-Paketverwaltung oder auch einem Windows-Installer. Geht in der Regel problemlos.

1. Struktur von Tomcat nach der Installation

Mehr…

Alfresco per https (SSL)

Nachdem ich letzthin zufällig von einem meiner Online-Bekanntschaften (Web 2.0 machts möglich) erfahren habe, dass „sein“ Admin meinen Blog als „Nachschlagewerk“ für Alfresco benutzt, erweitere ich diese Möglichkeit, um hier kurz aufzuzeigen, wie man Alfresco  auf SSL = httpS:// umstellt.

Hab das außerdem gerade für einen meiner Alfresco-Kunden durchgeführt und  die Fenster noch offen 😉

Diese kurze Beschreibung bezieht sich auf Alfresco mit Tomcat. Wie es mit JBoss aussieht, kann ich jetzt nicht sagen. Bitte dann woanders nachsehen.

Mehr…

Eigene Firefox-Erweiterung für automatischen Update signieren

Ich habe uns bei system worx GmbH&Co. KG vor geraumer Zeit eine eigene Firefox-Extension gebastelt, um meinen Kollegen und unseren Partnern einen schnellen Zugriff auf wichtige Links und unsere webgestützen Tools und Prozesse zu geben.

Sieht dann in etwa so aus:

system work Firefox Toolbar

Meine Kollegen verlassen sich voll auf diese Toolbar und nutzen sie permanent für ihre tägliche Arbeit. Naturgemäß ändert sich des öfteren etwas am Inhalt dieser Extension. Es kommen neue Links dazu, alte fallen weg oder ändern sich. Man entwickelt sich ja permanent weiter, nicht wahr 😉 ?

Deshalb benötigen wir den automatischen Update-Mechanismus für Firefox-Addons, damit ich diese Extension zentral pflegen kann und meine Kollegen automatisch die dabei geänderten Versionen bekommen.

In diesem Artikel werde ich jetzt, auch als Notizzettel für mich ;-), die notwendigen Schritte aufzeigen, damit dieser Update-Mechanismus problemlos funktioniert.

Mehr…

Joomla und OpenID reloaded (Web-SSO)

20. September 2010 1 Kommentar

Nach längerer Sommerpause endlich wieder mal ein Artikel von mir. Diesmal ein reichlich sperriger, wie ich zugeben muss 😉 … Ich hoffe aber trotzdem, dass dieses Thema (Web-„Single Sign On“) den einen oder anderen interessiert …

In einem früheren Artikel habe ich mich bereits ausgiebig über die Eigenschaften der OpenID-Authentifizierung bei Joomla und auch im Allgemeinen ausgelassen. Auf meinem Weg zu eine Web-„Single Sign On“ – Lösung für unsere Joomla’s und andere webbasierte Applikationen, bin ich nun einen großen Schritt weiter gekommen (muss aus Zeitgründen so nebenher laufen). Diese Informationen möchte ich nun hier mit meinen Lesern teilen.

Mehr…

KategorienJoomla, Systemverwaltung Tags: , ,

Alfresco ohne Port 8080

16. Juni 2010 2 Kommentare

Alfresco ist eine J2E-Applikation die im Kontext eines Application-Servers wie JBoss oder Tomcat läuft. So ein Application-Server kann man sich als eigenen Webserver vorstellen. Das bedeutet, dass wir damit üblicherweise 2 Webserver auf unserem Server laufen haben :

  • den „normalen“ Webserver, der unsere Webseiten bedient und den wir üblicherweise mit so etwas wie http://www.meinedomain.de aufrufen
  • ja und jetzt den Tomcat (JBoss) und Alfresco

http://www.meinedomain.de ist eigentlich vollständig http://www.meinedomain.de:80 Der Browser „hängt“ implizit ein „:80“ and un der Webserver „lauscht“ auf diesem Port. Da es an einem solchen Port nur einen „Lauscher“ geben kann, „hören“ Application-Server wie Tomcat/JBoss per default auf dem Alternativ-Port 8080.

Mit http://www.meinedomain.de rede ich also mit dem normalen Webserver
und mit http://www.meinedomain.de:8080 mit Tomcat/JBoss

Nun eigentlich ist das ja nicht wirklich ein Problem. Aber es wird zum Problem, wenn man aus streng abgeschotteten Firmen-Netzwerken zugreifen möchte. Dort ist recht oft dieser Port 8080 durch die Firewall des Firmennetzwerks blockiert. Man bekommt dann lapidar die Meldung, dass die Webseite nicht erreichbar ist. Naja und es ist auch manchmal einfach lästig dieses 8080 anzuhängen …

Aber es gibt dafür eine Lösung, die ich nachstehend (auch als Notizzettel für mich selbst) aufzeige :

Mehr…

HowTo: Umzug von IMAP-Mailboxen Reloaded

27. April 2010 18 Kommentare

Man höre und staune, aber mein damaliger Artikel über den Umzug von Mailboxen bei Serverumzug hat mir doch tatsächlich einen Kunden spendiert, der mich genau dafür engagiert hat :-). Freut mich natürlich ! Vor allem, da ich den Job auch zu seiner Zufriedenheit durchgeführt habe :-).

Diesmal hatte ich aber einige Hürden zu überwinden, die mich aber zu einem wunderbaren OpenSource-Tool geführt haben, das ich hiermit vorstellen möchte:

ImapSync

Mehr…

KategorienSystemverwaltung Tags: ,

HowTo: Umzug der Mailboxen bei Serverumzug

12. Februar 2010 4 Kommentare

Bin derzeit dabei unsere Applikationsfarm 😉 und unsere Mailboxen von einem veralteten openSUSE 10.2 System auf einen neuen „dickeren“ Server mit aktuellerem openSUSE 11.1 umzuziehen. Dass es nicht die aktuellste Version des Betriebssystems  ist, muss nicht wundern. Bei angemieteten Servern hinkt man immer etwas der neuesten Version nach. Nicht weiter schlimm.

Bei diesem Umzug sollen natürlich auch die  Mailboxen umgezogen werden. Da ich und einige Mitarbeiter ihre Mails aus verschiedensten Gründen auf dem Server halten (Stichwort: IMAP-Mailboxen), sind diese vielen Mails natürlich zu transferieren. Dabei besteht der Anspruch diesen Umzug möglichst schmerzfrei zu gestalten, da die meisten Mailbox-Inhaber bei uns eher nicht so technisch geprägt sind ;-).

Nachfolgend eine kurze Erläuterung dieses Vorgangs, da ich annehme, dass den einen oder anderen dieses Schicksal auch mal treffen könnte ;-).

Mehr…

KategorienSystemverwaltung Tags: ,