BenBE's humble thoughts Thoughts the world doesn't need yet …

17.04.2016

Verteilte Nutzung von PHP-FPM

Filed under: Server — Schlagwörter: , , , — BenBE @ 21:46:26

PHP mit einem Apache oder einem nginx zu nutzen ist inzwischen kein Hexenwerk mehr. Überall im Netz findet man haufenweise Konfigurationsbeispiele, die mehr oder minder formal beschreiben, warum man diesen oder jenen Voodoo treiben muss. Was aber scheinbar niemand wirklich erklärt, ist ein kleines, aber essentielles Detail, was einem einiges an Resourcen spart, wenn man über mehrere Container hinweg seine Services isolieren möchte.

Text für „Verteilte Nutzung von PHP-FPM“ anzeigen
Direkt zum Beitrag

Flattr this!

01.04.2016

Happy Problems with Key Pinning

Filed under: Server — BenBE @ 01:45:05

Eine der diversen Möglichkeiten, sich beim Betrieb eines Webservers gnadenlos ins Knie zu schießen, heißt HTTP Public Key Pinning oder kurz HPKP. Diese Erweiterung erlaubt es, für jede Domain einer Webseite exakt festzulegen, welche Public Keys in einem für diese Seite verwendeten Zertifikat verwendet werden dürfen, und welche nicht. Soweit, so langweilig!

Text für „Happy Problems with Key Pinning“ anzeigen
Direkt zum Beitrag

Flattr this!

06.03.2016

Erkennen der verfügbaren Cipher-Suites

Filed under: Software — Schlagwörter: , , , , , , , — BenBE @ 21:43:58

Nicht nur, wenn man gegen Verbrechen und Monster kämpfen möchte, ist es interessant zu erfahren, welche Cipher Suites ein Server unterstützt. Prinzipiell ist hierfür eine Testseite wie der SSL-Test von Qualys interessant, aber leider ist dieser etwas unflexibel, wenn es darum geht, beim Probieren verschiedener Setting behilflich zu sein.

Text für „Erkennen der verfügbaren Cipher-Suites“ anzeigen
Direkt zum Beitrag

Flattr this!

19.02.2016

Trust Delegation with CAA DNS RR

Filed under: Server — Schlagwörter: , , , — BenBE @ 10:42:51

Every security technology needs a certain deployment base in order to be effective. With many other security measures already at our disposal restricting the set of Certificate Authorities that may issue a X.509 certificate for a given domain is just another step. The standard for doing so, is RFC 6844 specifying the DNS Certificate Authority Authorization (CAA) Resource Record. Specifying a special DNS RR it allows any complying CA to check, if the owner of the domain (actually: The one in control of the DNS) wishes any given CA to issue certificates for this domain.

Given the CAA DNS RR is quite new, the question arose, if there are any deployments yet.

Text für „Trust Delegation with CAA DNS RR“ anzeigen
Direkt zum Beitrag

Flattr this!

10.09.2015

nginx mit Client-Zertifikat-Authentifizierung

Filed under: Server — Schlagwörter: , , , , — BenBE @ 22:49:26

Wenn man bereits sehr viel mit SSL auf seinem Server macht, kommt man früher oder später auch dazu, dass man Client-Zertifikat-Logins für seine Seiten haben möchte. Nun bietet Apache hier relativ einfach

SSLOptions +FakeBasicAuth

nutzen und dann in einer htpasswd-Datei die erlaubten Zertifikate verwalten. Für nginx gestaltet sich dies leider etwas aufwändiger, aber im Endeffekt auch nicht viel.

Text für „nginx mit Client-Zertifikat-Authentifizierung“ anzeigen
Direkt zum Beitrag

Flattr this!

14.12.2014

SSL mit WordPress hinter Reverse Proxy

Filed under: Server — Schlagwörter: , , , , , , — BenBE @ 18:30:47

Nachdem mein Server-Setup letztens nach dem Umzug auf neue Hardware ja etwas umgebaut wurde, hatte ich mit meinem Blog ein wenig zu Kämpfen, da das Blog aus Performance-Gründen nur interne IPs mit HTTP-Requests sieht (die externen IPs sind via Header auch sichtbar). Entsprechend war das Blog auch bei Abruf über SSL ständig der Meinung die Resourcen mit HTTP, also ohne Verschlüsslung abzurufen.

Text für „SSL mit WordPress hinter Reverse Proxy“ anzeigen
Direkt zum Beitrag

Flattr this!

02.10.2014

Technisch notwendig

Filed under: Server — Schlagwörter: , , , , — BenBE @ 09:24:07

Nachdem ich ja bereits an anderer Stelle erklärt habe, dass viele Hoster inzwischen wissen wollen, warum man eine IPv4 möchte, war ich beim derzeit durchgeführten Server-Umzug regelrecht überrascht! Auf Grund der fortschreitenden Knappheit, hätte ich mit deutlich mehr Problemen gerechnet.

Text für „Technisch notwendig“ anzeigen
Direkt zum Beitrag

Flattr this!

16.09.2014

Recession of stalling

Filed under: Politik und Philosophie — Schlagwörter: , , , , , — BenBE @ 20:33:57

It has become late as you silently strode around a small corner in this dark alley. There was not much left of what you usually would call „street“ and so you had to be specially careful to avoid the many puddles that paved your way instead. Even as no light was actually hitting the ground for you to see much more than blurry silhouettes of shabby buildings and shady businesses laying ahead you were constantly pierced by those always looking, preying eyes all around you. Nobody actually cared about them anymore. They became just as common as your air to breathe. They were simply there; and they no longer required any reasoning. They were present as their sole purpose.

You had followed along that path for too long now. It didn’t matter where you went or when you arrived. You could check in for your place for this September summer night at any time; though you would never leave. You would be welcome, people told you when you tried to arrange things earlier. As you passed by at Knockturn Alley you swiftly felt a breeze of cold wind at your neck. A few meters further you finally reached the decided on meeting place, a small tavern that didn’t look like it belonged in this time and relative dimension in space. At least not as far as you could decide, when you finally stepped through the tiny front door. It was actually bigger on the inside – came a though to your mind – as you realized how spacy everything seemed.

In a far off corner sat a group of average people, not quite, entirely unlike of what you expected to find in this place. As you passed the customers at this place to meet up with that group, you noticed sharp gazes carefully avoiding eye contact – stinging anyway as you passed table by table, chair by chair. Your throat was dry and anyway you needed something for a change. As you hit the bar you firmly ordered two dry martinis – shaken, not stirred -; one for your dry mouth and the other for your humour.

Slowly you approached the long table you spotted earlier. People one by one went silent as you drew near. It was not so much the feeling of impeding doom or you to have prepared for this evening – same as you usually did every evening -, but the faint feeling of unease you felt grow in your throat. Just seconds before people around you were talking about the weather – actually not that you actually would have wanted to talk about the thick, low-hanging rain clouds all around you in the sky -, sports you never really had gotten warm with (The Eurasian players somehow had beaten the Oceanian team) and celebrities you only ever heard about here – who the hell was this Hackbeard C. Line anyway and why would you care). Just a last step away from the table you reached out with your hand to knock; when you noticed the first people lifting their eyes and hands to greet you at this corner of society.

The welcome was warm as you would have expected given the introductory conversations you have had earlier today. Even though nobody was openly harmful you still felt separated from this group. Slowly you sat down at the next free chair around the table everybody already had made themselves comfortable at. When you were half into following up yourself, to prepare your place for the next hours to follow, discussions slowly reignited again.

Text für „Recession of stalling“ anzeigen
Direkt zum Beitrag

Flattr this!

02.04.2014

Statische FreePascal-Bibliotheken mit GCC verwenden

Filed under: Software — Schlagwörter: , , , , , — BenBE @ 22:04:40

Nachdem Martok nach Erhalt des Tumbleweed-Awards bereits drohte, auf dessen goldene Ausführung zuzusteuern, und ich für eines meiner Projekte eh noch mal etwas Unterstützung brauchte, habe ich mich mal des Cases angenommen, um zu schauen, wie man Code von FreePascal statisch in sein C-Programm eingebunden bekommt. War auch – ehrlichgesagt – nicht ganz uneigennützig, da die betroffene Bibliothek durchaus für eigene Projekte bereits ins Auge gefasst wurde, nur wegen „falsche Programmiersprache“ bisher noch nicht näher betrachtet wurde.

Text für „Statische FreePascal-Bibliotheken mit GCC verwenden“ anzeigen
Direkt zum Beitrag

Flattr this!

13.03.2014

BIND9 mit Stoßdämpfer

Filed under: Server,Software — Schlagwörter: , , , , , , , , — BenBE @ 10:03:27

Nachdem ich ja längere Zeit eher Probleme hatte mit Bind9, weil er sich nicht wie gewünscht mit DNS Dampening betreiben ließ, sondern nur mit DNS Response Rate Limiting, was eher schlecht als recht funktioniert, gibt es inzwischen einen Lichtblick. Mit der Unterstützung von Wonka ist es gelungen, den Patch von Lutz Donnerhacke auf aktuelle Bind9-Versionen zu portieren. Bereits nach kurzer Zeit gab es positives Feedback von Upstream, weshalb an dieser Stelle auf das Repository mit den gepatchten Debian-Quellen verwiesen sein soll, aus denen sich leicht eigene Packete mit DNS Dampening erzeugen lassen.

Text für „BIND9 mit Stoßdämpfer“ anzeigen
Direkt zum Beitrag

Flattr this!

Older Posts »

Powered by WordPress