BenBE's humble thoughts Thoughts the world doesn't need yet …

17.04.2016

Verteilte Nutzung von PHP-FPM

Filed under: Server — Schlagwörter: , , , — BenBE @ 21:46:26

PHP mit einem Apache oder einem nginx zu nutzen ist inzwischen kein Hexenwerk mehr. Überall im Netz findet man haufenweise Konfigurationsbeispiele, die mehr oder minder formal beschreiben, warum man diesen oder jenen Voodoo treiben muss. Was aber scheinbar niemand wirklich erklärt, ist ein kleines, aber essentielles Detail, was einem einiges an Resourcen spart, wenn man über mehrere Container hinweg seine Services isolieren möchte.

Text für „Verteilte Nutzung von PHP-FPM“ anzeigen
Direkt zum Beitrag

Flattr this!

01.04.2016

Happy Problems with Key Pinning

Filed under: Server — BenBE @ 01:45:05

Eine der diversen Möglichkeiten, sich beim Betrieb eines Webservers gnadenlos ins Knie zu schießen, heißt HTTP Public Key Pinning oder kurz HPKP. Diese Erweiterung erlaubt es, für jede Domain einer Webseite exakt festzulegen, welche Public Keys in einem für diese Seite verwendeten Zertifikat verwendet werden dürfen, und welche nicht. Soweit, so langweilig!

Text für „Happy Problems with Key Pinning“ anzeigen
Direkt zum Beitrag

Flattr this!

19.02.2016

Trust Delegation with CAA DNS RR

Filed under: Server — Schlagwörter: , , , — BenBE @ 10:42:51

Every security technology needs a certain deployment base in order to be effective. With many other security measures already at our disposal restricting the set of Certificate Authorities that may issue a X.509 certificate for a given domain is just another step. The standard for doing so, is RFC 6844 specifying the DNS Certificate Authority Authorization (CAA) Resource Record. Specifying a special DNS RR it allows any complying CA to check, if the owner of the domain (actually: The one in control of the DNS) wishes any given CA to issue certificates for this domain.

Given the CAA DNS RR is quite new, the question arose, if there are any deployments yet.

Text für „Trust Delegation with CAA DNS RR“ anzeigen
Direkt zum Beitrag

Flattr this!

10.09.2015

nginx mit Client-Zertifikat-Authentifizierung

Filed under: Server — Schlagwörter: , , , , — BenBE @ 22:49:26

Wenn man bereits sehr viel mit SSL auf seinem Server macht, kommt man früher oder später auch dazu, dass man Client-Zertifikat-Logins für seine Seiten haben möchte. Nun bietet Apache hier relativ einfach

SSLOptions +FakeBasicAuth

nutzen und dann in einer htpasswd-Datei die erlaubten Zertifikate verwalten. Für nginx gestaltet sich dies leider etwas aufwändiger, aber im Endeffekt auch nicht viel.

Text für „nginx mit Client-Zertifikat-Authentifizierung“ anzeigen
Direkt zum Beitrag

Flattr this!

14.12.2014

SSL mit WordPress hinter Reverse Proxy

Filed under: Server — Schlagwörter: , , , , , , — BenBE @ 18:30:47

Nachdem mein Server-Setup letztens nach dem Umzug auf neue Hardware ja etwas umgebaut wurde, hatte ich mit meinem Blog ein wenig zu Kämpfen, da das Blog aus Performance-Gründen nur interne IPs mit HTTP-Requests sieht (die externen IPs sind via Header auch sichtbar). Entsprechend war das Blog auch bei Abruf über SSL ständig der Meinung die Resourcen mit HTTP, also ohne Verschlüsslung abzurufen.

Text für „SSL mit WordPress hinter Reverse Proxy“ anzeigen
Direkt zum Beitrag

Flattr this!

02.10.2014

Technisch notwendig

Filed under: Server — Schlagwörter: , , , , — BenBE @ 09:24:07

Nachdem ich ja bereits an anderer Stelle erklärt habe, dass viele Hoster inzwischen wissen wollen, warum man eine IPv4 möchte, war ich beim derzeit durchgeführten Server-Umzug regelrecht überrascht! Auf Grund der fortschreitenden Knappheit, hätte ich mit deutlich mehr Problemen gerechnet.

Text für „Technisch notwendig“ anzeigen
Direkt zum Beitrag

Flattr this!

13.03.2014

BIND9 mit Stoßdämpfer

Filed under: Server,Software — Schlagwörter: , , , , , , , , — BenBE @ 10:03:27

Nachdem ich ja längere Zeit eher Probleme hatte mit Bind9, weil er sich nicht wie gewünscht mit DNS Dampening betreiben ließ, sondern nur mit DNS Response Rate Limiting, was eher schlecht als recht funktioniert, gibt es inzwischen einen Lichtblick. Mit der Unterstützung von Wonka ist es gelungen, den Patch von Lutz Donnerhacke auf aktuelle Bind9-Versionen zu portieren. Bereits nach kurzer Zeit gab es positives Feedback von Upstream, weshalb an dieser Stelle auf das Repository mit den gepatchten Debian-Quellen verwiesen sein soll, aus denen sich leicht eigene Packete mit DNS Dampening erzeugen lassen.

Text für „BIND9 mit Stoßdämpfer“ anzeigen
Direkt zum Beitrag

Flattr this!

11.12.2013

Default-Routen und Route Advertisements

Filed under: Server — Schlagwörter: , , , — BenBE @ 18:05:03

Nachdem ich wegen eines Absturzes in einem Treiber die Tage meinen Server einmal neustarten musste, gab es natürlich einen kleineres Problem in de doch relativ aufwändigen Netzwerk-Konfiguration. Per Hand ist an sich nicht viel zu tun, außer drei kleine Shell-Scripts auszuführen, die das ganze andere Setup übernehmen. Aber wie immer steckt der Teufel im Detail, da mich kurze Zeit eine Meldung vom Monitoring erreichte.

Text für „Default-Routen und Route Advertisements“ anzeigen
Direkt zum Beitrag

Flattr this!

29.11.2013

Linux Containers unter Debian

Filed under: Server — Schlagwörter: , , , , — BenBE @ 02:04:37

Um auf meinem Server die diversen Dienstegruppen besser zu separieren wollte ich eine Reihe von Dingen, an denen ggf. auch andere konfigurieren können sollen, in einen separaten virtuellen Container verfrachten. Und da ich wirklich nur die Separierung weniger Komponenten brauche, wäre LXC auch genau das Richtige gewesen. Nur leider will LXC unter Debian nicht so recht spielen.

Text für „Linux Containers unter Debian“ anzeigen
Direkt zum Beitrag

Flattr this!

08.07.2013

Fighting the BEAST

Filed under: Server — Schlagwörter: , , , , , , , , , — BenBE @ 07:37:33

Nachdem in letzter Zeit mehrere Probleme mit SSL und TLS bekannt geworden sind und ich mich bereits mehrfach an die Konfiguration eines Workarounds gesetzt habe, gelang gestern der Durchbruch, das BEAST zu bezwingen.

Text für „Fighting the BEAST“ anzeigen
Direkt zum Beitrag

Flattr this!

Older Posts »

Powered by WordPress