PHP mit einem Apache oder einem nginx zu nutzen ist inzwischen kein Hexenwerk mehr. Überall im Netz findet man haufenweise Konfigurationsbeispiele, die mehr oder minder formal beschreiben, warum man diesen oder jenen Voodoo treiben muss. Was aber scheinbar niemand wirklich erklärt, ist ein kleines, aber essentielles Detail, was einem einiges an Resourcen spart, wenn man über mehrere Container hinweg seine Services isolieren möchte. (more…)
Eine der diversen Möglichkeiten, sich beim Betrieb eines Webservers gnadenlos ins Knie zu schießen, heißt HTTP Public Key Pinning oder kurz HPKP. Diese Erweiterung erlaubt es, für jede Domain einer Webseite exakt festzulegen, welche Public Keys in einem für diese Seite verwendeten Zertifikat verwendet werden dürfen, und welche nicht. Soweit, so langweilig! (more…)
Every security technology needs a certain deployment base in order to be effective. With many other security measures already at our disposal restricting the set of Certificate Authorities that may issue a X.509 certificate for a given domain is just another step. The standard for doing so, is RFC 6844 specifying the DNS Certificate Authority Authorization (CAA) Resource Record. Specifying a special DNS RR it allows any complying CA to check, if the owner of the domain (actually: The one in control of the DNS) wishes any given CA to issue certificates for this domain.
Given the CAA DNS RR is quite new, the question arose, if there are any deployments yet.
(more…)
Wenn man bereits sehr viel mit SSL auf seinem Server macht, kommt man früher oder später auch dazu, dass man Client-Zertifikat-Logins für seine Seiten haben möchte. Nun bietet Apache hier relativ einfach
SSLOptions +FakeBasicAuth
nutzen und dann in einer htpasswd-Datei die erlaubten Zertifikate verwalten. Für nginx gestaltet sich dies leider etwas aufwändiger, aber im Endeffekt auch nicht viel. (more…)
Nachdem mein Server-Setup letztens nach dem Umzug auf neue Hardware ja etwas umgebaut wurde, hatte ich mit meinem Blog ein wenig zu Kämpfen, da das Blog aus Performance-Gründen nur interne IPs mit HTTP-Requests sieht (die externen IPs sind via Header auch sichtbar). Entsprechend war das Blog auch bei Abruf über SSL ständig der Meinung die Resourcen mit HTTP, also ohne Verschlüsslung abzurufen. (more…)
Nachdem ich ja bereits an anderer Stelle erklärt habe, dass viele Hoster inzwischen wissen wollen, warum man eine IPv4 möchte, war ich beim derzeit durchgeführten Server-Umzug regelrecht überrascht! Auf Grund der fortschreitenden Knappheit, hätte ich mit deutlich mehr Problemen gerechnet. (more…)
Nachdem ich ja längere Zeit eher Probleme hatte mit Bind9, weil er sich nicht wie gewünscht mit DNS Dampening betreiben ließ, sondern nur mit DNS Response Rate Limiting, was eher schlecht als recht funktioniert, gibt es inzwischen einen Lichtblick. Mit der Unterstützung von Wonka ist es gelungen, den Patch von Lutz Donnerhacke auf aktuelle Bind9-Versionen zu portieren. Bereits nach kurzer Zeit gab es positives Feedback von Upstream, weshalb an dieser Stelle auf das Repository mit den gepatchten Debian-Quellen verwiesen sein soll, aus denen sich leicht eigene Packete mit DNS Dampening erzeugen lassen. (more…)
Nachdem ich wegen eines Absturzes in einem Treiber die Tage meinen Server einmal neustarten musste, gab es natürlich einen kleineres Problem in de doch relativ aufwändigen Netzwerk-Konfiguration. Per Hand ist an sich nicht viel zu tun, außer drei kleine Shell-Scripts auszuführen, die das ganze andere Setup übernehmen. Aber wie immer steckt der Teufel im Detail, da mich kurze Zeit eine Meldung vom Monitoring erreichte. (more…)
Um auf meinem Server die diversen Dienstegruppen besser zu separieren wollte ich eine Reihe von Dingen, an denen ggf. auch andere konfigurieren können sollen, in einen separaten virtuellen Container verfrachten. Und da ich wirklich nur die Separierung weniger Komponenten brauche, wäre LXC auch genau das Richtige gewesen. Nur leider will LXC unter Debian nicht so recht spielen. (more…)
Nachdem in letzter Zeit mehrere Probleme mit SSL und TLS bekannt geworden sind und ich mich bereits mehrfach an die Konfiguration eines Workarounds gesetzt habe, gelang gestern der Durchbruch, das BEAST zu bezwingen. (more…)
Powered by WordPress