Was ich schon immer aufschreiben wollte
Rund um Opensource. Konfigurationstipps und Hinweise auf neue Programme.
Man sucht es immer wieder und es ist in den Supportforen eine häufige Frage:
Wie kann der Autor und die Erstellungszeit in Drupal 7.x ausgeblendet werden?
Unter Struktur -> Inhaltstypen -> Article -> Bearbeiten -> Anzeigeeinstellungen kann die Option ausgeschaltet werden.
Nach der Umstellung von Apache auf Nginx, der Installation von HHVM und dem Anpassen der HTTPS-Parameter läuft das Blog hier jetzt mehr als flott und die Sicherheit wird mit dem besten Ranking bewertet. Yeah ;)
Mit Nginx kann ich endlich auch die SSL-Parameter so anpassen, dass PFS unterstützt wird (was mit dem in Debian 7 mitgelieferten Apache 2.2 bisher nicht möglich war). Das Ergebnis zeigt die sehr gute Bewertung durch Qualys SSL Labs:
Leider habe ich damit auch alle Internet-Explorer-Benutzer, die noch Windows-XP einsetzen, ausgeschlossen. Der IE unter Windows-XP kann kein Perfect Forward Secrecy (PFS). PFS bedeutet, dass nach dem Entschlüsseln einer Nachricht und damit dem Bekanntwerden eines geheimen Schlüssels, nicht automatisch alle anderen mitgeschnittenen Nachrichten entschlüsselt werden können.
Sofern ihr eine Webseite betreibt, die per HTTPS erreichbar ist, dann könnt ihr auf den Seiten von Qualys selbst testen, was evtl. noch verbesserungswürdig an der verschlüsselten Übertragung eurer Webseite ist.
Mit Linux Mint 17 kommt auch Apache 2.4 auf den Rechner. Gegenüber der Version 2.2 gab es auch Änderungen bei der Vergabe von Zugriffsberechtigungen auf URLs. Leider bringt die Installation von Munin nur Einstellungen mit, die kompatibel mit der Apache Version 2.2 sind. Nach der Installation auf dem lokalen Host erscheint beim Zugriff auf http://localhost/munin nur ein "Forbidden".
Folgender Eintrag in der Datei /etc/apache2/conf-enabled/munin.conf innerhalb <Directory /var/cache/munin/www> schafft Abhilfe:
Require all granted Options FollowSymLinks SymLinksIfOwnerMatch
Nach einem Neustart des Apache können dann wieder die Munin-Auswertungen angesehen werden.
Seit pfSense 2.0 ist ein Zertifikatmanager in die Weboberfläche integriert, mit dem sich Zertifikate, z.B. für IPSEC, erzeugen und signieren lassen.
Bei der Verwendung der mit pfSense erstellten Zertifikate in Strongswan in Versionen kleiner als 4.6.2 kann der private Key nicht geladen werden. Folgende Fehlermeldung erscheint:
charon: 00[LIB] L1 - modulus: ASN1 tag 0x02 expected, but is 0x30 charon: 00[LIB] building CRED_PRIVATE_KEY - RSA failed, tried 8 builders
Ursache ist, dass Strongswan bis Version 4.6.2 nur private Keys im PKCS#1-Format lesen kann. Die aus pfSense exportierten privaten Keys liegen aber im PKCS#8-Format vor.
Mit folgendem Kommando kann der private Schlüssel vom PKCS#8- ins PKCS#1-Format konvertiert werden:
openssl rsa -in key8.pem -out key1.pem
Anschließend kann auch der Schlüssel wieder in Strongswan geladen werden.
IPv4 Adressen werden immer knapper und mittlerweile bekommt man bei vielen Hostern schon standardmäßig einen IPv6-Adressblock zum gemieteten Server dazu. Wer wie ich einen Debian-Server verwendet, bei dem die Root-Partition mit LUKS verschlüsselt ist und diese beim Bootvorgang über einen Dropbear-SSH-Zugang freigeschaltet werden muss, wird feststellen, dass nach dem Booten die Interfaces nicht die korrekte IPv6-Konfiguration haben.
Unter Debian kann die Netzwerkschnittstelle für Dropbear über die Datei /etc/initramfs-tools/initramfs.conf nur als IPv4 konfiguriert werden. Nach dem Booten stellen die Debian-Skripte fest, dass eth0 schon konfiguriert ist und verwenden die Einstellungen aus /etc/network/interfaces nicht mehr. Etwaige weitere Einstellungen in dieser Datei haben keine Wirkung, da sie nicht ausgewertet werden.
Abhilfe schafft ein
/sbin/ifdown --force eth0 /sbin/ifup --force eth0
in /etc/rc.local. Damit wird zuerst das Interface eth0 heruntergefahren und damit in einen definierten Zustand versetzt. Anschließend wird das Interface wieder hochgefahren und die Einstellungen aus /etc/network/interfaces entsprechend angewendet.
