Debian 6 Squeeze: openssl 1.0.1e und lighttpd 1.4.33 selbst kompilieren (für TLS 1.2 mit PFS)

Nach den ganzen Geschichten um die NSA wollte ich dann meinen Webserver auch mal etwas besser absichern. Dazu habe ich für den bei mir eingesetzten lighttpd hier eine Anleitung gefunden. Problem ist allerdings, dass die meisten Chiffre mit der in Debian Squeeze eingesetzten openssl-Bibliothek in der Version 0.9.8o leider nicht funktionieren. Die Lösung: eine neue… Weiterlesen Debian 6 Squeeze: openssl 1.0.1e und lighttpd 1.4.33 selbst kompilieren (für TLS 1.2 mit PFS)

Postfix: 535 Authentication credentials invalid

Ich verwende Postfix, um per Relay E-Mails über Web.de zu verschicken. Das klappte bisher auch problemlos, bis ich die Fehlermeldung bekam: postfix/smtp[11477]: SASL authentication failed; server smtp.web.de[213.165.67.124] said: 535 Authentication credentials invalid Nach einem Einloggen auf Web.de und dem Verschicken einer Mail an einen beliebigen Empfänger übers Webinterface, klappte auch, ohne Änderung an meiner Postfix-Konfiguration,… Weiterlesen Postfix: 535 Authentication credentials invalid

Postfix und TLS

Damit die TLS-Zertifikate der Gegenstellen akzeptiert werden, müssen die CA-Zertifikate bekannt sein. Dazu wird in der Datei /etc/postfix/main.cf folgende Zeile eingefügt smtp_tls_CApath = /etc/ssl/certs/ Damit die Zertifikate auch erkannt werden, müssen sie vorher gehasht werden: c_rehash $(postconf -h smtp_tls_CApath) Zum Schluss noch ein service postfix restart Da postfix unter Debian allerdings in einer chroot-Umgebung läuft,… Weiterlesen Postfix und TLS

SSL-Zertifikate von startssl

Certificate Signing Request (CSR) für startssl.com erstellen: openssl req -new -key stephangsell.de.key -out stephangsell.de.csr Für lighttpd muss eine PEM-Datei erstellt werden, die den privaten und öffentlichen Schlüssel in einer Datei enthält: cat /etc/ssl/private/stephangsell.de.key /etc/ssl/certs/stephangsell.de.crt > /etc/ssl/pem/stephangsell.de.pem Mehr Infos hier.

udev und eSATA

Damit Kubuntu meinen eSATA-Anschluss (der an einen internen SATA-Anschluss angeschlossen ist) auch als externe Variante erkennt, muss er mit udev als solches deklariert werden. Vor dem Anschließen der externen Festplatte den Befehl ausführen: udevadm monitor –environment Nach dem Anschließen werden dann sämtliche Informationen zum angeschlossenen Gerät angezeigt. Wichtig ist hierbei die Zeile, die mit „DEVPATH=“… Weiterlesen udev und eSATA

Mailman: neue Subdomain

Kürzlich musste ich die Subdomain für den administrativen Zugriff auf Mailman ändern. Dazu zuerst in der Datei /etc/mailman/mm_cfg.py folgende Zeile anpassen: DEFAULT_URL_HOST = ’sub1.example.org‘ Damit anschließend Links auf den Mailman-Seiten funktionieren, müssen diese an die neue Subdomain angepasst werden mittels withlist -l -r fix_url <listenname>

SSH-Zugang ohne Passwort per Public-Key-Authentifizierung

Hier habe ich einen netten Einzeiler dazu gefunden, der auch noch auf das mounten entfernter Verzeichnisse per sshfs eingeht. Zunächst mit ssh-keygen ein (passwortloses) RSA-Schlüsselpaar erstellen. Dann einmal mit cat ~/.ssh/id_rsa.pub | ssh user@server ‚cat >>~/.ssh/authorized_keys‘ auf dem Server einloggen. Update: Alternativ macht dieser Befehl das gleiche: ssh-copy-id -i ~/.ssh/id_rsa.pub user@server Beim nächsten Zugriff per… Weiterlesen SSH-Zugang ohne Passwort per Public-Key-Authentifizierung

Postfix, Dovecot und virtuelle Domains (ohne SQL-Datenbank)

Meinen E-Mail-Server habe ich teilweise nach der ISP-Mail-Anleitung eingerichtet. Da mir aber die dort vorgeschlagene Einrichtung mittel mysql-Datenbank zu aufwendig erschien, habe ich es etwas abgewandelt. Zu einer bestehenden Domain sollte eine weitere hinzukommen, die jedoch E-Mails nur weiterleitet (es soll aber auch möglich sein, E-Mails mit dieser Domain zu verschicken). Dazu wird in die… Weiterlesen Postfix, Dovecot und virtuelle Domains (ohne SQL-Datenbank)