Neuer Server

Nach langer, langer Zeit war es mal wieder Zeit für eine Grundsanierung des Rootservers. Nicht das es für Centos keie Sicherheitsupdates gab – aber am Ende aktualisiert man ja nicht das Basissystem und die Verwaltungssoftware über Majorgrenzen hinweg.

Daher nun beim Hoster das selbe Produkt bestellt – aber dafür mit aktueller Hardware :-D

Dazu ein paar Reminder an misch selber zu Owncloud, DNS und IPV6
Weiterlesen

ProFTPd mit TLS

Wie in Artikel Rootserver-Serie I: ProFTPd mit TLS betreiben (FTPS) beschrieben ist das Konfigurieren von TLS alles andere als trivial.

Wenn noch eine Firewall hinzukommt wird es dann perfekt:
FTP-Clients bekommen keine Verbindung im Passivmodus (was wohl jeder Verwendet) da der Daten-Port auf dem Server nicht erreichbar ist.
Üblicherweise sollte das iptables-Modul die entsprechenden Ports bei einer FTP-Verbindung öffnen.
Bei einer FTPS-Verbindung kann das Modul den (verschlüsselten) Datenstrom aber nicht mehr lesen und auch entsprechend keine Ports mehr öffnen.

Abhilfe schafft das Vergeben eines fixen Portbereiches, den man statisch auch in der Firewall freischaltet:

Wichtig ist hierbei, dies in der Global-Konfiguration einzutragen. Nach Doku soll es zwar auch im Server- und VirutalHost-Teil gehen, das hatte bei mir aber keien Wirkung gezeigt:
<global>
PassivePorts 49152 49162
AllowOverwrite yes
<limit ALL SITE_CHMOD>
AllowAll
</limit>
</global>

Diese 10 Ports (und damit 10 parallele Client wie ich glaube) müssen noch in der Firewall als TCP-Ports freigegeben!

chroot-Script

Als glücklicher Hetzner-Kunde freue ich mich immer wieder über die Auswahl ans Tools und Funktionen zum Warten des Rootservers.
Hin und wieder bedarf es dann doch mal der Rescue-Konsole – Zum Beispiel wenn man wieder mit Kernel-Module rumgespielt hat ohne die VGA-Konsole anzufordern ;-)

Für solche Fälle sollte immer ein chroot-Script in /root liegen. So erspart man sich lästiges googeln welche virtuellen Dateisysteme man mal wieder vergessen hat…

Weiterlesen

SSL-Zertifikatfehler in Java ignorieren

Immer wieder darf man mit Servern zusammenarbeiten, die zwar eine SSL/TLS-Verbindung anbieten, dabei aber auf müllige Zertifikate setzen:

  • Unbekannte/selbstgebaute CA
  • Komische CA-Chains bei der die Zwischenzertifikate fehlen
  • Servername passt nicht zum OU/DN

Dass man mit solchen Zertifikaten den ganzen Sicherheitsaskept ad-absurdum führt interessiert die Serverbetreiber meist nicht.

Trotz allem will/muss man mit solchen Diensten aber kommunizieren.
MIttels folgendem Code ignoriert man sowohl ungültige CA-Ketten als auch unpassende Zertifikate zum Server selber:
Weiterlesen

Centos-Update auf 5.6 – Encryption und Serielle Console mit Xen

Nach dem (ansonsten reibungslosen) Update auf Centos 5.6 kam der kleine Server nicht wieder hoch.
Wie so oft rächte sich jetzt, dass man – wenn erstmal alles läuft – nur noch bedingt „aufräumt“: So stand ich also mit ohne serieller Konsole da und musste den Server erstmal wieder aus seinem Verschlag befreien.

Nach einigem Rumprobieren habe ich nun auch die passende Grub Konfiguration für die serielle Konsole gefunden die mit Xen zusammenarbeitet: Weiterlesen