17. Juli MySQL, SSl und die "Logjam"-Lücke

von am

Mit einer neuerlichen Sicherheitslücke in OpenSSL (Stichwort "Logjam") wurde die Mindestlänge des Diffie-Hellman-Keys auf 712 Bits erhöht. MySQL bis 5.6 (und auch MariaDB 5.6) verwenden fix 512 Bits. Das ist ein Problem.

13. Feb. duply mit GPG 2.1

von am

Nach dem Upgrade auf GPG 2.1 funktioniert duply nicht mehr. Das liegt daran, dass es den neuen "loopback"-Modus noch nicht unterstützt, der ab sofort der einzige Weg ist das Schlüssel-Passwort zur Laufzeit zu übergeben. Beim Starten des Backup-Prozesses quittiert duply daher den Dienst mit einer Fehlermeldung.

Abhilfe schafft die Aktivierung dieses "loopback"-Modus.

GPG konfigurieren

Als erstes müssen wir GPG konfigurieren indem wir folgende Zeile in die Datei ~/.gnupg/gpg.conf eintragen:

pinentry-mode loopback

Zudem müssen wir dem GPG-Agent mitteilen, dass wir diesen "loopback"-Modus auch nutzen wollen. Das erreichen wir, indem wir folgende Zeile in die die Datei ~/.gnupg/gpg-agent.conf eintragen:

allow-loopback-pinentry

Duply konfigurieren

Abschliessend müssen wir noch unser duply-Profil konfigurieren. Das tun wir in der Datei ~/.duply/<PROFIL>/conf. Hier müssen wir folgendes eintragen, dann sind wir schon fertig:

GPG_OPTS='--pinentry-mode loopback'

Jetzt funktioniert das Backup wieder wie gewünscht.

25. Jan. Authentication-Warning: set sender to using -f

von am

Webapplikationen versenden häufig Emails, beispielsweise bei Registrierungen, Benachrichtungen etc. Falls wir diese Applikationen so konfigurieren, dass sie via sendmail verschicken, finden wir vermutlich folgende folgende Warnmeldung in der Log-Datei /var/log/maillog:

Authentication-Warning: <Hostname>: <Benutzername> set sender to \
<Absender-Adresse> using -f

Das ist eine Anti-Spoofing-Warnung von Sendmail. Und zwar will es uns damit sagen, dass es unberechtigter Benutzer die Absenderadresse manipuliert hat. Das wird häufig von Spam-Skripten getan, um einen anderen Absender vorzutäuschen und so ggf. die Glaubwürdigkeit zu erhöhen oder aber die Spam-Filter zu täuschen.

Wir können diese Fehlermeldung recht einfach abschalten, indem wir unserem PHP-Benutzer (wir lassen jede Webseite ja unter einem eigenen Benutzernamen laufen) die Erlaubnis geben solch eine Veränderung vorzunehmen.

15. Jan. DigitalOcean mit FreeBSD-Support

von am

Endlich hat es auch DigitalOcean geschafft FreeBSD in die Liste der unterstützten Betriebssysteme aufzunehmen. Seit gestern ist es offiziell verfügbar. Damit wird DigialOcean langsam zur Alternative zu Vultr, welches auch Standorte in Deutschland anbietet.

Eine Besonderheit bei der FreeBSD-Installation bei DigitalOcean ist, dass der Zugang nach der Installation nur per SSH-Keys möglich ist.

14. Jan. FreeBSD kehrt zu Webtropia zurück

von am

Einige Zeit stand FreeBSD bei Webtropia nicht mehr in der Liste der unterstützten Betriebssysteme. Das war sehr schade, da damit einer der sehr guten, grossen Anbieter in Deutschland mit FreeBSD-Unterstützung wegfiel. Heute habe ich die Information erhalten, dass die FreeBSD-Unterstützung auch für neue Server ab sofort wieder zur Verfügung steht.

Auf der Webseite ist davon aktuell noch nichts zu lesen, aber der Webtropia-Blog wird wohl im Laufe des Tages einen Artikel dazu veröffentlichen. Leider ist FreeBSD nicht für alle Angebote verfügbar, aber dort wo FreeBSD eingesetzt werden kann steht es spätestens im Bestellprozess zur Auswahl zur Verfügung.

Ich betreibe seit einiger Zeit ein paar Server bei Webtropia und bin mit der Leistung vollends zufrieden, weshalb ich die Server dort auch guten Gewissens empfehlen kann. Tests von Webtropia-Servern findet ihr in der Rubrik "Aus zweiter Hand".

13. Jan. OpenSMTPD statt Postfix?

von am

Mehrere Nachfragen haben mich dazu gebracht mich näher mit OpenSMTPD zu beschäftigen. Die tolle Syntax, die wir in ähnlicher Form bereits von der Firewall pf her kennen macht es zu einer interessanten Alternative zu Postfix.

In den nächsten Wochen werde ich ein paar Systeme auf OpenSMTPD umstellen und dann das ganze in einem oder mehreren Tutorials festhalten.

Ich bin sehr gespannt, zudem möchte ich für Spam- und Malwareerkennung RSPAMD einsetzen. Ich hoffe, dass ich euch so eine tolle Alternative zum heutigen System Postfix-DSPAM anbieten kann.