IT-Blog von Sebastian van de Meer
Persönlicher Tech-Blog von Sebastian van de Meer — Beiträge zu IT-Security, Netzwerken, FreeBSD, Linux, Elektronik und Maker-Projekten.
Wenn wir schon dabei sind hier Dinge umzustellen, ns2.kernel-error.org hat eine neue IPv6 Adresse bekommen (IPv4 bleibt).
Alt: 2001:41d0:2:c3b4::66
Neu: 2001:41d0:302:2100::6401
In den Zonen passt schon alles, fehlt nur noch der Glue-Record. Der sollte aber auch bald da sein.
Fragen? Einfach melden.
Tach zusammen,
StartSSL ist ja aktuell einfach tot 🙁 Eine für mich sinnvolle Alternative konnte ich aber nicht finden. Eine Wildcard Zertifikat für meine Domains und dann einfach überall das gleiche *grusel* aber 10000 € ausgeben um sonst meine Wünsche zu erfüllen macht auch keinen Sinn. Tja bleibt Let’s Encrypt…. Gott, ich will nicht alle drei Monate neue Zertifikate bauen. Das ist Käse, vor allem mit TLSA/DANE, HPKP usw. *brech*
Für jetzt bin ich dennoch dazu gezwungen auf Let’s Encrypt zu wechseln. Es wird also ein solches Zertifikat hier geben. Ich hoffe nun einfach darauf, dass StartSSL wieder in die Browser kommt. 01.06.2017 soll es da wohl weiter gehen, hm?
https://bugzilla.mozilla.org/show_bug.cgi?id=1311832
https://startssl.com/NewsDetails?date=20160919
Klar ist jetzt dieser China CA zu vertrauen? Nö… Nur bis zu einem gewissen Punkt und ab dann halt HPKP, TLSA/DANE, DNS CAA. Was mir so gut gefällt ist die Möglichkeit für einen vertretbaren Preis so viele unterschiedliche Zertifikate raus zu hauen, wie ich es für richtig halte.
Also kommt nun Let’s Encrypt als „hoffentlich Übergang“ und dann wieder StartSSL oder jemand von euch hat eine gute Idee für mich?
So long…
Siehe auch: Von RSA zu ECDSA
Fragen? Einfach melden.
Das Zeug funktioniert ja zu 85% super… Aber hin und wieder könnte ich das Zeug einfach aus dem Haus treten :-/
Es ist ein Problem aufgetreten (500)
Die gewünschte Seite ist zurzeit nicht erreichbar.
Laden Sie die Seite zunächst bitte neu. Erhalten Sie wiederholt diese Meldung, versuchen Sie es zu einem späteren Zeitpunkt wieder, da evtl. Wartungsarbeiten durchgeführt werden.
Im Falle einer Meldung an den QIVICON Support stets angeben:
Fehlercode 586b87c131d73:0
Siehe auch: HomeMatic Firmware-Updates
Fragen? Einfach melden.
Inzwischen bin ich etwas weiter. Ich nutze nun einen sauberen Filter um SPAM von meinem Jabberserver fern zu halten. \o/ Somit habe ich die Block der besonders auffälligen xmpp-server zurückgezogen. So gefällt mir die Lösung schon viel besser.
Siehe auch: Eigenen Jabber-Server betreiben
Fragen? Einfach melden.
Aktuell beobachte ich sehr für SPAM mit teils russsichem Inhalt zu Exploits und ähnlichem, der von vielen verschiedenen Domains bei meinem Server ankommt.
Die Admins dieser Server kommen zum Teil aktuell nicht mit dem Aussortieren der Spamaccounts nach. Ich selbst habe ebenfalls schon viele Anmeldeversuche dieser Spamaccounts bewundert. Diese werden automatisch erstellt, dann etwas später wird darüber ein einem riesigen Schwung versucht Spam zu verteilen und nach knapp 1Stunde verstaubt der Account wieder. Dagegen hilft fast nur die einfache Benutzeranmeldung über xmpp zu deaktivieren.
Derzeit bei mir also nur möglich über (Gott ist das hässlich): https://jabber.kernel-error.de:9091/plugins/registration/sign-up.jsp
Oh ja, die Spamserver habe ich aktuell geblockt. Im Moment sind es die folgenden:
ajabber.me
anonymitaet-im-inter.net
codingteam.net
exploit.im
igniterealtime.org
jabber.co.za
jabber.no
jabber.zerties.org
jabbim.cz
jclub.pw
jumbo.li
justnet.pl
km-net.pl
lih.im
pandion.im
qip.ru
svnet.fr
sync-hv.de
talkers.im
tigase.im
xmpp.svnet.fr
Siehe auch: Eigenen Jabber-Server betreiben
Fragen? Einfach melden.
Ich dachte schon voll einen am Zaun zu haben. Nach meinem letzten Update von fish ging plötzlich ein Backspace mehr und die Pfeiltasten gaben ebenso lustige Steuerzeichen zurück wie Ende oder Pos1 :-/
Es ist tatsächlich ein dummer Bug. Darauf gekommen bin ich über: https://github.com/fish-shell/fish-shell/issues/3050
Sowie am Ende: https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=213013
Comment 9 weckt Hoffnung:
Baptiste Daroussin freebsd_committer 2016-10-06 19:52:25 UTC The issue is fixed in head (12) I will merge in 11 in a month and will propose the fix for an errata, thanks for reporting
Bis dahin verhilft mir folgender Workaround beim Starten meines Terminals zu einer sauberen Shell:
Einfach als Start Command für mein Mate-Terminal:
env LC_ALL=C mate-terminal
Tut was es soll!
So long…
Siehe auch: FreeBSD auf dem Desktop
Fragen? Einfach melden.
Veraltet: FreeBSD 10.3 und 11.0 haben seit Jahren keinerlei Support mehr. Aktuelle Versionen: FreeBSD Releases. Das Upgrade-Verfahren mit freebsd-update ist aber weiterhin identisch.
Da hier schon die Fragen gekommen sind.. Folgende kurze Schritte haben mir zu meinem neuen FreeBSD 11 Desktop gebracht:
$ pkg upgrade $ freebsd-update fetch install $ freebsd-update -r 11.0-RELEASE upgrade $ freebase-update install $ reboot $ freebase-update install $ pkg remove -f javavmwrapper $ pkg install pkg $ pkg upgrade $ rehash $ freebase-update install $ reboot $ uname -a
Mein Benutzer musste dann noch in die Gruppe Video:
$ pw groupmod video -m username
Der Bootloader hatte ebenfalls ein Problem das nvidia Modul zu laden. Daher habe ich den Eintrag aus der /boot/loader.conf entfernt und lasse es nun über die /etc/rc.conf mit folgendem Eintrag laden:
kld_list="nvidia"
Das ist auch schon alles 🙂
Fragen? Einfach melden.
Ich ertappe mich aktuell immer mal wieder dabei auf die Release Process Seite von FreeBSD 11 zu schauen. Mit immer mal wieder meine ich 1 / 2 mal am Tag.
https://www.freebsd.org/releases/11.0R/schedule.html
Oh ich bin gerade total gespannt auf die neue Version. Auf den Testkisten habe ich die RCs ja schon angetestet und ich lese ganz brav die current-liste (was es nicht besser macht). Jetzt wurde der RC3 Build ja vom 26.08 auf den 14.09 verschoben, das hat natürlich den Rest ebenfalls geschoben *schnief* 28.09 ist nun also erst einmal der press release Termin. uhhh das ist schon übermorgen *freu*.
Ich habe auch ganz brav wieder Geld gegeben: https://www.freebsdfoundation.org/donate/
Auf was ich besonders warte? Ohh auf 1000 Dinge der neuen Version aber besonders auf ein, vielleicht etwas dummes, Detail. trim auf zfs mit geli.
Wann habt ihr eigentlich das letzte mal etwas gespendet und sei es nur 5€??
Dear Sebastian van de Meer, The FreeBSD Foundation would like to thank you for your generous donation of $200.00 on September 26, 2016. It's people like you that make it possible for us to continue supporting the FreeBSD Project and community worldwide. We are incredibly grateful for all the support we receive from you and so many individuals and organizations that value FreeBSD. The FreeBSD Foundation is a 501(c)3 non-profit organization dedicated to supporting and promoting the FreeBSD Project and community worldwide. The Foundation gratefully accepts donations from individuals and businesses. Donations are used to fund and manage development projects, educating the public and promoting FreeBSD, sponsoring BSD conferences and summits, providing travel grants to FreeBSD developers, protecting FreeBSD IP and providing legal support to the Project, and purchasing hardware to build and improve FreeBSD Project infrastructure. The FreeBSD Foundation is entirely supported by donations. For information regarding our goals, projects and use of collected funds, please visit our web site: www.FreeBSDFoundation.org. No goods or services of any value were or will be transferred to you in connection with this donation. Please keep this written acknowledgment of your donation for your tax records. Thanks again for your support! Sincerely, Deb Goodkin Executive Director The FreeBSD Foundation
Siehe auch: FreeBSD auf dem Desktop
Fragen? Einfach melden.
Da kommt folgende Mail rein:
Hi, mein Firefox Plugin und hash-slinger sagen beide, dass dein TLSA Record für munin.kernel-error.com kaputt ist. Gruß Andreas
Recht hat der Mann. Ich hatte das Zertifikat getauscht (auf Elliptic Curve umgestellt) und vergessen, den TLSA-Record im DNS zu aktualisieren. Klassiker. Der TLSA-Record enthält einen Hash des Zertifikats. Tauscht man das Zertifikat, stimmt der Hash nicht mehr, und jeder Client der DANE prüft sieht einen Fehler.
Passiert schneller als man denkt, besonders wenn man mehrere Dienste auf verschiedenen Subdomains hat. Jeder braucht seinen eigenen TLSA-Record. Zertifikat erneuern, TLSA vergessen, niemand merkt es (weil kaum jemand DANE validiert). Bis jemand wie Andreas mit dem Firefox-Plugin vorbeikommt.
Die Lektion: Nach jedem Zertifikatstausch die TLSA-Records prüfen. Am besten automatisiert, zum Beispiel per Skript das nach dem ACME-Renewal den Hash berechnet und den DNS aktualisiert. Wer TLSA-Records von Hand prüfen will, findet die Anleitung unter TLSA/DANE manuell prüfen. Die Grundlagen zu DANE stehen im Beitrag DNSSEC und DANE. Fragen? Einfach melden.
Heute möchte ich einmal ein Zertifikat für meinen munin erstellen. Als Test möchte ich einmal ein Zertifikat mit Elliptischen Kurven im Schlüssel probieren. Dieses soll natürlich ebenfalls von StartSSL signiert werden.
Die openssl Befehle sind wie immer nicht weiter besonders….
Schlüssel erstellen:
$ openssl ecparam -out http.key -name secp521r1 -genkey
CSR erstellen:
$ openssl req -new -sha256 -key http.key -nodes -out http.csr
Den Inhalt des CSRs ausgeben und der CA (StartSSL) zum signieren geben, sowie das signierte Zertifikat in die Datei http.crt gießen:
$ cat http.csr $ vi http.crt
Alles im PEM-File zusammenführen:
$ cat http.key http.crt > http.pem
Als guten Abschluss noch ein paar Diffie Hellman einwerfen (wenn auch etwas unnötig):
$ openssl gendh 4096 >> http.pem
Fertig ist das Zertifikat! Alles noch wie bekannt in den Apachen werfen und zur Sicherheit einmal Qualys auf die Seite loslassen:
https://www.ssllabs.com/ssltest/analyze.html?d=munin.kernel-error.com
Damit habe ich also nun ein EC 521 bits / SHA256withRSA Zertifikat. Tja, in meinem Firefox sieht alles aus wie immer. Gut, der Microsoft Rempel schlägt wie so oft hart auf aber ich nutze die Seite eh nie mit dem IE ;-P
Was meint ihr?
Siehe auch: Von RSA zu ECDSA
Fragen? Einfach melden.
© 2026 -=Kernel-Error=- — RSS
Theme von Anders Norén — Hoch ↑