HTTPS per .htaccess „erzwingen“ – mod_rewrite mit Apache

Eigentlich sollte es auf allen Webseiten mittlerweile Standard sein: HTTPS statt HTTP.

Unter z.B. Ubuntu Linux und Apache kann man HTTPS mit einer .htaccess Datei erzwingen. Hierzu muss nur das Modul mod_rewrite aktiviert sowie die Nutzung von .htaccess Dateien erlaubt sein.


Shell#> sudo a2enmod rewrite
Shell#> sudo service apache2 restart


Nun ist der Apache soweit vorbereitet. Es folgt noch eine .htaccess Datei mit folgendem Inhalt

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^/?(.*) https://%{SERVER_NAME}/$1 [R,L]


Nun werden alle Anfragen von HTTP (Port 80) auf HTTPS (443) umgeschrieben.

Fertig.

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

LED Shop LEDS-com.de: Ein großes Lob

Ein großes Lob an die Firma LEDS-Com für sehr kundenfreundlichen Service!

Die Vorgeschichte:
Vor einem Jahr hatte ich einige LED Lampen bei denen gekauft. E27 Fassung mit unterschiedlicher Leuchtkraft (Lumen). Da ich die E27er Lampen bis vor einiger Zeit nicht gebraucht hatte, lagen diese verstaut im Lager und haben auf ihren Einsatz gewartet.
Vor wenigen Wochen hatte es sich dann ergeben, dass ich drei dieser Lampen in Nutzung genommen habe. Allerdings gaben nach wenigen Wochen Nutzung (in Summe waren es nur wenige Stunden Betrieb mit wenigen Schaltzyklen) nach und nach drei dieser Lampen auf. Es waren die ersten LED Lampen, die bei mir „gestorben“ sind. Ich betriebe seit einiger Zeit nur noch LED Lampen unterschiedlicher Hersteller und bis dato hatte keine Lampe vorzeitig den Dienst quittiert.

Nach dem Ausfall der ersten Lampe setzte ich mich mit LEDs-com in Verbindung und fragte nach, inwiefern hier die Möglichkeit eines Ersatzes bestand. Mir wurde binnen kurzer Zeit geantwortet. Ich möge die Lampe einschicken, diese solle untersucht werden.
Aus wirtschaftlichen und ökologischen Gründen habe ich auf den Versand verzichtet. Es macht wenig Sinn, eine Lampe für ein paar Euro per Paket zu verschicken, wenn es fü den gleichen Preis eine neue gibt.
Doch nur wenige Tage später gab auch die zweite LED auf. Nun teilte ich dieses abermals mit. Binnen kürzester Zeit erhielt ich auch hier wieder eine Antwort. Und einen frankierten Retourenschein von DHL. Also habe ich die Lampen nun doch verschicken wollen. Es passte gut, dass auch die dritte LED verstarb.

Alle defekten LED Lampen habe ich somit in einem Paket an den Shop geschickt. Und wenige Tage später erhielt ich neue LEDs zugeschickt. Das ist ein perfekter Service. Sobald ich wieder eine größere Anzahl an LEDs kaufen muss, werde ich sicher wieder dort kaufen.
Danke.

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

FreeBSD: nginx und phpsysinfo 3.2.1 – fehlende XML, mbstring und dom Unterstützung

 

PHPSysinfo (Version 3.2.1, Stand Mai 2015) meldet beim Aufruf auf einem frischen FreeBSD 10.1 mit nginx

blog_phpsysinfo_xml_fehlermeldung

Lösung hierfür

    pkg install php56-xml

Danach einml php-fpm neu starten

    service php-fpm restart

Nun fehlt noch mbstring

blog_phpsysinfo_mbstring

    pkg install php56-mbstring

Es werden

    php56-mbstring: 5.6.8
    oniguruma4: 4.7.1_1

installiert, php-fpm neu starten und der nächste Fehler

blog_phpsysinfo_dom

    pkg install php56-dom

und wieder einen restart von php-fpm.

 

Voilá. Endlich startet phpSysinfo und gibt einem die fehlerfreien Infos aus, die man erwartet.

Veröffentlicht unter Dokus und Tipps, Linux/ UNIX | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

FreeBSD: phpVirtualBox unter Nginx meldet einen SOAP Fehler

 

Auf einem neu installierten FreeBSD mit Nginx meldet phpVirtualBox beim Aufruf einen Fehler über fehlende SOAP Unterstützung:

blog_phpvirtualbox_soap_fehlermeldung

 

Lösung:

    pkg install php56-soap

Es werden die Pakete php56-soap sowie php56-session in Version 5.6.8 (Stand: Mai 2015) installiert.

Nach der Installation muss noch PHP-fpm (bei Nutzung mit NGinx) neu gestartet werden:

    service php-fpm restart
 
Veröffentlicht unter Dokus und Tipps, Linux/ UNIX | Verschlagwortet mit , , , , | Hinterlasse einen Kommentar

FreeBSD: phpVirtualBox mit Nginx meldet einen Fehler – simplexml

 

Auf einem neu installierten FreeBSD mit Nginx meldet phpVirtualBox beim Aufruf einen Fehler:

blog_phpvirtualbox_fehlermeldung

Diese Fehlermeldung ist, leider, sehr nichtssagend. In den Logs von Nginx sind ebenfalls Fehlermeldungen zu finden, die einen auf den richtigen Weg bringen:

    FastCGI sent in stderr: „PHP message: PHP Fatal error: Call to undefined function simplexml_load_string()
 

Lösung:

    pkg install php56-simplexml

Es wird die Version php56-simplexml 5.6.8 (Stand: Mai 2015) installiert.

Nach der Installation muss noch PHP-fpm (bei Nutzung mit NGinx) neu gestartet werden:

    service php-fpm restart
 
Veröffentlicht unter Dokus und Tipps, Linux/ UNIX | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

FreeBSD: Virtualbox Host – Probleme mit bridged network beim Gast

 

Ein frisch aufgesetzter FreeBSD-VirtualBox-Host meldt beim Start eines Gastsystem Failed to open/create the internal network ‚HostInterfaceNetworking-tap0(nfe0, bridge0)'(VERR_SUPDRV_COMPONENT_NOT_FOUND).
Der Gast hat ein bridged-LAN-Interface in der Konfiguration. Stellt man auf NAT um, geht alles ohne Probleme.

Ursache:
Das nötige Kernelmodul wurde noch nicht geladen.

Lösung:
sudo kldload vboxnetflt.ko

Veröffentlicht unter Dokus und Tipps, Linux/ UNIX | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar

Tesla: Der Vorreiter wird den Markt erneut aufwirbeln. Oder nicht?

 

Tesla. Vielen sicherlich nur bekannt als Hersteller von Elektroautos. Schicke, moderne und innovative Autos ganz ohne Verbrennungsmotor werden von Tesla seit ein paar Jahren auf den Markt gebracht. Bisher leider noch nicht weit verbreitet, da viele Menschen doch lieber mit Benzin betriebene KFZ fahren. Aus Bequemnlichkeit oder aus Vorurteilen.

Am 30. April 2015 hat Tesla mit der Sparte „Tesla Energy“ einen neuen Bereich vorgestellt, der vermutlich (und hoffentlich) den Markt umkrempeln wird. Tesla Energy wird in den nächsten Monaten das Produkt Powerwall auf den Markt bringen. Die Tesla Powerwall ist ein kleiner „Akkupack“ für den Heimbereich. Recht klein, schick und modern soll dieser Stromspeicher den tagsüber von einer Photovoltaik (PV) Anlage produzierten Strom zwischenspeichern und bei Bedarf wieder ins Hausnetz abgeben. Damit kann der Strombedarf eines Hauses deutlich gesenkt werden und, je nach Auslegung der Anlage (PV und Powerwall), das Haus sogar einige Tage autark selber versorgen.

 

Weiterlesen

Veröffentlicht unter Allgemein, Photovoltaik | Verschlagwortet mit , , , , , , , | Hinterlasse einen Kommentar

OpenVPN: Mikrotik Router als OpenVPN Client – Routing des gesamten Datenverkehrs in den OpenVPN Tunnel

 

Idee: Ein Mikrotik Router ist OpenVPN Client. Der Datenverkehr der am Mikrotik befindlichen Clients soll komplett durch den Tunnel geroutet werden. Alternativ kann man dieses über die Mangle-Regel auf ein bestimmtes IP Netz der Clients oder auch ein Interface einschränken. Damit lässt sich regeln, dass ein angeschlossener Rechner in den OpenVPN Tunnel geroutet wird während alle anderen normal über das default-Gateway gehen.

Diese Anleitung bezieht sich auf RouterOS 6.27 (funktioniert aber auch mit alten Versionen).

OpenVPN Client einrichten
1. Step: Zertifikate des OpenVPN Servers importieren

(Voraussetzung: Passende Zertifikate wurden auf dem OpenVPN Server erstellt und per scp auf den Mikrotik transferiert. )

    /certificate import file-name=zertifikat_ca.crt
    /certificate import file-name=client.crt
    /certificate import file-name=client.key

2. Step: Client konfigurieren

    /interface ovpn-client add name=blahfasel connect-to=1.2.3.4 user=usernameXYZ cipher=aes256 certificate=client_cert port=1194 mode=ip auth=sha1

Der Tunnel sollte nun aufgebaut werden, kann man u.a. über /ip address print prüfen.

Nun kann man vom Mikrotik schon mal das OpenVPN Gateway/ OpenVPN Server erreichen.

3. Das Client-Netz mit masquerade NAT’ten

    /ip firewall nat chain=srcnat action=masquerade out-interface=ovpn-name log=yes log-prefix=“outgoing vpn traffic“
    (das Logging ist erstmal f. Debug, kann man natürlich auch deaktiviert lassen bzw. nach fertiger Einrichtung deaktivieren)

Von einem Client hat man nun ebenfalls Zugriff auf das OpenVPN Netz und kann z.B. den Server pingen.

 

4. Routingregel und Mangle-Regeln anlegen

Nun kommt der Teil, der den Mikrotik veranlasst, den gesamten Datenverkehr vom Client-Netz statt zum default-Gateway zum OpenVPN Server als Gateway zu schicken. Alle Pakete nehmen nun den Weg durch den Tunnel. Vorteil: Wird der Router an einem unsicheren Netz angeschlossen baut er automatisch einen Tunnel zum OpenVPN Server auf und

Damit der Mikrotik eine entsprechende Routingregel hat wird eine default-Route mit dem „routing-mark“ gesetzt

    /ip route add dst-address=0.0.0.0/0 routing-mark=redirect-to-openvpn gateway=IP_OpenVPN_Network
    (Die IP „IP_OpenVPN_Network“ kann man fest setzen oder auf den Interface-Namen setzen, z.B. blahfasel)

Nun veranlassen wir, dass alle Pakete mit einer mangle Regel in den Tunnel geworfen werden und markieren diese mit dem routing-mark:

    /ip firewall mangle add chain=prerouting in-interface=ether2 action=mark-routing new-routing-mark=redirect-to-openvpn

Soll ein Subnetz oder nur eine IP Adresse in den Tunnel ändert man die mangle-Regel

    /ip firewall mangle add chain=prerouting src-address=192.168.88.20 action=mark-routing new-routing-mark=redirect-to-openvpn
    /ip firewall mangle add chain=prerouting src-address=192.168.2.0/24 action=mark-routing new-routing-mark=redirect-to-openvpn
 

Nun kann man den über den VPN Tunnel gerouteten Verkehr vom Client mit mtr, traceroute usw. prüfen. Läuft alles, kann das Logging unter /ip firewall nat f. das OpenVPN-Interface wieder deaktiviert werden.

Fertig 😉

 

Links
http://forum.mikrotik.com/viewtopic.php?f=2&t=73775

Veröffentlicht unter Dokus und Tipps, Linux/ UNIX, Mikrotik, Technikspielkram | Verschlagwortet mit , , , , , , , | 3 Kommentare

Linux: Seiten aus PDFs entfernen mit PDFshuffler

 

Wenn man nur mal schnell Seiten aus PDFs entfernen, drehen oder beschneiden möchte reicht unter (Ubuntu) Linux das zwar nicht schöne, aber doch praktische Tool PDF Shuffler.

Installation mit

    sudo apt-get install pdfshuffler

Danach kann man mit pdfshuffler dateiname.pdf die zu bearbeitende Datei öffnen.

Veröffentlicht unter Dokus und Tipps, Linux/ UNIX | Verschlagwortet mit , , | Hinterlasse einen Kommentar

Webserver: HTTPS prüfen und SSL Sicherheit erhöhen

 

HTTP ist unsicher. HTTPS in gewissen Grenzen auch. Die letzten Monate haben mit Heartbleed, Poodle & Co. dazu beigetragen, dass man sich auch oder gerade wegen HTTPS ein paar weitergehende Gedanken machen sollte. HTTPS ist nicht gleich HTTPS, auch wenn etwas Sicherheit natürlich besser ist als gar keine. Aber „etwas“ Sicherheit schafft unter Umständen das falsche Vertrauen. „SSL is broken“ ist leider eine nicht ganz falsche Aussage. Falsche Konfigurationen von SSL (Cipher Suiten, Rückfall auf alte, gebrochene Protokollversionen usw.) sorgen dafür, dass eine HTTPS verschlüsselte Verbindung grundsätzlich falsches Vertrauen schafft, die Kommunikation u.U. relativ „einfach“ für Angreifen zu öffnen ist.

 

Damit man einfach mal einen kleinen Überblick über den Status seiner HTTPS Verbindungen sichtbar und gut aufgelistet erhält sollte man mal einen Blick auf den SSL Test von Qualys unter https://www.ssllabs.com/ssltest/ werfen. Die prüfen die SSL Verbindung auf verschiedene Merkmale hin ab und bewerten dieses. In einfacher und verständlicher Bewertung wird einem ein Ergebnis geliefert sowie mögliche Fehler, Verbesserungen und Probleme aufgezeigt.
Sollte man keine A Bewertung haben lohnt es sich, etwas nachzulesen und seinen Webserver zu prüfen.

 

Hat man Zugriff auf seinen Webserver und kann dort recht frei agieren sollte man sich der Sache annehmen. Schaltet man ein paar Optionen, Protokolle Verschlüsselungen usw. aus bzw. ein wird das angemerkte Problem gleich kleiner.

 

Man sollte sich überlegen, wie weit man die Sicherheit aufbrechen sollte um völlig veraltete Betriebssysteme oder Browser (Android 2.3.x, Windows XP, IE6) zu unterstützen. Oder sollte man einfach mal einen „harten Schnitt“ vornehmen und die Sicherheit an erste Stelle stellen? Ja. Sollte man.

Nachfolgende Einstellungen sind darauf ausgelegt, die bestmögliche Verschlüsselung (Stand: Dez. 2014) zu aktivieren bzw. zu erhöhen. Auf Kollateralschäden kann und wird keine Rücksicht genommen. Wer noch immer mit Modem und Windows XP im Internet unterwegs ist hat in den letzten Jahren wenig gelernt und kann und wird ob der Problematik scheinbar auch nicht schlauer. Da hilft es auch überhaupt nicht, diese Nutzer auch weiterhin zu unterstützen und mitzuschleppen. Ein harter Cut für mehr Sicherheit ist besser als Rücksicht auf ein paar „Verlorene“ zu nehmen und weiterhin alte, unsichere oder problematische Protokolle zu unterstützen…

 

Grundsätzlich sollte einem folgendes bewusst sein:

    – Sicherheit geht immer zu Lasten von irgendwas. In diesem Fall ist es nur etwas Aufwand. Und halt ein paar Nutzer mit Steinzeitsystemen, auf die man verzichten sollte.
    – Auch mit aktivierter HTTPS Übertragung sollte man sich weiterhin Gedanken machen, wie man die Sicherheit halten oder weiterhin verbessern kann
    – Falsche Herangehensweise kann die Verschlüsselung kompromittieren.
    – ungepatchte Betriebssysteme und Webserverversionen sind anfällig
    – Sicherheit erfordert somit ein ständiges „im Auge behalten“
    – man sollte immer mal wieder die SSL Verbindungen prüfen. Einfache Online-Prüftools wie von QualySSL unter gibt es. Diese stellen einem klar und übersichtlich dargestellt die aktuelle Sicherheitseinschätzung dar und bieten Anregungen für Verbesserungen. Wer nicht ein „A“-Level erhält, sollte sich dringend Gedanken machen.

 

Den Webserver abdichten – gebrochene SSL Protokollversionen und Cipher Suiten deaktivieren

Diese paar Zeilen in der Konfiguration des vHosts schmeißen gebrochene Cipher raus.

    SSLProtocol all -SSLv2 -SSLv3
    SSLCompression off
    SSLHonorCipherOrder On
    SSLCipherSuite AES256+EECDH:AES256+EDH

 

Man darf sich aber nicht in absoluter Sicherheit wähnen. Elliptische Kurven sind mitunter auch von der NIST beeinflusst. Ob dort mögliche Angriffsvektoren bestehen, wird die Zukunft zeigen…

 
Veröffentlicht unter Dokus und Tipps, Linux/ UNIX | Verschlagwortet mit , , , , , | Hinterlasse einen Kommentar