Sicherheit

Es gibt 9 Beiträge mit dem Schlagwort Sicherheit.

Passwort auf Ubuntu System zurücksetzen

Vorsicht! Dieser Vorgang bietet vollen Root Zugriff! Ein Fehler kann böse folgen haben!

Mittels Shift / ESC Taste den Grub Loader anzeigen …

Grub Loader

Den Kernel mit recovery mode starten …

Kernel Auswahl

und im Recovery Menü die Root Shell starten.

Recovery Menu

Da im Recovery Mode das Dateisystem nur Lesezugriff hat, muss es neu angebunden werden.

root@ubuntu:~# mount -rw -o remount /

Jetzt kann das Passwort des Benutzers geändert werden.

root@ubuntu:~# sudo passwd username

Alternativ kann auch ein neuer Benutzer angelegt werden.

Jetzt noch neu Starten und mit dem neu vergebenen Passwort anmelden.

root@ubuntu:~# init 2

CSR für Zertifikatsanfrage erstellen

Damin man ein SSL Zertifikat bei einer CA (Certification Authority) beantragen kann, benötigt man einen CSR (Certificate Signing Request). Diesen erstelle ich immer auf der Maschine auf der später das SSL Zertifikat eingesetzt werden soll.

Ausgangspunkt für einen CSR ist ein privater Schlüssel. Sollte dieser nicht vorhanden sein, kann er mit folgendem Befehl erstellt werden.

$ openssl genrsa -out domainname.de.key 4096

Jetzt kann mit Hilfe des privaten Schlüssels der CSR erzeugt werden.

$ openssl req -new -key domainname.de.key -out domainname.de.csr

Im folgenden werden ein paar informationen abgefragt:

Country Name (2 letter code) [AU]: DE
State or Province Name (full name) [Some-State]: Berlin
Locality Name (eg, city) []: Berlin
Organization Name (eg, company) [Internet Widgits Pty Ltd]: Firmenname GmbH
Organizational Unit Name (eg, section) []:  
Common Name (eg, YOUR name) []: www.domainname.de
Email Address []: webmaster@domainname.de

Bei Bedarf kann man den CSR noch einmal testen:

$ openssl req -noout -text -in domainname.de.csr

Der erstellte CSR kann jetzt beim Zertifikatsausteller eingereicht werden.

Poodle Angriff – SSLv3 im Apache deaktivieren

Vor der kürzlich aufgetauchten „Poodle Attacke“ kann man sich relativ einfach schützen. Denn dieser Angriff auf die Internet-Verschlüsselung kommt über die veraltete Protokollversion SSLv3.

Um den Apache gegen Poodle fit zu machen, muss die SSL Konfiguration verändert werden. Im Beispiel in der Site default-ssl.

$ sudo nano /etc/apache2/sites-available/default-ssl

Die folgende Zeile hinzufügen bzw. auf folgendes ändern.

SSLProtocol All -SSLv2 -SSLv3

Im Anschluß den Server neu starten.

$ sudo service apache2 restart

Testen kann man das Ergebnis auf der Seite von Qualys SSL Labs

Server Signatur des Apache Webserver deaktivieren

Bei einer unveränderten Standardinstallation des Apache2 Webserver wird bei der Ausgabe einer Apache Fehlerseite immer auch eine Signatur angezeigt. Die in der Signatur enthaltenen Informationen können einem potentiellen Angreifer nützliche Informationen zur eingesetzten Webserver Version und dem OS preisgeben.
403 Fehlerseite mit Signatur
Diese Informationen sollte möglichst auch deaktiviert werden. Hierzu muss die Datei apache2.conf bearbeitet werden.

$ sudo nano /etc/apache2/apache2.conf

Folgende Werte hinzufügen bzw. ändern:

ServerSignature Off
ServerTokens Prod

Im Anschluss den Server neu starten, damit die Änderungen aktiv werden.

$ sudo service apache restart

Jetzt sollte auf den Fehlerseiten des Apache keine Signatur mehr angezeigt werden.
403 Fehlerseite ohne Signatur

Weitere Informationen zu den Parametern:
Informationen zur ServerSignature.
Informationen zur ServerTokens.

Befehl als anderer Benutzer ausführen

Hin und wieder möchte man einen Befehl als anderer Benutzer als sich selbst oder dem Root ausführen. In diesem Falle hilft die folgende Zeile weiter.

$ sudo -u BENUTZER BEFEHL

Hat man kein sudo zur Verfügung geht auch die folgende Zeile.

$ su BENUTZER -c BEFEHL

Dieser Eintrag ist für alle die es genauso oft vergessen wie ich!