Dies ist das Archiv zu der Kategorie 'Nightshift'.

openfire und Pidgin – oder wie man das mit SSL hinbekommt

Abgelegt unter EDV, IT, Nightshift, Sicherheit, Ubuntu am 11.07.2015

Wenn man einen openfire-Server unter Ubuntu installiert, kann es schon mal vorkommen, daß sich deren Chat-Client Spark eben NICHT so einfach installieren läßt (weil z.B. log4j oder so fehlt…).

Gut, gibts halt so Klassiker wie Pidgin.

Dumm, wenn der sagt, nö, Zertifikatskette/Aussteller ist putt, will ich nicht.

Sowas ist in Sachen Sicherheit sehr löblich, jedoch kann man im Firmen-LAN ja wohl schlecht ein öffentliches Zertifikat einbinden…
(kenne keine CA, die einem eines auf .lan ausstellt…)

Okay, der Umweg ist simpel, wenn man es logisch angeht:
im Admin-Backend unter Servereinstellungen -> HTTP-Binding diese Möglichkeit erlauben, danach kann man mit dem Firefox die URL:
https://servername.domain.tld:7443/http-bind/
aufrufen.

Na, schon klick gemacht?

Röchtöch, im Firefox jetzt für das Zertifikat eine Ausnahme machen, und danach das akzeptierte Zertifikat extrahieren.
Nun Pidgin noch das Zertifikat unterschieben, und schon läuft das alles auch mit einem selbstsignierten Cert.

Schön geht anders, und das openfire-Forum ist voll mit Leuten, die angefressen sind deswegen.
Sind halt keine Admins, die wissen, wie Zertifikate funktionieren 😉


I’ve arrived

Abgelegt unter Nightshift, Philosophisches, Youtube inside am 05.06.2015

My goodness, don’t you remember, when you went first to school,
you went to kindergarten and in kindergarten, the idea was to
push along so to get into first grade, and then push along so that you could get into second grade, third grade and so on, going up and up.

And then you went to high school and this
was a great transition in life; and now the pressure is being put on you must get ahead, you must go up the grades and finally be good enough to get to college.

And then when you get to college, you’re still going step by step, step by step, up to the great moment in which you’re ready to go out into the world.

And then when you get out into this famous world… comes…
the struggle for success in profession or business.

And again there seems to be a ladder before you, something for which you are reaching all the time.

And then…

Suddenly, when are about forty or forty-five years old in the middle life, you wake up one day and say:

„Ah, I’ve arrived.
And by now I feel pretty much the same as I’ve always felt.
And i’m not that sure that i don’t feel a little bit cheated.“

Because you see you were fooled, you were always living
for somewhere where you aren’t.

And while as I said it is of tremendous use for us, to be able to look ahead in this way and to plan.
There is no use planning for a future which when you get to it and it becomes a present, you won’t be there.

You’ll be living in some other future which hasn’t yet arrived.

And so in this way, one is never able actually to inherit and enjoy the fruits of ones actions.

You can’t live at all.

Unless you can live fully, now.


Wie man einem Dos / DDoS mit slowloris Herr wird

Abgelegt unter Allgemein, EDV, IT, Nightshift, Sicherheit am 28.10.2011

So, nach ein paar Stunden Studierens, woher denn der Wind weht, wußte ich endlich, welcher Domain auf dem Server der DoS galt.
(bei Multi-IP-Umgebung kann das schon mal ein Weilchen dauern…)

So, als Allererstes:
wer auf seiner Linux-Büchse kein iptables hat -> sorry, selber schuld

Aber jetzt mal der Reihe nach:
wir suchen uns auf der Konsole mal die IP-Adressen raus, die verdächtig nach slowloris stinken

netstat -ant | grep TIME_WAIT | awk '{ print $5}' | cut -d ":" -f 1 | sort | uniq -c

Soooo, da haben wir ja schon potentielle IP’s, die wir mittels whois mal auf deren Ursprungsland testen.
Die meisten werden irgendwelche Russen, Chinesen, Franzosen, oder ger00tete Amerikaner sein.

Diese sperren wir der Reihe nach mit:
hier.die.ip.0/24
um auch gleich die potentiell benachbarten Leute freundlich aber bestimmt draußen zu halten
iptables -A INPUT -s hier.die.ip.0/24 -j DROP

Und flutsch, schon wird erst mal alles von der IP-Range gedroppt.

Das jetzt erst mal für 5-10 IP’s machen, mehr sind es bei slowloris selten.
(ansonsten ruhig ein paar mehr machen…)

So, jetzt setzen wir aber mal noch ein paar weitere Filter in die Firewall, um das auch für die Zukunft schön schwer zu machen:
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 8 -j DROP
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --set
iptables -I INPUT -p tcp -m state --state NEW --dport 80 -m recent --name slowdos --update --seconds 15 --hitcount 15 -j DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

So, und ab hier sollte man dann in Verbindung mit mod_evasive sehen, wie sich sein Webserver wieder erholt hat 🙂



blog powered by wordpress
Design by Office and IT - Business Solutions
Optimiert durch suchmaschinen-freundlich