Elastix - Aktuelle Openfire Version (9.3.x) installieren oder aktualisieren

Bekanntermaßen hat die Telefonlösung Elastix neben der eigentlichen Telefonsoftware Asterisk, auch noch Module wie Hylafax oder Openfire mit an Bord. Bei letzterem handelt es sich um den OpenSource Nachfolger des Instant Messenger Servers "Wildfire". 

Elastix

Der XMPP Server wird fest mit Elastix ausgeliefert und weist nach einer Standard Installation leider nicht die aktuellste Version auf (3.7.x).

Um den vollen Funktionsumfang neuerer Versionen nutzen zu können, ist es sinnvoll Openfire zu aktualisieren.

Mit Hilfe weniger Befehler kann dies im Beispielsystem (CentOS) berwerkstelligt werden.

Überprüfen, welche Version aktuell installiert ist

rpm -qa |grep openfire

Openfire Dienst stoppen

service openfire stop

Sicherung - Bei Bedarf kann nun das Openfire Verzeichnis gesichert werden "opt/openfire", da nach einer erneuten Paketinstallation die Konfiguration verloren geht. Gleiches gilt für die Datenbank

sudo mkdir -p /opt/openfirebackup

sudo cp /opt/openfire /opt/openfire.backup

sudo mysqldump –u benutzer -p openfire > /tmp/openfire.backup.sql

Herunterladen und Installation der aktuellen Openfire Version

sudo wget http://www.igniterealtime.org/downloadServlet?filename=openfire/openfire-3.9.3-1.i386.rpm

sudo rpm -Uvf openfire-3.9.3-1.i386.rpm

Danach könnt ihr das aktuelle Openfire Setup über den Browser aufrufen

http://127.0.0.1:9090/login.jsp?url=%2Findex.jsp

Hacks rund um den Globus - Hack Attacken im Live Stream

Die Spiele der diesjährigen Fußball Weltmeisterschaft sind zwar größtenteils kurzweilig, wer aber dennoch etwas mehr Action möchte, der sollte sich die Live Map der Firma Norse anschauen. Die Weltkarte ist im Browser aufrufbar und zeigt das hauseigene Honeypot Netzwerk (IPViking) in Betrieb. 

IPViking-Live

Auf den ersten Blick wirkt das Geschehen wie ein Weltkriegszenario aus einem Computerspiel. Laut Betreiber soll es sich um echte Hacker Daten handeln, welche aus dem besagten Honeypot Netzwerk stammen. Leider ist dies nicht endgültig nachvollziehbar. 

Dem bunten Treiben können Ziele, Angreifer, Protokolle und Weiteres entnommen werden. Zusätzlich sind einzelne Länder anwählbar.

Alles in Allem ein nette Echtzeit Hacker Weltkarte für zwischendurch. via

IPViking Weltkarte der Hackerangriffe

Nginx auf Ubuntu Server 14.04 - In 5min installieren und härten

Die schnelle Apache Server Alternative Nginx ist auf dem Vormarsch und hat jüngst den guten alten Apache Webserver als Referenzsystem bei den Top 1000 Webseiten weltweit überholt.

Mit ein Grund sich mit diesem System etwas näher auseinanderzusetzen.

Zunächst sollte das System jedoch installiert und im Optimalfall gehärtet werden, um von Anfang an einen sicheren und schnellen Webserver zu haben.

nginx

Nginx auf Ubuntu Server 14.04 installieren

Die Installation geht recht schnell von statten, um die aktuelle stabile Version zu erhalten muss zunächst das richtig Repository hinzugefügt werden

sudo add-apt-repository ppa:nginx/stable

sudo apt-get update

sudo apt-get install nginx

Da der Server nach der Installation automatisch startet, könnt ihr sofort danach unter http://localhost die Standardwebseite des Serversystems aufrufen

nginx-ssl

Nginx SSL aktivieren und härten

Damit der Server unter https://localhost aufgerufen werden kann, muss zunächst ein Zertifikat erstellt werden, um es danach in Nginx einzubinden. In diesem Fall wird das Zertifikat selbst signiert.

cd /etc/nginx/

sudo mkdir ssl

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/srv.key -out /etc/nginx/ssl/srv.crt

Nun kann mit der Konfiguration begonnen werden, diese ist unter /etc/nginx/sites-available/default zu finden.

Innerhalb der Konfig-Datei einfach nach unten scrollen und die Kommentarzeichen im HTTPS Bereich entfernen.

sudo nano /etc/nginx/sites-available/default

server {

        listen 443;

        server_name localhost;

        root html;

        index index.html index.htm;

        ssl on;

        ssl_certificate /etc/nginx/ssl/srv.crt;

        ssl_certificate_key /etc/nginx/ssl/srv.key;

        ssl_session_timeout 5m;

        ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4';

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

        #ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

        #ssl_ciphers "HIGH:!aNULL:!MD5 or HIGH:!aNULL:!MD5:!3DES";

        ssl_prefer_server_ciphers on;

        ssl_session_cache  builtin:1000  shared:SSL:10m;0m;

        add_header Strict-Transport-Security "max-age=63072000; includeSubDomains"

        add_header X-Frame-Options DENY;

        location / {

                try_files $uri $uri/ =404;

        }

}

Wie oben zu sehen ist, habe ich für einen sicheren Serverbetrieb, die Bereiche ssl_protocols und ssl_ciphers angepasst.

Zusätzlich wurde HSTS mit dem Befehl add_header Strict-Transport-.... aktiviert.

Zum Schutz for Clickjacking ist die Variable add_header X-Frame-Options DENY gesetzt worden.

Auch wurde der zuvor erzeugte SSL Schlüssel mit dem richtigen Pfad eingebunden.

Abschließend wurde noch die Variable ssl_session_cache gesetzt.

Wer den Webserver weiter absichern möchte, der kann zusätzlich Variablen wie ssl_stapling on und ssl_stapling_verify on setzen, um OCSP zu aktivieren.

Nginx Konfiguration prüfen und neustarten 

Unabhängig sollte vor einem Neustart die Installation überprüft werden. Wurde alles korrekt konfiguriert, ist die Standardseite unter https://localhost erreichbar. 

sudo service nginx configtest

sudo service nginx restart

Betreff Open-Source-Monitoring: Tschüß Nagios Core - Hallo Icinga 2

Die Entwickler rund um den Nagios Fork Icinga, haben Version 2.0 ihres Open-Source-Monitoring Tools veröffentlicht.

Damit schlägt man neue Wege ein, denn die Anwendung wurde ohne Vorbild Nagios in Bezug auf die Codebasis entwickelt.

Dadurch versprechen sich die Entwickler mehr Möglichkeiten bei Erweiterungen, Performance und Co. 

icinga2

Gerade bei letzterem kann Dank paralleler Threads Boden gut gemacht werden, somit sollen bis zu 1 Million Checks pro Minute möglich sein. 

Um die Ausfallsicherheit zu erhöhen, wurde ein Load Balancing implementiert.

Ein Umstieg von v1 zu v2 soll dank Erweiterungen kein Problem darstellen. Für Interessierte steht bereits eine ausführliche Dokumentation bereit.

Fazit

Da ich beide Systeme (Icinga/Nagios) kenne, bin ich gespannt, wie das Handling der neuen Icinga Version ausfällt. Mal schauen wann die Zeit für ein Testsystem da ist. 

9 praktische Keytool Befehle - Zertifikatsmanagement unter Java

Das leidige Thema Zertifikate hatte ich auf dem Blog nun schon öfters, vielleicht erinnert ihr euch ja noch an das selbstsignierte Tomcat Zertifikat.

Damals wurde anders als bei der klassischen Variante mit Apache/OpenSSL auf Keytool zurückgegriffen. Sozusagen das Pendant unter Java.

Heut möchte ich euch ein paar weitere praktische Befehle dazu zeigen. Zunächst muss das Keytool aber gefunden werden.

Unter Windows befindet es sich meist im Bin-Ordner der Java Installation, beispielsweise "C:\Program Files\Java\jre7\bin"

Unter Linux genügt ein einfaches "whereis keytool", um den gewünschten Pfad, beispielsweise "/usr/bin/keytool" zu finden.

9 praktische Keytool Befehle

Einen Keystore und ein Schlüsselpaar erzeugen

keytool -genkey -alias domain -keyalg RSA -keystore keystore -keysize 2048

Eine Zertifikatsanfrage erstellen

keytool -certreq -alias domain -keystore keystore -file anfrage.csr

Ein signiertes Zertifikat in den Keystore importieren

keytool -import -trustcacerts -alias domain -file domain.crt -keystore keystorefile

Ein vorhandenes Zertifikat exportieren

keytool -export -alias meincert -file meinexportiertescert.crt -keystore keystorefile

Ein selbstsigniertes Zertifikat erstellen

keytool -genkey -keyalg RSA -alias selfsigned -validity 3600 -keysize 2048

Ein Vorhandenes Zertifikat auslesen 

keytool -printcert -v -file meincert.crt

Welche Zertifikate befinden sich im Keystore?

keytool -list -v -keystore keystore

Liste die vertraulichen CAs auf

keytool -list -keystore /opt/data/cacerts

Lösche ein Zertifikat aus dem Keystore

keytool -delete -alias domain -keystore keystore